[Arquivado] Trojan Banco log

[MHINATA 0]

Gostaria que o scan efetuado fosse analisado, pois não consigo me livrar desse trojan que cria uma falsa página do banco do brasil em meu computador. <_<

Obrigada.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:42:07, on 25/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\ngsrv\ngslotd.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\pctspk.exe

C:\ARQUIV~1\INFOCO~1\mysql\bin\infosql.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe

C:\Arquivos de programas\ngsrv\epsng_certd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\ARQUIV~1\INFOCO~1\mysql\bin\mysqld-opt.exe

C:\Arquivos de programas\SpywareGuard\sgmain.exe

C:\Arquivos de programas\SpywareGuard\sgbhp.exe

C:\ARQUIV~1\ARQUIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\ntvdm.exe

C:\hijack\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

F3 - REG:win.ini: run= C:\PKT3270W\CONEXAO\DIAGNOSE.EXE

O1 - Hosts: 204.3.145.195 www.cef.com.br

O1 - Hosts: 204.3.145.195 cef.com.br

O1 - Hosts: 204.3.145.195 www.caixa.com.br

O1 - Hosts: 204.3.145.195 caixa.com.br

O1 - Hosts: 204.3.145.195 www.caixa.gov.br

O1 - Hosts: 204.3.145.195 caixa.gov.br

O1 - Hosts: 204.3.145.195 www.cef.gov.br

O1 - Hosts: 204.3.145.195 cef.gov.br

O1 - Hosts: 204.3.145.195 www.caixaeconomica.com.br

O1 - Hosts: 204.3.145.195 caixaeconomica.com.br

O1 - Hosts: 204.3.145.195 www.bradesco.com.br

O1 - Hosts: 204.3.145.195 bradesco.com.br

O1 - Hosts: 204.3.145.195 www.itau.com.br

O1 - Hosts: 204.3.145.195 itau.com.br

O1 - Hosts: 204.3.145.195 www.bb.com.br

O1 - Hosts: 204.3.145.195 bb.com.br

O1 - Hosts: 204.3.145.195 www.bancodobrasil.com.br

O1 - Hosts: 204.3.145.195 bancodobrasil.com.br

O1 - Hosts: 204.3.145.195 www.itaupersonnalite.com.br

O1 - Hosts: 204.3.145.195 itaupersonnalite.com.br

O1 - Hosts: 204.3.145.195 www.itauprivatebank.com.br

O1 - Hosts: 204.3.145.195 itauprivatebank.com.br

O1 - Hosts: 204.3.145.195 www.santander.com.br

O1 - Hosts: 204.3.145.195 santander.com.br

O1 - Hosts: 204.3.145.195 www.santanderbanespa.com.br

O1 - Hosts: 204.3.145.195 santanderbanespa.com.br

O1 - Hosts: 204.3.145.195 www.banespa.com.br

O1 - Hosts: 204.3.145.195 banespa.com.br

O1 - Hosts: 204.3.145.195 www.citibank.com.br

O1 - Hosts: 204.3.145.195 citibank.com.br

O1 - Hosts: 204.3.145.195 www.unibanco.com.br

O1 - Hosts: 204.3.145.195 unibanco.com.br

O1 - Hosts: 204.3.145.195 www.unibanco.com

O1 - Hosts: 204.3.145.195 unibanco.com

O1 - Hosts: 204.3.145.195 www.rural.com.br

O1 - Hosts: 204.3.145.195 rural.com.br

O1 - Hosts: 204.3.145.195 www.bancorutal.com.br

O1 - Hosts: 204.3.145.195 bancorural.com.br

O1 - Hosts: 204.3.145.195 www.bancopaulista.com.br

O1 - Hosts: 204.3.145.195 bancopaulista.com.br

O1 - Hosts: 204.3.145.195 www.real.com.br

O1 - Hosts: 204.3.145.195 real.com.br

O1 - Hosts: 204.3.145.195 www.bancoreal.com.br

O1 - Hosts: 204.3.145.195 real.com.br

O1 - Hosts: 204.3.145.195 www.credicardciti.com.br

O1 - Hosts: 204.3.145.195 credicardciti.com.br

O1 - Hosts: 204.3.145.195 corporate.credicardciti.com.br

O1 - Hosts: 204.3.145.195 credicarditau.com.br

O1 - Hosts: 204.3.145.195 www.credicarditau.com.br

O1 - Hosts: 204.3.145.195 www.cartaobndes.gov.br

O1 - Hosts: 204.3.145.195 carta^obndes.gov.br

O1 - Hosts: 204.3.145.195 www.infoseg.gov.br

O1 - Hosts: 204.3.145.195 infoseg.gov.br

O1 - Hosts: 204.3.145.195 www2.infoseg.gov.br

O1 - Hosts: 204.3.145.195 equifax.com.br

O1 - Hosts: 204.3.145.195 www.equifax.com.br

O1 - Hosts: 204.3.145.195 sci.com.br

O1 - Hosts: 204.3.145.195 www.sci.com.br

O1 - Hosts: 204.3.145.195 www.serasa.com.br

O1 - Hosts: 204.3.145.195 serasa.com.br

O1 - Hosts: 204.3.145.195 www.serasa.com

O1 - Hosts: 204.3.145.195 serasa.com

O1 - Hosts: 204.3.145.195 www.checkcheck.com.br

O1 - Hosts: 204.3.145.195 checkcheck.com.br

O1 - Hosts: 204.3.145.195 infobusca.informarketing.com

O1 - Hosts: 204.3.145.195 www.spc.org.br

O1 - Hosts: 204.3.145.195 spc.org.br

O1 - Hosts: 204.3.145.195 www.checktudo.com

O1 - Hosts: 204.3.145.195 checktudo.com

O1 - Hosts: 204.3.145.195 www.checktudo.com.br

O1 - Hosts: 204.3.145.195 checktudo.com.br

O1 - Hosts: 204.3.145.195 credd.com.br

O1 - Hosts: 204.3.145.195 www.credd.com.br

O1 - Hosts: 204.3.145.195 paypal.com

O1 - Hosts: 204.3.145.195 www.paypal.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GBPLUGIN\gbieh.dll (file missing)

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [TECSQL01] "C:\ARQUIV~1\INFOCO~1\mysql\bin\infosql.exe"

O4 - HKLM\..\Run: [TecAuto] "C:\ARQUIV~1\INFOCO~1\mysql\bin\tecauto.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Arquivos de programas\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [epsng_certd] C:\Arquivos de programas\ngsrv\epsng_certd.exe -r

O4 - HKLM\..\Run: [JavaPlugin] C:\WINDOWS\system32\taskmgrs.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1204812013390

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GBPLUGIN\gbieh.dll (file missing)

O23 - Service: Agendador do LiveUpdate automático (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\ARQUIV~1\GbPlugin\GbpSv.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe

O23 - Service: ngSlotDaemon (ngSlotD) - OEM - C:\Arquivos de programas\ngsrv\ngslotd.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Arquivos de programas\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 12105 bytes

[PedroN 1]

• Faça o download do HostsXpert e salve-o no desktop;

• Extraia o arquivo para seu desktop e execute o HostsXpert.exe;

• Clique no botão Restore MS Hosts Files e feche o programa.

[PedroN 1]

Siga os procedimentos na seqüencia

 

1° Etapa

 

• Faça o download do HostsXpert e salve-o no desktop;

• Extraia o arquivo para seu desktop e execute o HostsXpert.exe;

• Clique no botão Restore MS Hosts Files e feche o programa.

 

2° Etapa

 

<@> Baixe: < ComboFix.exe >

<@> Salve-o no Desktop!

<@> Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

<@> Feche todas as janelas e execute a ferramenta!

<@> Na solicitação: "Negação de garantia de software" --> Clique em Sim!

<@> Não possuindo o "Console de Recuperação",aceite optar pela instalação do mesmo!

 

<!> Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.

<!> Salve-a no desktop,renomeada como: Kombo.exe

<!> Ps: Nomeie durante o salvamento,e não após salvá-la!

<!> Ps: Surgindo alguma mensagem de erro,rode o ComboFix.exe em Modo de Segurança.

<!> Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

<!> Ps: Evite executar,voluntariamente,esta ferramenta!Siga,àcima,todas as recomendações propostas.

<@> Abrir-se-á a janela Auto Scan. --> Aguarde!

<@> Àfim de completar as remoções,o ComboFix poderá reiniciar o computador.

<@> Se houver necessidade,digite a opção para continuar! --> ( 1 ) --> Aperte Enter.

<@> Aguarde a conclusão!

<@> Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

<@> Para parar ou sair do ComboFix,tecle "N" --> Enter.

----------------------

<@> Terminando,poste os relatórios: C:\ComboFix.txt + HijackThis,atualizado.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.