[Resolvido!] Log Hijackthis

[krika 0]

Comecei a fazer a reparação e quase ao final deu falha da instalação INF, Causa: Identificador inválido.Dei ok. E agora? Também logo no início deu que estava faltando o arquivo msacm32.drv.

 

Em algum momento da instalação do xp eu tive que clicar em alguns itens mas teve um que eu não sabia se era para aceitar ou não, que foi fazer uma nova conta de msn para acesso à internet e fiquei com medo e dei não. Ocorre que agora quando o windows reiniciou, eu não tenho acesso à internet. Também não sei se vou ter que configurar alguma porta(não sei fazer isso) pois a minha internet é de uma firma(predial) mas via rádio. Será que vou ter que ligar para eles? Eu estou preocupada pois desde que eles vieram aqui e instalaram um roteador para o meu marido poder acessar com o seu macbook, é que vem dando esses problemas. O Kaspersky também está dizendo que os bancos de dados estão desatualizados. Mas eu já agradeço imensamente por você ter me ajudado a não perder meus dados. Se não for pedir muito você poderia me ajudar a concluir a verificação dos virus? E também me dizer o que faço com esses programas que eu coloquei no desktop. Obrigada.

[PedroN 1]

Primeiramente ligue para os responsaveis, quando ele arrumar tudo, voltaremos a conclusão do seu caso está certo assim?

Com acesso ao computador será melhor para resolução do mesmo.

 

Fico somente aguardando a sua resposta.

[krika 0]

Olha PedroN entrei em contato com o responsável pela conexão e expliquei tudo que aconteceu, ele fez alguns testes comigo e viu que estava tudo certo e que ele não podia fazer mais nada e que eu deveria procurar alguém para ver meu computador ou formatar. Disse a ele que tinha conseguido recuperar o Windows e os meus documentos e agora formatar? Nem pensar! Ele disse achar que o virus ainda está na minha máquina. Será que você não poderia me ajudar com as configurações para que eu tente entrar na internet? Caso contrário eu vou ter que pedir ajuda a um suporte e eu sei que foi alguma coisa que eu fiz, tipo desmarquei alguns itens. Saí mexendo em tudo pois achei que tinha alguém tendo acesso ao meu computador. Aguardo resposta.

[PedroN 1]

Bom, primeiramente informe todos os seus problemas em apenas uma resposta. Diga-me mais ou menos o que você fez, ou seja, o que você acha que é o principal problema para não ter acesso a internet.

 

Aguardo sua reposta.

[krika 0]

Não sei se terei tal capacidade mas vou tentar. 1º) Quando achei que havia alguém se conectando ao meu computador através de "Portas", saí desmarcando tudo que achava parecido como habilitando tais portas. 2º Quando da reparação do Windows, foi-me pedido para criar um msn para eu poder ter acesso à Internet e como não sabia o que fazer, dei NÃO. É o resumo que posso fazer.

 

Me desculpe mas deu um problema no computador aqui do trabalho e saiu várias vezes a mesma resposta.

[PedroN 1]

Tem um ponto de restauraçao para antes desse problema?

[krika 0]

Me perdoe a ignorancia mas eu não sei como se faz isso.

[PedroN 1]

Iniciar > Todos os programas > Ferramentas do Sistema > Restauração do Sistema.

 

Olhe se tem uma restauração antes do ocorrido.

[krika 0]

Eu tinha instalado o Avast versão teste e ele detectou um virus no kaspersky, daí fui lá e excluí todo o kaspersky pois eu já estava desconfiada dele. Mas ainda assim a internet não tinha voltado. Fiz a restauração do sistema para um ponto anterior e o Kaspersky estava de volta e o Avast havia sumido. Então fui lá e excluí novamente o kaspersky e adivinha??! A internet voltou. Mas agora estou sem proteção e ainda posso estar com virus. O que faço agora?

[PedroN 1]

Me desculpe pela demora, mais eu tive problemas relacionado a saúde que me afastou um pouco do fórum, por favor, informe o seu problema resumidamente novamente e em seguida posta um novo log do hijackThis

[krika 0]

Me desculpe pela demora, mais eu tive problemas relacionado a saúde que me afastou um pouco do fórum, por favor, informe o seu problema resumidamente novamente e em seguida posta um novo log do hijackThis

Pois então Pedro, nesse período que você sumiu, eu tive que me virar e consegui fazer voltar a internet mas com relação aos virus eu ainda estou com eles. Também ficaram aqueles programas todos que você me pediu p/ instalar no meu computador e eu não sei o que fazer com eles: tipo Malwarebytes, Combofix, Hijack, Ccleaner, etc...

Vou postar o log do Hijack e também do Malwarebytes, OK?

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:27:41, on 4/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\a-squared Free\a2service.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\Eguis.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\Msn.exe

C:\Arquivos de programas\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\devldr32.exe

C:\Arquivos de programas\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Arquivos de programas\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\HIJACKTHIS\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ig.com.br/

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [combofix] C:\ComboFix\CF3828.cfxxe /c C:\ComboFix\Combobatch.bat

O4 - HKLM\..\Run: [GbpGSvc] C:\WINDOWS\system32\Eguis.exe

O4 - HKLM\..\Run: [msnmsgr] C:\WINDOWS\system32\Msn.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [NBJ] "C:\Arquivos de programas\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Arquivos de programas\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/você/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A3B3AF-C608-467A-A10B-62D80C6AF660}: NameServer = 200.195.247.216,200.201.133.69

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - (no file)

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - (no file)

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 6480 bytes

 

 

Malwarebytes' Anti-Malware 1.41

Versão do banco de dados: 2775

Windows 5.1.2600 Service Pack 2

 

4/1/2010 14:36:04

mbam-log-2010-01-04 (14-35-50).txt

 

Tipo de Verificação: Completa (C:\|)

Objetos verificados: 157728

Tempo decorrido: 1 hour(s), 0 minute(s), 42 second(s)

 

Processos da Memória infectados: 1

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 1

Ítens do Registro infectados: 1

Pastas infectadas: 0

Arquivos infectados: 1

 

Processos da Memória infectados:

C:\WINDOWS\system32\Msn.exe (Backdoor.Bot) -> No action taken.

