[Arquivado] Análise de Log

[alexguedes 0]

Galera tô com um problemão!

 

O Avast detectou um vírus chamado Sality ... Essa praga infectou os arquivos .exe do pc...

Depois disso o acesso a internet ficou restrito e o avast é fechado automaticamente quando me conecto na rede, impedindo a atualização!

Não posso baixar antivirus e a maioria dos arquivos p/ tentar remover a praga ....

O acesso ao gerenciador de tarefas e regedit se tornou impossível.... Aparece uma mensagem dizendo que o acesso foi impedido pelo administrador...

Já olhei as configurações do gpedit e não há nada de errado ... É a m***** do vírus que está ferrando tudo!

A internet também ficou um pouco lenta...

 

Se alguém puder me ajudar a resolver o problema sem formatar o pc...

 

Segue log do Hijack This:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:51:21, on 15/9/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\ARQUIV~1\GbPlugin\GbpSv.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\RTHDCPL.EXE

E:\Arquivos de programas\D-Tools\daemon.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Java\jre6\bin\jqs.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\HPZipm12.exe

E:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

E:\WINDOWS\system32\svchost.exe

E:\DOCUME~1\MlkTwo\CONFIG~1\Temp\winpasnn.exe

E:\DOCUME~1\MlkTwo\CONFIG~1\Temp\winmfkps.exe

E:\DOCUME~1\MlkTwo\CONFIG~1\Temp\w5c5f81b.exe

E:\HiJack This\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - E:\Arquivos de programas\GbPlugin\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] E:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O12 - Plugin for .spop: E:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?AuthParam=1242964851_0e18b0dc735f0ea778d84ba2e7a41c1d&GroupName=JSC&FilePath=/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab&File=jinstall-6u13-windows-i586-jc.cab&BHost=javadl.sun.com

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D88F6425-AC5A-4659-B6E3-B1632FA4053D}: NameServer = 201.10.1.3 201.10.128.3

O20 - Winlogon Notify: GbPluginBb - E:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - E:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - E:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Gbp Service (GbpSv) - - E:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Serviço de Compartilhamento de Rede do Windows Media Player (WMPNetworkSvc) - Unknown owner - E:\Arquivos de programas\Windows Media Player\WMPNetwk.exe (file missing)

 

--

End of file - 5839 bytes

 

 

 

 

Desde já, agradeço...

 

Alex

[DigRam 144]

Bom Dia! alexguedes

 

<!> O quanto possível,mantenha o computador desconectado e com a Restauração do sistema desligada.

<><><><><><><><><><><>

<@> Baixe: < sality_off.zip >

<@> Extraia seu conteúdo,para o E:\. <-- Disco local (E)

<@> Desative seu antivírus temporariamente!

<@> Ps: A vacina será executada,simultaneamente,em 2 janelas:

 

<1> A primeira janela:

 

<@> Vá em Iniciar --> Executar > Digite: E:\Sality_off.exe -m

 

 

<@> Clique OK!

<@> Ps: Aguarde a finalização,que é demorada!

 

<2> A segunda janela:

 

<@> Dê duplo-clique em: E:\Sality_off.exe

<@> Ps: Aguarde a finalização,que é demorada!

<@> Terminando,aperte ENTER!

<><><><><><><><><><><>

<@> Vá à este Link,logo abaixo,e execute a vacina anti-sality.

 

< Win32_Sality >

 

<@> Execute estas instruções:

 

Win32/Sality

 

<@> Baixe os três arquivos,para a pasta: E:\Sality <-- Crie esta pasta!

 

<1> rmsality.exe

<2> rmsality.nt

<3> rmsality.dos

 

<@> Execute o arquivo: rmsality.exe

<@> Você também pode especificar os discos,para restaurar,como parâmetro de um comando.

<@> Exemplo: E:\Sality\rmsality E: C:

<@> Se o comando é usado sem parâmetros,será restaurado todos os discos no computador.

<@> Ps: O êxito do removedor,necessita de direitos administrativos.

<@> Para a funcionalidade apropriada do removedor,é necessário salvar o rmsality.nt e o rmsality.dos,na mesma pasta que o rmsality.exe.

<@> Ps: Caso possua o explorer.exe,ainda,infectado,execute o procedimento logo abaixo.

<@> Vá em Iniciar --> Executar --> Digite: e:\sality\rmsality e:\windows\explorer.exe --> Aperte Enter.

<><><><><><><><><><><>

<@> Baixe: < DrWebCureIt >

<@> Caso tenha dificuldades para o download,utilize outro computador ou proxy.

<@> Vá em: < Proxify >

<@> Digite,na caixa,a URL ao DrWebCureIt.

<@> Clique em Proxify.

<@> Ou,vá em: < texas proxy > <-- Link!

<@> Remova a Url que está ao lado de Surf! ( Youtube! )

<@> Digite ou cole: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

<@> Clique em Surf!

<@> Salve DrWebCureIt.exe no desktop!

<@> Reinicie o computador em Modo de Segurança.

<@> Inicie a instalação/execução,com um duplo-clique em drweb-cureit.

<@> Na janela que abrir,clique em Iniciar --> OK.

<@> Será dado início a "Verificação rápida" --> Feche a janela de propaganda!

<@> Terminando,marque a caixa de "Verificação Completa".

<@> Click em "Options" --> Em Change settings,desmarque a "Heuristic analysis".

 

Neste modo são verificados os seguintes objectos:

 

* Sectores de Arranque de Todos os Discos. <--

 

* Todas as Unidades Removíveis. <--

 

* Todos os Discos Locais. <--

<@> Clique em "Iniciar verificação" --> Aguarde!

<@> Surgindo mensagens para mover ou desinfectar arquivos,clique em Sim.

<@> Terminando,clique em "Ficheiro" --> "Guardar lista de relatórios".

<@> Procure salvá-lo em um local adequado. ( DrWeb.csv ) <-- Converta em Texto!

<@> Poste: DrWeb.csv + HijackThis,atualizado.

 

Abraços!

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.