[Arquivado] Provável Infecção por Conficker

miguelino3ol · Outubro 25, 2009

Boa noite!

Meu computador está com os seguintes sintomas:

Não consigo acessar nenhum site de antivírus.

A conexão com a internet está caindo de vez em quando, me obrigando a entrar no site do modem ADSL e configurar novamente a senha do provedor.

No Windows explorer, em Meu Computador, ao dar duplo clique nos ícones dos discos C:, D: e F:, eles não abrem e pedem para eu escolher um programa para abrir o arquivo. Só consigo abri-los através da árvore de pastas na esquerda.

Ontem estava conseguindo acessar o forum.imasters, mas hoje não. (Agora estou acessando de outro computador)

Pelo que li na internet, parece ser infecção por Conficker, isso se não tiver mais outros junto.

Recebi algumas sugestões de amigos, além do que vi na internet, mas não sei desses seria o melhor procedimento (ou tavez outro ainda):

1)Baixar os patches da Microsoft e as ferramentas de remoção no outro computador, instalar no meu e remover o vírus; ou:

2)Fazer um backup de todos os arquivos de dados (tem mais de 100 GB) em um HD externo; formatando o meu computador;reinstalar o Windows ; instalar o anti-vírus e fazer a varredura do HD com o backup; ou:

3)Dar o boot com um CD do Linux, acessar a internet e fazer uma varredura do disco infectado com um anti-vírus online.

Por favor, me ajudem,

Miguel

Abaixo o log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:24:44, on 25/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\FaxTalk Communicator\FTCtrl32.exe

C:\Arquivos de programas\ScanSoft\OmniPage15.0\Opware15.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

C:\Arquivos de programas\FaxTalk Communicator\FAPIEXE.EXE

C:\Arquivos de programas\VIA\RAID\raid_tool.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgemc.exe

C:\Documents and Settings\a\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\ieso0.dll (file missing)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CallControl 4.5] C:\Arquivos de programas\FaxTalk Communicator\FTCtrl32.exe /autoload

O4 - HKLM\..\Run: [Office XP crack (nao remover)] C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Office10\zera_oxp.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Arquivos de programas\Arquivos comuns\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Opware15] "C:\Arquivos de programas\ScanSoft\OmniPage15.0\Opware15.exe"

O4 - HKLM\..\Run: [OpScheduler] "C:\Arquivos de programas\ScanSoft\OmniPage15.0\OpScheduler.exe"

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Arquivos de programas\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe

O4 - HKCU\..\Run: [PowerBar] "C:\Arquivos de programas\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Arquivos de programas\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Arquivos de programas\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{25D6EAF2-CF98-4885-9677-A4CBAA5DC325}: NameServer = 201.10.1.2,201.10.120.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{25D6EAF2-CF98-4885-9677-A4CBAA5DC325}: NameServer = 201.10.1.2,201.10.120.3

O17 - HKLM\System\CS2\Services\Tcpip\..\{25D6EAF2-CF98-4885-9677-A4CBAA5DC325}: NameServer = 201.10.1.2,201.10.120.3

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Arquivos de programas\Canon\CAL\CALMAIN.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 5723 bytes

DigRam · Outubro 26, 2009

Bom Dia! miguelino3ol

<@> Utilize outro computador e crie o Kaspersky Rescue Disk.

<@> A Kaspersky está oferecendo um Rescue Disk,para remover malwares,sem a necessidade de iniciar o Windows.

<@> Baixe o arquivo ISO,e grave a imagem em um CD ou DVD.

<@> Reinicie seu computador,na desinfecção,à partir desse disco.

<><><><><><><><><><>

<@> Baixe: < SafeBootKeyRepair >

<@> Salve-a,diretamente,no Disco-local ©.

<@> Execute-a!E,ao terminar,gerará um relatório: C:\SafeBoot_Repair.txt <-- Não poste!

<><><><><><><><><><>

<@> Baixe: < DrWebCureIt >

<@> < Link - 2 >

<@> Caso tenha dificuldades para o download,utilize outro computador ou proxy.

<@> Vá em: < Proxify >

<@> Digite,na caixa,a URL ao DrWebCureIt.

<@> Clique em Proxify.

<@> Ou,vá em texas proxy <-- Link!

<@> Remova a Url que está ao lado de Surf! ( Youtube! )

<@> Digite ou cole: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

<@> Clique em Surf!

<@> Salve DrWebCureIt.exe no desktop!

<@> Reinicie o computador em Modo de Segurança.

<@> Inicie a instalação/execução,com um duplo-clique em drweb-cureit.

<@> Na janela que abrir,clique em Iniciar --> OK.

<@> Será dado início a "Verificação rápida" --> Feche a janela de propaganda!

<@> Terminando,marque a caixa de "Verificação Completa".

<@> Click em "Options" --> Em Change settings,desmarque a "Heuristic analysis".

Neste modo são verificados os seguintes objectos:

* Sectores de Arranque de Todos os Discos. <--

* Todas as Unidades Removíveis. <--

* Todos os Discos Locais. <--

<@> Clique em "Iniciar verificação" --> Aguarde!

<@> Surgindo mensagens para mover ou desinfectar arquivos,clique em Sim.

<@> Terminando,clique em "Ficheiro" --> "Guardar lista de relatórios".

