[Resolvido!] Socket Error# 11004 no TS

Gatimax · Maio 22, 2009

Gente to com um Socket Error# 11004 no seguinte IP do TS: 69.162.64.66.8768, andei pesquisando um pouco na net, e verifiquei que era necessário um tal de log, baixei o programa Hijackthis e aqui está o log dele:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:06:04, on 22/5/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Ares\Ares.exe

C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Arquivos de programas\ESET\nod32kui.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Arquivos de programas\Arquivos comuns\Adobe\Updater5\AdobeUpdater.exe

C:\Documents and Settings\Mateus Mendonça\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O1 - Hosts: 66.7.198.116 nprotect.lineage2.com

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=060209 serial=DR12WEX-1504397-kty lang=EN

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: Baixar com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Baixar vídeo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: Download selecionado pelo Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.gamehouse.com/realarcade-webgam...opcaploader.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Arquivos de programas\Ares\chatServer.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--

End of file - 5602 bytes

PedroN · Maio 23, 2009

Oi Gatimax tenha um bom dia e seja bem-vindo ao Imaster. Meu nome é Pedro Neto e irei ajudá-la neste caso, espero que você não abondone o seu tópico e realize os procedimentos até o final.

Faça o download do ComboFix de um destes locais:

Link 1.

Link 2.

Link 3.

Importante!

Você não deve usar Combofix a menos que você tenha sido instruído a fazê-lo por um análista de segurança.

Destina-se pelo seu criador para ser utilizado sob orientação e supervisão de um especialista, e não para uso privado.

Utilizando esta ferramenta incorreto poderia levar a desastrosa problemas com o seu sistema operacional.

Certifique-se de que você salvou ComboFix.exe para o seu desktop.

• Desabilite o seu Antivírus e AntiSpyware , geralmente através de um clique direito sobre o ícone da bandeja do sistema. Eles podem interferir na execução da ferramenta.

• Dê um duplo clique no ComboFix.exe & siga as instruções.

• Como parte de seu processo, ComboFix irá verificar se o Microsoft Windows Recovery Console está instalado. Como as infecções de malware são hoje, é fortemente recomendado que esteja pré-instalado em sua máquina antes de fazer qualquer remoção de malware. Ela permitirá que você arrancar em especial uma recuperação / reparação modo a permitir-nos-á mais fácil ajudá-lo a seu computador deve ter um problema após uma tentativa de remoção de malware.

• Siga as instruções para permitir ComboFix para baixar e instalar o Microsoft Windows Recovery Console e, quando for solicitado, concordar com o End-User License Agreement para instalar o Microsoft Windows Recovery Console.

-- Atenção: Se a consola de recuperação do Microsoft Windows já estiver instalado, ComboFix irá continuar a sua remoção malware procedimentos.

Uma vez que o Microsoft Windows Recovery Console é instalado usando o ComboFix, você deverá ver a seguinte mensagem:

Clique em Sim, para continuar a varredura de malware.

Quando terminar, ela deve produzir um log para você. Poste o relatorio do combofix que estar em C: \ ComboFix.txt junto com um log do hijackthis.

Gatimax · Maio 23, 2009

Bom dia pra você também Pedro, obrigado pela recepção e atenção ao meu problema, tenha certeza de que não irei deixar o caso em aberto e se tudo der certo em breve ele estará resolvido. ^^

Bem Pedro como você me pediu eu baixei o Combofix.exe e o executei, como você disse antes sobre os antivírus eu desativei o meu que é o NOD32, porém um arquivo dele continuava ativoi, por isso antes de proceder com o procedimento eu desinstalei o NOD32, e executei o Combofix que não acusou problema algum e seguiu normalmente, ele criou o log que segue abaixo:

Log do Combofix:

ComboFix 09-05-22.07 - Mateus Mendonça 23/05/2009 9:58.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.512.258 [GMT -3:00]

Executando de: c:\documents and settings\Mateus Mendonça\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\arquivos de programas\FlashGet Network

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-23 to 2009-05-23 ))))))))))))))))))))))))))))

.

2009-05-22 23:32 . 2009-05-22 23:33 -------- d-----w c:\arquivos de programas\Teamspeak2_RC2

2009-05-21 03:49 . 2009-05-21 04:07 -------- d-----w c:\arquivos de programas\Lineage II

2009-05-19 00:11 . 2009-05-19 00:22 -------- d-----w c:\arquivos de programas\ZipGenius 6

2009-05-18 21:20 . 2009-05-19 00:01 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WinZip

2009-05-18 21:12 . 2009-05-18 21:12 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DAEMON Tools Lite

2009-05-18 21:10 . 2009-05-18 21:10 721904 ----a-w c:\windows\system32\drivers\sptd.sys

2009-05-16 00:39 . 2009-05-16 00:39 -------- d-----w C:\profiles

2009-05-03 14:27 . 2004-01-25 21:18 217088 ----a-w c:\windows\system32\yv12vfw.dll

2009-05-03 14:27 . 2007-04-28 17:54 593920 ----a-w c:\windows\system32\xvidcore.dll

2009-05-03 14:27 . 2006-11-01 17:54 180224 ----a-w c:\windows\system32\xvidvfw.dll

2009-05-03 14:27 . 2007-04-23 05:15 3596288 ----a-w c:\windows\system32\qt-dx331.dll

2009-05-03 14:27 . 2007-04-23 05:02 73728 ----a-w c:\windows\system32\dpl100.dll

2009-05-03 14:27 . 2007-06-03 17:31 10752 ----a-w c:\windows\system32\ff_vfw.dll

2009-05-03 14:27 . 2007-05-31 11:44 740442 ----a-w c:\windows\system32\divx.dll

2009-05-03 14:27 . 2009-05-03 14:27 -------- d-----w c:\arquivos de programas\K-Lite Codec Pack

2009-04-24 00:50 . 2009-04-24 00:50 96645 ----a-w c:\windows\system32\drivers\klin.dat

2009-04-24 00:50 . 2009-04-24 00:50 87941 ----a-w c:\windows\system32\drivers\klick.dat

2009-04-24 00:49 . 2009-04-24 01:15 98336 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-04-24 00:49 . 2009-04-24 01:15 924704 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-04-24 00:49 . 2009-04-24 00:53 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-23 12:54 . 2008-08-06 20:30 -------- d-----w c:\arquivos de programas\ESET

2009-05-22 23:35 . 2008-08-24 17:19 -------- d-----w c:\arquivos de programas\Lineage II Interlude

2009-05-22 18:32 . 2008-08-06 02:05 -------- d-----w c:\arquivos de programas\Garena

2009-05-21 03:49 . 2008-08-06 02:05 -------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2009-05-20 23:36 . 2008-10-21 23:16 -------- d-----w c:\arquivos de programas\AIMP2

2009-04-24 01:15 . 2009-04-24 00:49 9352 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-04-24 01:15 . 2009-04-24 00:49 1416 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-04-18 23:20 . 2008-08-07 01:01 -------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2009-04-15 18:39 . 2009-04-11 00:49 -------- d-----w c:\arquivos de programas\Dungeon Siege 2

2009-04-07 01:46 . 2008-10-12 15:14 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-03-17 23:49 . 2009-03-17 23:49 603904 ----a-w c:\windows\system32\TUProgSt.exe

2009-03-17 23:49 . 2009-03-17 23:49 360192 ----a-w c:\windows\system32\TuneUpDefragService.exe

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CorelDRAW Graphics Suite 11b"="c:\arquivos de programas\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe" [2003-11-25 729088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\Mateus Mendon‡a\Menu Iniciar\Programas\Inicializar\

Stardock ObjectDock.lnk - c:\arquivos de programas\Stardock\ObjectDock\ObjectDock.exe [2008-8-6 3581680]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Orbit.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Orbit.lnk

backup=c:\windows\pss\Orbit.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\Ares\\Ares.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\SignPal Apprentice 7.0v3\\Program\\App.exe"=

"c:\\Arquivos de programas\\SignPal Apprentice 7.0v3\\Program\\App2.exe"=

"c:\\Arquivos de programas\\Free Download Manager\\fdm.exe"=

"c:\\Arquivos de programas\\Garena\\Garena.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5000:TCP"= 5000:TCP:AresChatServer

R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [17/3/2009 20:49 603904]

S3 npkycryp;npkycryp;\??\c:\arquivos de programas\Lineage II\system\npkycryp.sys --> c:\arquivos de programas\Lineage II\system\npkycryp.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Conteúdo da pasta 'Tarefas Agendadas'

2009-05-23 c:\windows\Tasks\1-Click Maintenance.job

- c:\arquivos de programas\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 00:36]

.

- - - - ORFÃOS REMOVIDOS - - - -

SafeBoot-procexp90.Sys

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: Baixar com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dllink.htm

IE: Baixar tudo com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlall.htm

IE: Baixar vídeo com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlfvideo.htm

IE: Download selecionado pelo Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlselected.htm

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Mateus Mendonça\Dados de aplicativos\Mozilla\Firefox\Profiles\gf9bjb4d.default\

FF - prefs.js: browser.startup.homepage - hxxp://google.com.br/

FF - component: c:\arquivos de programas\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - component: c:\arquivos de programas\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - plugin: c:\arquivos de programas\Unity\WebPlayer\loader\npUnity3D32.dll

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.notify.interval - 600000

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.switch.threshold - 600000

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-23 10:00

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(860)

c:\arquivos de programas\Stardock\ObjectDock\DockShellHook.dll

c:\arquiv~1\WINDOW~2\wmpband.dll

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Tempo para conclusão: 2009-05-23 10:02

ComboFix-quarantined-files.txt 2009-05-23 13:02

Pré-execução: 4.896.718.848 bytes disponíveis

Pós execução: 4.984.520.704 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=QGX0SW /Kernel=TUKernel.exe

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=QGX0SW-BAK

147

E segue aqui o Log do Hijackthis: