[Arquivado] Log do hijack this virus W32.Sality.AE

[joycoiote 0]

BOM DIA PESSOAL !!!

 

Estou precisando muito da ajuda de todos vocês. Eu nunca vi nada parecido, vou contar um pouco o que esta acontecendo.

 

Tenho um servidor com Windows Server 2003, o que acontece é que de um dia para o outro, um arquivo autorun.inf se instalou em uma pasta compartilhada, onde varios outros micros se conectam automaticamente. Ai ja viu, agora todos estão com esse virus. O pior é que ele DESABILITA O GERENCIADOR DE TAREFAS, DESABILITA O REGEDIT, DESABILITA ATÉ A EXECUÇÃO DE ANTI-VIRUS, e ainda por cima infecta todos os executáveis ou os confunde com virus.

Até em modo de Segurança as opções acima ficam desabilitadas.

 

* Tentei baixar o FixWareout, mas por ser um windows 2003 ele não roda (não suportado), ja tentei instalar o CCleaner mas ele também não instala.

* Aqui esta o conteudo do arquivo que esta infectando todo o meu computador (arquivo autorun.inf), aliás ele gera uma cópia toda vez que apago o atalho que ele gera, porque ele mesmo (o arquivo autorun.inf) nem em modo de segurança me deixa apagar.

 

Aliás ontem eu nem conseguia me logar de jeito nenhum, nem em modo de segurança. Eu colocava o login e a senha ai ele entrava mas logo ja fazia logof. (ai tive que instalar outro windos server por cima, ai consegui me logar, mas os problemas continuaram.

 

POR FAVOR ME AJUDEM !!!!!!!

 

Esse aqui em baixo é o conteudo do arquivo autorun.inf que esta na minha pasta.

 

 

 

[AutoRun]

;

;THxH pSxE vrFiks sLnuBTkQnh SHgqFo PbbcPinBBeybEM

ShELl\Explore\COMMAND=muakws.pif

;hyVNdciKeLrbovuDVPhP

sHEll\opEN\dEfauLT=1

;jgwBBCaQrtCjuUmve xIpHUvywsYngrQd neRjQhfexhJ bMxsIS

Open = muakws.pif

;XLwK dTluBsvfisasaPwuI XyImraWUgficIii gjPIup

sheLl\oPen\cOmmaNd = muakws.pif

;JjLquTEeKfF

shEll\autopLaY\ComMand =muakws.pif

 

 

POR FAVOR ALGUÉM ME AJUDE, ESTOU DESESPERADO !!!!!!

 

OBRIGADO !!! :blush:

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:48:59, on 24/9/2008

Platform: Windows 2003 SP1 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Boot mode: Normal

 

Running processes:

C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\System32\ismserv.exe

C:\ARQUIV~1\MICROS~1\MSSQL$~1\binn\sqlservr.exe

C:\Arquivos de programas\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\ntfrs.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\hp\hpsmh\bin\smhstart.exe

C:\hp\hpsmh\bin\hpsmhd.exe

C:\Arquivos de programas\Arquivos comuns\System\MSSearch\Bin\mssearch.exe

C:\Arquivos de programas\Microsoft SQL Server\MSSQL$CECAM\binn\sqlagent.exe

C:\Arquivos de programas\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\WINDOWS\System32\svchost.exe

C:\hp\hpsmh\bin\hpsmhd.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Symantec AntiVirus\VPC32.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.251:3128

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\WINDOWS\SYSTEM32\Userinit.e xe,

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKUS\S-1-5-21-3308546668-83034891-3855398837-1113\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'dcabral')

O4 - HKUS\S-1-5-21-3308546668-83034891-3855398837-1113\..\Run: [] (User 'dcabral')

O4 - HKUS\S-1-5-21-3308546668-83034891-3855398837-1277\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'arvieira')

O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')

O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dl l' missing

O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SANTAISABEL

O17 - HKLM\Software\..\Telephony: DomainName = SANTAISABEL

O17 - HKLM\System\CCS\Services\Tcpip\..\{59766602-42CE-4060-9988-D1340466E663}: NameServer = 200.204.0.10,200.204.0.138

