Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

eumesmoluiz

[Arquivado] Server2003_Travando

Recommended Posts

Bom dia a todos, estou com um servidor com Windows server 2003 rodando. O mesmo esta travando constantemente. Irei postar o log do HijackThis para que alguem com conhecimento possa analisar.

 

Agradeço desde ja

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:58:15, on 16/4/2009

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

 

Running processes:

C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\McAfee\MANAGE~1\VScan\ENGINE~1.EXE

C:\WINDOWS\System32\svchost.exe

C:\FLEXLM\LMGRD.EXE

C:\FlexLM\LMG.EXE

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\WINDOWS\system32\lserver.exe

C:\WINDOWS\System32\svchost.exe

C:\ARQUIV~1\McAfee\MANAGE~1\VScan\McShield.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\McAfee\Managed VirusScan\Agent\myAgtTry.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\System32\logon.scr

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\McAfee\Managed VirusScan\Agent\myAgtTry.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

I:\Malware\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [MVS Splash] "C:\Arquivos de programas\McAfee\Managed VirusScan\Agent\Splash.exe"

O4 - HKLM\..\Run: [McAfee Managed Services Tray] C:\Arquivos de programas\McAfee\Managed VirusScan\Agent\StartMyAgtTry.Exe

O4 - HKLM\..\RunOnce: [ GbPluginBb] RunDll32.exe C:\ARQUIV~1\GbPlugin\gbieh.dll,Gbieh

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2040\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'elaine')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2116\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'ritahelena')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2158\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'silvana')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2174\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'paulo')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2178\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'mary')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2180\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'elisangela')

O4 - HKUS\S-1-5-21-1782639591-174056581-1812129615-2182\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'flavia')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - S-1-5-21-1782639591-174056581-1812129615-2116 Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'ritahelena')

O4 - S-1-5-21-1782639591-174056581-1812129615-2116 User Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'ritahelena')

O4 - S-1-5-21-1782639591-174056581-1812129615-2158 Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'silvana')

O4 - S-1-5-21-1782639591-174056581-1812129615-2158 User Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'silvana')

O4 - S-1-5-21-1782639591-174056581-1812129615-2180 Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'elisangela')

O4 - S-1-5-21-1782639591-174056581-1812129615-2180 User Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'elisangela')

O4 - S-1-5-21-1782639591-174056581-1812129615-2182 Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'flavia')

O4 - S-1-5-21-1782639591-174056581-1812129615-2182 User Startup: BrOffice.org 3.0.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe (User 'flavia')

O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dll' missing

O15 - ESC Trusted Zone: http://www.google.com.br

O15 - ESC Trusted Zone: http://runonce.msn.com

O15 - ESC Trusted Zone: http://*.windowsupdate.com

O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM)

O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1228843549609

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1BF03F76-A377-4FB5-9699-C39F7D0547CF}: NameServer = 192.168.0.1,192.168.0.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{1BF03F76-A377-4FB5-9699-C39F7D0547CF}: NameServer = 192.168.0.1,192.168.0.2

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: EngineServer - McAfee, Inc. - C:\ARQUIV~1\McAfee\MANAGE~1\VScan\ENGINE~1.EXE

O23 - Service: FLEXLM - Unknown owner - C:\FLEXLM\LMGRD.EXE

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: HP Storage Manager Agent (HPStorAgent) - Adaptec Incorporated - C:\Arquivos de programas\HP\HP Storage Manager\StorServ.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: McShield - McAfee, Inc. - C:\ARQUIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: Serviço de proteção contra vírus e spyware da McAfee (myAgtSvc) - McAfee, Inc. - C:\Arquivos de programas\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

 

--

End of file - 8606 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

eumesmoluiz,

 

estarei movendo seu post para a area de Segurança & Malwares

Leias as regras desta area:

http://forum.imasters.com.br/index.php?showforum=77

 

Abçs

 

 

Topico movido Microsoft Windows :seta: Segurança & Malwares

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa eumesmoluiz,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.