[Resolvido!] Processos estranhos

[igfmachado 0]

Ainda n consegui remover os arquivos e entradas citados no post #17, passei o < MSRT by Microsoft - Malicious Software Removal Tool (KB890830) > continua a passar as ferramentas?

[DigRam 144]

Ainda n consegui remover os arquivos e entradas citados no post #17, passei o < MSRT by Microsoft - Malicious Software Removal Tool (KB890830) > continua a passar as ferramentas?

<><><><><><><><><><>

Boa Tarde! igfmachado

 

<!> Sim! Passe todas as ferramentas disponíveis.

<!> Ao final,baixe e execute o ComboFix.exe.

<><><><><><><><><><>

<!> Poste: ComboFix.txt <--

 

Abraços!

[igfmachado 0]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:24:16, on 26/4/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Igor Filipe\Meus documentos\Igor\Programas\Anti-Vírus\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {20508254-AD30-4B13-A1E1-8B740F69D160} - C:\WINDOWS\system32\zwhchlss.dll

O2 - BHO: (no name) - {235e377d-71aa-4556-b669-e0f06bb1a0bb} - c:\windows\system32\abpeupk.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

O4 - HKCU\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"

O4 - HKCU\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: is-6NJMK.lnk = C:\Documents and Settings\Administrador\Desktop\Virus Removal Tool\is-6NJMK\startup.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O20 - Winlogon Notify: escznpgo - C:\WINDOWS\SYSTEM32\abpeupk.dll

O23 - Service: Serviço de transferência inteligente de plano de fundo (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Atualizações Automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

 

--

End of file - 4131 bytes

 

-------------------------------------------------

 

Norman Malware Cleaner

Copyright © 1990 - 2009, Norman ASA. Built 2009/04/23 22:14:41

 

Norman Scanner Engine Version: 6.00.06

Nvcbin.def Version: 6.00.00, Date: 2009/04/23 22:14:41, Variants: 3125455

 

Scan started: 26/04/2009 15:02:53

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 2

Logged on user: MACHADO\Administrador

 

Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""

 

 

Scanning running processes and process memory...

 

C:\WINDOWS\system32\winlogon.exe(224) (C:\WINDOWS\system32\zwhchlss.dll!0x03640000) (Infected with W32/Smalltroj.JVTG)

Failed to delete file (0x00000005)

 

Number of processes/threads found: 607

Number of processes/threads scanned: 607

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 28s

 

 

Scanning file system...

 

Scanning: C:\*.*

 

C:\Documents and Settings\Igor Filipe\Meus documentos\Igor\Programas\Anti-Vírus\backups\backup-20090426-003541-899.dll (Infected with W32/Smalltroj.JVTG)

Deleted file

 

C:\Documents and Settings\Igor Filipe\Meus documentos\Igor\Programas\Anti-Vírus\backups\backup-20090426-052711-743.dll (Infected with W32/Smalltroj.JVTG)

Deleted file

 

C:\Documents and Settings\Igor Filipe\Meus documentos\Igor\Programas\Anti-Vírus\backups\backup-20090426-140743-817.dll (Infected with W32/Smalltroj.JVTG)

Deleted file

 

C:\WINDOWS\system32\zwhchlss.dll (Infected with W32/Smalltroj.JVTG)

Failed to delete file (0x00000005)

 

Scanning: F:\*.*

 

 

Running post-scan cleanup routine:

Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""

 

Number of files found: 43126

Number of archives unpacked: 142

Number of files scanned: 43115

Number of files not scanned: 11

Number of files skipped due to exclude list: 0

Number of infected files found: 4

Number of infected files repaired/deleted: 3

Number of infections removed: 3

Total scanning time: 19m 17s

 

-------------------------------------------------

 

O Combofix qndo é executado aparece um alerta que diz q não é seguro e o combofix é excluido.

 

Obs.: Só consigo entrar em modo de segurança no pc, o modo normal da erro no explorer e ele não inicia mais.

[igfmachado 0]

A formatação e instalação do sistema operacional Linux removeria ou ajudaria na remoção deste malware?

[DigRam 144]

A formatação e instalação do sistema operacional Linux removeria ou ajudaria na remoção deste malware?

<><><><><><><><><><><>

Boa Noite! igfmachado

 

<!> É uma boa opção,se voçê possui conhecimentos desse SO.

<><><><><><><><><><><>

Obs.: Só consigo entrar em modo de segurança no pc, o modo normal da erro no explorer e ele não inicia mais.

<!> Copie o explorer.exe,de algum cache interno,para a pasta Windows.

<!> Faça o mesmo com o userinit.exe,para a pasta System32.

<!> Reinicie o computador!

<><><><><><><><><><><>

<@> Abra o HijackThis --> Clique: Do a system scan only

<@> Marque,abaixo,estas entradas:

 

O2 - BHO: (no name) - {20508254-AD30-4B13-A1E1-8B740F69D160} - C:\WINDOWS\system32\zwhchlss.dll

 

O2 - BHO: (no name) - {235e377d-71aa-4556-b669-e0f06bb1a0bb} - c:\windows\system32\abpeupk.dll

 

O20 - Winlogon Notify: escznpgo - C:\WINDOWS\SYSTEM32\abpeupk.dll

 

<@> Com todos os programas fechados,clique em Fix checked --> Sim!

<><><><><><><><><><><>

<@> Baixe: < Pocket Killbox >

<@> Salve-o no Desktop!

<@> Abra o KillBox --> Marque a opção: Delete on Reboot

<@> Marque a caixa: "End Explorer Shell While Killing File" --> Minimize a ferramenta!

<@> Copie o(s) ficheiro(s),sob o QUOTE,para o Bloco de Notas.

<@> Estando desconectado(a),acesse o Bloco de Notas e execute estes atalhos: ( ctrl + a ) --> ( ctrl + c )

 

C:\WINDOWS\system32\zwhchlss.dll

c:\windows\system32\abpeupk.dll

<@> No KillBox,que estava minimizado,clique em File --> Paste from Clipboard --> All Files.

<@> Clique no X e,na pergunta,confirme o reboot.

<@> Vá até a pasta: C:\!KillBox...que foi gerada!

<@> Poste o relatório de backup,que está em seu interior! ( C:\!KillBox\Logs\kb.log )

<><><><><><><><><><><>

<@> Baixe: < SmitfraudFix >

<@> Salve-o no Disco Local-C.

<@> Descompacte a ferramenta,e reserve o executável. ( SmitfraudFix.cmd )

<@> Reinicie o computador em Modo de Segurança!

<@> Execute o SmitfraudFix.cmd,com um duplo-clique.

<@> Aperte a opção 2 --> Enter.

<@> Quando aparecer a mensagem: Do you want to clean the registry,aperte a opção Y.

<@> Aperte Enter!

<@> Reinicie,normalmente,o computador!

<@> Caso tenha ocorrido mudanças,no desktop,corrija nas propriedades de vídeo.( Tema )

<@> Copie o Log ( rapport.txt ) e poste-o,na sua resposta + HijackThis,atualizado.

 

Abraços!

[igfmachado 0]

<!> Copie o explorer.exe,de algum cache interno,para a pasta Windows.

<!> Faça o mesmo com o userinit.exe,para a pasta System32.

<!> Reinicie o computador!

Não entendi

[DigRam 144]

<!> Copie o explorer.exe,de algum cache interno,para a pasta Windows.

<!> Faça o mesmo com o userinit.exe,para a pasta System32.

<!> Reinicie o computador!

Não entendi

<><><><><><><><><>

Opa! igfmachado

 

<@> Faça o seguinte:

 

<1> Copie daqui:

 

<!> C:\WINDOWS\ServicePackFiles\i386\explorer.exe

 

<!> C:\WINDOWS\ServicePackFiles\i386\userinit.exe

 

<2> Para aqui:

 

<!> C:\WINDOWS\explorer.exe

 

<!> C:\WINDOWS\System32\userinit.exe

 

<@> Reinicie,após fazê-lo!

 

Abraços!

[igfmachado 0]

não tenho a pasta "ServicePackFiles".

Talvez daki para o fim desse dia eu consiga uma memoria ram nova, no caso de uma formatação em baixo nivel, eu tenho apenas um hd, será que daria para eu formatar-lo assim mesmo ou eu prescisaria de outra maquina para formatar-lo?

Eu preciso de alguns arquivos do computador infectado, posso copiar-los para um pendrive e do pendrive para outro pc sem problemas?

[DigRam 144]

não tenho a pasta "ServicePackFiles".

Talvez daki para o fim desse dia eu consiga uma memoria ram nova, no caso de uma formatação em baixo nivel, eu tenho apenas um hd, será que daria para eu formatar-lo assim mesmo ou eu prescisaria de outra maquina para formatar-lo?

Eu preciso de alguns arquivos do computador infectado, posso copiar-los para um pendrive e do pendrive para outro pc sem problemas?

<><><><><><><><>

Opa! igfmachado

 

não tenho a pasta "ServicePackFiles".

<!> Busque,então,por algum cache interno.

<><><><><><><><>

Talvez daki para o fim desse dia eu consiga uma memoria ram nova, no caso de uma formatação em baixo nivel, eu tenho apenas um hd, será que daria para eu formatar-lo assim mesmo ou eu prescisaria de outra maquina para formatar-lo?

<!> Caso haja impedimentos,com a sua máquina,utilize outro computador no processo.

<><><><><><><><>

Eu preciso de alguns arquivos do computador infectado, posso copiar-los para um pendrive e do pendrive para outro pc sem problemas?

<!> É um risco que pode ser contornado,caso faça observações na detecção do Virut neste outro PC.

<!> Se houver infecções,não podem ser utilizados no seu computador.

<!> É claro que estamos nos referindo,a um computador "boi de piranha". rsrsrs...

 

Abraços!

[igfmachado 0]

Subistitui os arquivos citados por arquivos de outro pc com o mesmo sistema operacional, oa iniciar foi demorado mas iniciou como era antes da manifestaçao do virus, sem aparecer a tela de login, mas o explorer nao iniciou e quando eu executei o explorer pelo gerenciador de tarefas apareceu um alerta de segurança dizendo que "para ajudar a proteger seu computador, o windows fechou esse programa: Windows Explorer".

[DigRam 144]

Subistitui os arquivos citados por arquivos de outro pc com o mesmo sistema operacional, oa iniciar foi demorado mas iniciou como era antes da manifestaçao do virus, sem aparecer a tela de login, mas o explorer nao iniciou e quando eu executei o explorer pelo gerenciador de tarefas apareceu um alerta de segurança dizendo que "para ajudar a proteger seu computador, o windows fechou esse programa: Windows Explorer".

<><><><><><><><>

Opa! igfmachado

 

<!> Formate e retorne com um novo log do HijackThis.

 

Abraços!

[igfmachado 0]

Se a memoria ram é volatil, se eu remover ela o virus desapareceria?

[DigRam 144]

Se a memoria ram é volatil, se eu remover ela o virus desapareceria?

<><><><><><><><><>

Boa Tarde! igfmachado

 

<!> Isso deveria ocorrer,plenamente,mas...na prática não é o que ocorre.E,por não dispormos de seus dados em FF,totalmente apagados,arriscamos ter códigos do vírus ainda presentes.

<!> Voçê deveria considerar,que a reinfecção possui uma alta probabilidade de estar nos arquivos backups ou HD mal formatado.

 

Abraços!

[igfmachado 0]

Tomara que esteja limpo :upset:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:32:35, on 28/4/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\CTFMON.EXE

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\Documents and Settings\Igor Filipe\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

 

--

End of file - 2826 bytes

[DigRam 144]

Boa Noite! igfmachado

 

Tomara que esteja limpo

<!> Parabéns! Completamente limpo. :thumbsup:

<><><><><><><><><><><><><><><>

<@> Atualize o Java.

<@> Versões antigas têm vulnerabilidades que,malwares,podem usar para infectar seu sistema.

<><><><><><><><><><><><><><><>

<@> Faça download da última versão do Java Runtime Environment (JRE) 6u13.

<@> Localize: "Java Runtime Environment (JRE) 6 Update 13"

<@> Clique no botão Download.

<@> Marque a opção que diz: "Accept License Agreement"

<@> A página será atualizada!

<@> Clique no link,para download do Windows Offline Installation --> Salve-o no desktop!

<@> Feche o IE ou Firefox + Programas que estejam sendo executados.

<@> Vá em Iniciar --> Painel de Controle.

<@> Em Adicionar ou Remover Programas;remova todas as antigas versões do Java.

<><><><><><><><><><><><><><><>

<@> Exemplos de antigas versões:

 

< > Java 2 Runtime Environment, SE v1.4.2

< > J2SE Runtime Environment 5.0

< > J2SE Runtime Environment 5.0 Update 6

 

<@> Selecione qualquer item com nome: Java Runtime Environment (JRE ou J2SE)

<@> Clique no botão Remover ou Alterar/Remover.

<@> Repita quantas vezes for necessária,para remover cada versão do Java.

<@> Concluindo,reinicie o computador!

<@> Instale a nova versão,com um duplo clique em jre-6u13-windows-i586-p.exe.

<><><><><><><><><><><><><><><>

<!> A formatação foi bem sucedida!

<!> Tome cuidado,apenas,com os seus backups ou pendrives.

<!> Bom trabalho!

 

Abraços!

[igfmachado 0]

Nossa que alívio, obrigado pela paciência :D

Muito obrigado mesmo!

Abraços!

[DigRam 144]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.