<@> Procure salvá-lo em um local adequado. ( DrWeb.csv ) <-- Converta em Texto!

<@> Poste: DrWeb.csv + HijackThis,atualizado.

Abraços!

miguelino3ol · Outubro 27, 2009

Boa tarde, DigRam,

Muito obrigado pela resposta.

Não consegui baixar o Kaspersky Rescue Disk pelo link que constava fórum do Baboo (http://dnl-eu10.kaspersky-labs.com/devbuilds/RescueDisk/), mesmo em um computador não-infectado. Mas consegui através do Ultradownloads ( http://ultradownloads.com.br/download/Kaspersky-Rescue-Disk/baixar-gratis.html ).

Vou fazer o procedimento proposto, amanhã informo o resultado.

Sabe se é possível que o vírus se transmita para o modem ADSL e daí para outro computador que seja ligado naquele modem?

Abraços,

Miguel

DigRam · Outubro 27, 2009

Boa Noite! miguelino3ol

Sabe se é possível que o vírus se transmita para o modem ADSL e daí para outro computador que seja ligado naquele modem?

<!> O malware ( infector ),acrescenta um código criptografado em arquivos executáveis,na máquina afetada.Onde backups,tornam-se contra-producentes,para utilizações futuras.

<!> Recomendo que grave em CD ou pendrive,as ferramentas que serão utilizadas na desinfecção.

<!> Mantenha o computador infectado,desconectado e com a Restauração do sistema desligada.

<!> Evite o uso do modem ADSL,à menos que o computador não afetado,tenha o patch MS08-067.

< MS08-067 >

Abraços!

miguelino3ol · Novembro 3, 2009

Prezado DigRam,

Boa noite,

Desculpe não ter dado retorno sobre minha situação, pois estava terminando um trabalho urgente.

Não consegui baixar o Kaspersky Rescue CD 2009 pelo link do Baboo(http://dnl-eu10.kaspersky-labs.com/devbuilds/RescueDisk/) Dá page not found.

Tentei procurar outro link. Achei http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso.

Baixei e gravei o disco. Mas dá um erro ao dar boot:

"Isolinux 3.09 2005-06-17

Isolinux Diosk Error 32, AX 424D, drive 9F"

Aparentemente é uma versão antiga.

Porém consegui o Kaspersky Kido Killer (Kaspersky KK_v3.4.7 KK.exe) e também o disco de instalaçao do McAffee Viruscan Internet Security 2009. Posso usar um deles ao invés do Kaspersky Rescue Disk?

Muito obrigado,

Miguel

DigRam · Novembro 4, 2009

Boa Noite! miguelino3ol

Porém consegui o Kaspersky Kido Killer (Kaspersky KK_v3.4.7 KK.exe) e também o disco de instalaçao do McAffee Viruscan Internet Security 2009. Posso usar um deles ao invés do Kaspersky Rescue Disk?

<!> Apenas Kaspersky Kido Killer,seria recomendável na desinfecção.

<><><><><><><><><><>

<@> Temos,abaixo,algumas ferramentas direcionadas ao Kido.

<1> < Kaspersky Kido Killer 3.4.3 >

<2> < F-Downadup Removal Tool > ( ...by F-Secure )

<3> < Removal Tool for Win32.Worm.Downadup.Gen >

<4> < W32.Downadup Removal Tool > ( ...by Symantec )

<5> < MSRT by Microsoft - Malicious Software Removal Tool (KB890830) >

<6> < ssconftool_10_sfx.exe > ( 771,55kb )

<7> < Sophos Conficker Clean-up Tool 1.3 >

<8> < EConfickerRemover.exe >

<@> Ps: Antes de utilizar as ferramentas,procure instalar esta correção:

< MS08-067 >

<@> Desabilite:

<1> Qualquer conecção com a internet ou rede.

<2> Auto-executar.

<3> Restauração do Sistema.

<@> Vá em Iniciar --> Executar --> Digite: gpedit.msc

<@> Diretiva Computador Local --> Configurações do Computador --> Modelos Administrativos --> Sistema.

<@> No Painel direito,dê um duplo-clique em Desativar Auto-Executar.

<@> Marque: Ativado --> Selecione: Todas as unidades --> Ok.

<@> Assim,você não será infectado ao conectar algum drive infectado.

<@> Preferencialmente,recomendo a formatação de suas mídias removíveis.

<@> Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema.

<@> Marque: Desativar Restauração do Sistema --> Aplicar --> Aguarde! --> Ok.

<@> Depois,desmarque novamente! --> Aplicar --> Aguarde! --> Ok.

<@> Para maiores detalhes,leia o Tutorial: < Link >

<@> Ps: Procure executar o maior n° de ferramentas,em cada conta,e tendo atributos administrativos.

<@> Ps: Retire-as do zip,ao executá-las!

Abraços!

miguelino3ol · Novembro 6, 2009

Passei o Kido Killer e as demais ferramentas.

Eis o log do DrWebCureIt:

Mv2PlayerPlus.exe;C:\Arquivos de programas\Mv2Player;Trojan.PWS.Banker.28836;Eliminado.;

E eis o do HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:09:59, on 11/5/aaaa

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\dc53978670\7s6zd3.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\dc53978670\hnb32XP.exe

D:\MIGUEL DOCS\20091025 Limpeza do virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing