[Arquivado] HiJackThis

[Lígia M 0]

Boa noite.

 

Segui todos os passos do tópico e agora estou criando o tópico.

 

Obrigada.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:46:52, on 1/3/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\AhnRpta.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\HiJackThis.exe

 

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2F2574-A5DA-4356-989F-1AF3CE90EBF8}: NameServer = 85.255.116.130,85.255.112.107

 

--

End of file - 1794 bytes

[MGuitar 11]

1ª Etapa

 

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

 

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);

● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;

● Após a instalação execute o programa;

● Marque a opção Verificação Rápida e depois clique em Verificar;

● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;

● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.

OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;

● O log pode ser consultado clicando em Logs do menu principal também;

 

 

2ª Etapa

 

- Faça o download do ComboFix e salve-o na área de trabalho;

 

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;

● Duplo clique no ícone combofix.exe para iniciar o scan;

● Leia o contrato que aparecerá e clique em Sim para continuar;

● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;

● Aguarde enquanto o ComboFix faz o scan;

● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;

● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;

● Se quiser sair ou parar o ComboFix, tecle N;

● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;

● Será gerado um log em C:\ComboFix.txt.

 

Em sua próxima resposta, cole os logs do Malwarebytes e do ComboFix, por favor.

[Lígia M 0]

Malwarebytes' Anti-Malware 1.34

Versão do banco de dados: 1815

Windows 5.1.2600 Service Pack 2

 

4/3/2009 00:58:07

mbam-log-2009-03-04 (00-58-07).txt

 

Tipo de Verificação: Rápida

Objetos verificados: 52579

Tempo decorrido: 5 minute(s), 12 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 1

Pastas infectadas: 1

Arquivos infectados: 2

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Pastas infectadas:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Delete on reboot.

 

Arquivos infectados:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe (Trojan.Agent) -> Delete on reboot.

 

 

 

 

ComboFix 09-03-02.03 - Lígia 2009-03-04 1:08:20.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1046.18.446.240 [GMT -3:00]

Executando de: c:\documents and settings\Lígia\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Autorun.inf

C:\tel.xls.exe

c:\windows\system32\algsrv.exe

c:\windows\system32\filekan.exe

c:\windows\system32\socksa.exe

c:\windows\ufdata2000.log

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-02-04 to 2009-03-04 ))))))))))))))))))))))))))))

.

 

2009-03-02 13:43 . 2009-03-02 13:43 <DIR> d----c--- c:\documents and settings\Lígia\Dados de aplicativos\Malwarebytes

2009-03-02 13:43 . 2009-03-02 13:43 <DIR> d----c--- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-03-02 13:43 . 2009-03-04 00:50 <DIR> d----c--- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-03-02 13:43 . 2009-02-11 10:19 38,496 --a--c--- c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-02 13:43 . 2009-02-11 10:19 15,504 --a--c--- c:\windows\system32\drivers\mbam.sys

2009-02-21 17:57 . 2006-03-02 06:00 70,144 --a--c--- c:\windows\AhnRpta.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-02 20:57 --------- dc----w c:\documents and settings\Lígia\Dados de aplicativos\BrOffice.org2

2009-02-22 02:28 20,992 -c--a-w c:\windows\system32\drivers\vga.sys

2008-08-18 05:19 22,458,664 -c--a-w c:\arquivos de programas\SkypeSetup.exe

.

 

((((((((((((((((((((((((((((( SnapShot@2009-03-02_14.34.17,87 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-02-09 14:12:29 40,326 ----a-w c:\windows\system32\perfc009.dat

+ 2009-03-02 17:45:39 40,326 ----a-w c:\windows\system32\perfc009.dat

- 2009-02-09 14:12:29 49,044 ----a-w c:\windows\system32\perfc016.dat

+ 2009-03-02 17:45:39 49,044 ----a-w c:\windows\system32\perfc016.dat

- 2009-02-09 14:12:29 311,938 ----a-w c:\windows\system32\perfh009.dat

+ 2009-03-02 17:45:39 311,938 ----a-w c:\windows\system32\perfh009.dat

- 2009-02-09 14:12:30 344,972 ----a-w c:\windows\system32\perfh016.dat

+ 2009-03-02 17:45:39 344,972 ----a-w c:\windows\system32\perfh016.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Synchronizer.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Lígia^Menu Iniciar^Programas^Inicializar^BrOffice.org 2.0.lnk]

path=c:\documents and settings\Lígia\Menu Iniciar\Programas\Inicializar\BrOffice.org 2.0.lnk

backup=c:\windows\pss\BrOffice.org 2.0.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Chrome3]

--a--c--- 2008-03-18 10:21 667648 c:\arquivos de programas\s3graphics\chrome3\chrome3.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a--c--- 2004-08-04 05:56 1667584 c:\arquivos de programas\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\S3Funkey]

--a--c--- 2008-03-18 10:18 102400 c:\arquivos de programas\s3graphics\chrome3\S3Funkey.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a--c--- 2008-04-02 23:46 774233 c:\arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a--c--- 2008-09-11 00:43 185896 c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a--c--- 2008-04-02 21:44 69632 c:\windows\Alcmtr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--a--c--- 2008-04-02 22:15 16857600 c:\windows\RTHDCPL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]

--a--c--- 2007-12-20 17:05 77824 c:\windows\system32\VTTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"wscsvc"=2 (0x2)

"SwPrv"=3 (0x3)

"mnmsrvc"=3 (0x3)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [2008-04-03 264576]

R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [2008-05-12 596480]

R3 vcrdrx32;VIA MSP Cardreader driver;c:\windows\system32\drivers\vcrdrx32.sys [2008-04-03 71808]

 

--- ---

 

*Deregistered* - EventSystem

*Deregistered* - helpsvc

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - MSIServer

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - PolicyAgent

*Deregistered* - ProtectedStorage

*Deregistered* - RasMan

*Deregistered* - RpcLocator

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - Spooler

*Deregistered* - srservice

*Deregistered* - SSDPSRV

*Deregistered* - stisvc

*Deregistered* - TapiSrv

*Deregistered* - Themes

*Deregistered* - upnphost

*Deregistered* - W32Time

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WZCSVC

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1aa655c8-d797-11dd-b929-0017c428b2ef}]

\Shell\AutoRun\command - D:\l3v.exe

\Shell\explore\Command - D:\l3v.exe

\Shell\open\Command - D:\l3v.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93fe7233-d785-11dd-b926-0017c428b2ef}]

\Shell\AutoRun\command - E:\l3v.exe

\Shell\explore\Command - E:\l3v.exe

\Shell\open\Command - E:\l3v.exe

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-04 01:12:55

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

Tempo para conclusão: 2009-03-04 1:18:27

ComboFix-quarantined-files.txt 2009-03-04 04:18:23

ComboFix2.txt 2009-03-02 17:36:30

 

Pré-execução: 246.030.336 bytes disponíveis

Pós execução: 243,302,400 bytes disponíveis

 

145

 

 

Obrigadaaaaaaaaaaaaaaa..

 

=)

[MGuitar 11]

1ª Etapa

 

Acesse o VirusTotal. Copie este caminho em destaque abaixo e cole ao lado do botão . Clique em Enviar Arquivo e aguarde.

 

C:\Windows\system32\drivers\vga.sys

 

Copie o link que estará em frente ao nome Permalink e cole-o aqui, veja na imagem:

 

 

2ª Etapa

 

Selecione e copie o texto abaixo (começando de File) e cole no Bloco de Notas de seu PC. Salve-o no desktop como CFScript.txt

 

File::c:\windows\AhnRpta.exeRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1aa655c8-d797-11dd-b929-0017c428b2ef}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93fe7233-d785-11dd-b926-0017c428b2ef}]SysRst::

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

 

 

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;

● Não use o mouse nem o teclado quando o ComboFix estiver rodando;

● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;

● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

 

Em sua próxima resposta, cole o resultado do VirusTotal e o log do ComboFix.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.