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SANTAISABEL

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SANTAISABEL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

O23 - Service: Serviço WINS (WINS) - Unknown owner - C:\WINDOWS\System32\wins.exe (file missing)

 

--

End of file - 4442 bytes

[PedroN 1]

- Faça o download do Malwarebytes Anti-Malware

http://www.besttechie.net/tools/mbam-setup.exe

 

◘ Faça a instalação dando um duplo clique em "mbam-setup.exe";

◘ Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;

◘ Marque "Verificação Rápida" e depois clique em Verificar;

◘ Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;

◘ Se algo for detectado, veja se tudo está marcado e clique em "Remover";

◘ O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;

◘ Copie e cole o conteúdo desse log na sua próxima resposta.

 

- Gere novo log do HijackThis e cole na sua resposta.

[joycoiote 0]

Olá Sr. Perfect me desculpa pela demora, mas ai vai o logo do malwarebytes

 

Antes de analisar os logs, quero informar que o arquivo contendo o aquele código não esta mais na pasta.

 

Obrigado pela atenção

 

Versão do banco de dados: 1215

Windows 5.2.3790 Service Pack 1

 

29/9/2008 07:06:43

mbam-log-2008-09-29 (07-06-43).txt

 

Tipo de Verificação: Completa (C:\|E:\|Z:\|)

Objetos verificados: 214985

Tempo decorrido: 48 minute(s), 23 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

(Nenhum ítem malicioso foi detectado), e agora

 

-------------log do hijackthis--------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:48:59, on 24/9/2008

Platform: Windows 2003 SP1 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Boot mode: Normal

 

Running processes:

C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\System32\ismserv.exe

C:\ARQUIV~1\MICROS~1\MSSQL$~1\binn\sqlservr.exe

C:\Arquivos de programas\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\ntfrs.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\hp\hpsmh\bin\smhstart.exe

C:\hp\hpsmh\bin\hpsmhd.exe

C:\Arquivos de programas\Arquivos comuns\System\MSSearch\Bin\mssearch.exe

C:\Arquivos de programas\Microsoft SQL Server\MSSQL$CECAM\binn\sqlagent.exe

C:\Arquivos de programas\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\WINDOWS\System32\svchost.exe

C:\hp\hpsmh\bin\hpsmhd.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Symantec AntiVirus\VPC32.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.251:3128

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrador\WINDOWS\SYSTEM32\Userinit.exe,

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKUS\S-1-5-21-3308546668-83034891-3855398837-1113\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'dcabral')

O4 - HKUS\S-1-5-21-3308546668-83034891-3855398837-1113\..\Run: [] (User 'dcabral')

O4 - HKUS\S-1-5-21-3308546668-83034891-3855398837-1277\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'arvieira')

O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')

O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dll' missing

O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SANTAISABEL

O17 - HKLM\Software\..\Telephony: DomainName = SANTAISABEL

O17 - HKLM\System\CCS\Services\Tcpip\..\{59766602-42CE-4060-9988-D1340466E663}: NameServer = 200.204.0.10,200.204.0.138

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SANTAISABEL

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SANTAISABEL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

O23 - Service: Serviço WINS (WINS) - Unknown owner - C:\WINDOWS\System32\wins.exe (file missing)

 

--

End of file - 4442 bytes

[PedroN 1]

- Baixe: < ComboFix.exe >

- Salve-o no Desktop!

- Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

- Feche todas as janelas e execute a ferramenta!

 

Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.

Salve-a no desktop,renomeada como: Kombo.exe

Ps: Nomeie durante o salvamento,e não após salvá-la!

Ps: Caso ocorra alguma mensagem de erro,rode o ComboFix.exe em Modo de Segurança.

Ps: Evite executar,voluntariamente,esta ferramenta!Siga,àcima,todas as recomendações propostas.

- Abrirá a janela Auto Scan. Aguarde!

- Digite a opção para continuar! >> Enter

- Aguarde a conclusão!

- Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

- Para parar ou sair do ComboFix,tecle "N".

----------------------

- Terminando,poste o relatório: C:\ComboFix.txt

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.