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msnmsgr (Backdoor.Bot) -> No action taken.

 

Ítens do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

C:\WINDOWS\system32\Msn.exe (Backdoor.Bot) -> No action taken.

[PedroN 1]

Faça o download do Kaspersky Virus Removal Tool.

Salve-o na pasta de Arquivos de programas.

Instale o programa seguindo todos os seus passos.

Não faça ainda scan!

 

Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

 

Se não for possível executar o computador em Modo Seguro, faça o escaneamento no Modo Normal.

Na tela principal do programa marque todas as caixas disponíveis, como mostra a imagem abaixo:

 

 

• Clique no botão Scan.

• Seja paciente, o Scan pode demorar.

• Se ele encontrar alguma infecção, confirme a solicitação de desinfectar os arquivos infectados (Disinfect). Caso não seja possível desinfectá-los, escolha a opção de removê-los (Delete).

• Após completar tudo, clique na aba Events, desmarque a caixa de seleção Show All Events e depois clique em Reports... e clique em Save to file. Poste o log na sua próxima resposta.

[krika 0]

Faça o download do Kaspersky Virus Removal Tool.

Salve-o na pasta de Arquivos de programas.

Instale o programa seguindo todos os seus passos.

Não faça ainda scan!

 

Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

 

Se não for possível executar o computador em Modo Seguro, faça o escaneamento no Modo Normal.

Na tela principal do programa marque todas as caixas disponíveis, como mostra a imagem abaixo:

 

 

• Clique no botão Scan.

• Seja paciente, o Scan pode demorar.

• Se ele encontrar alguma infecção, confirme a solicitação de desinfectar os arquivos infectados (Disinfect). Caso não seja possível desinfectá-los, escolha a opção de removê-los (Delete).

• Após completar tudo, clique na aba Events, desmarque a caixa de seleção Show All Events e depois clique em Reports... e clique em Save to file. Poste o log na sua próxima resposta.

 

 

 

 

Olha só PedroN aconteceram muitas coisas estranhas. Tentei entrar no Modo Seguro e consegui mas como não sei mexer através das teclas não consegui fazer rodar o programa. Fiz então a instalação do programa no modo normal mesmo. Assim que instalei(antes da instalação propriamente dita) O Programa pára e rapidamente mostra um carregamento dizendo Progresso da instalação e uns números.sys(umas 3 vezes) mas é muito rápido e não dá pra ver o que é realmente. Somente depois disso é que começa a instalação propriamente dita. Na 1ª vez que fiz o scaneamento, faltou luz quando estava 35% já escaneado. Quando a luz voltou recomecei. Daí achou muitos virus, mas alguns tinham a opção delete, outros desinfect e apareceu o seguinte: C:\WINDOWS\ERRO.exe Skip (recomended) Do not perform any actions. Depois achou um vírus C:\WINDOWS\AVG.exe (nem tenho AVG) e apareceu então Desinfect active Threats. Cliquei em OK, embora você não me tenha dado esta opção. Apareceu a mensagem: O aplicativo ou a DLL não é uma imagem válida: C:\Arquivosde programas\QuickTime|QTPlugin.ocx não é uma imagem válidap/ o windows. Compare com o disco de instalação., dei OK. Depois apareceu qttask.exe RUNDLL Erro ao carregar basegui.ppl Acesso Negado. Novamente o programa não finalizou e tive que recomeçar. Agora quando já estava a 99% de escaneamento, travou tudo e eu tive que reiniciar o computador. O que faço? Não estou conseguindo chegar nem na fase que abre a tal aba events. Devo insistir neste programa? Ele dessa última vez achou bastante coisa. Não pude colocar o Log por este motivo.

[krika 0]

Hoje efetuei o processo novamente e consegui concluí-lo mas nao aparece a opçao de salvar log e esou tendo dificuldade de fazer isso. O que eu devo fazer para salvar o log?

[PedroN 1]

• Após completar tudo, clique na aba Events, desmarque a caixa de seleção Show All Events e depois clique em Reports... e clique em Save to file. Poste o log

[krika 0]

Esta opção Save to file não aparece para mim. Será que o meu removal tool está ruim?

 

O virus removal tool fechou e agora? Tenho que fazer tudo novamente? E não existe uma outra forma de salvar o resultado? Também esta aba que você disse para desmarcar não aprece assim, eu clico nela e aparece todos os resultados, resultados críticos ou resultados importantes. Me parece que está diferente do que você está dizendo...

[krika 0]

Olá, quem é você? Eu fiquei confusa agora, o Pedro não está mais me ajudando? Ele passou para você? me desculpe as perguntas mas você há de convir que como sou nova aqui não sei se este procedimento está correto. Mas caso seja a praxe, obrigada pela ajuda. Vou tentar mais tarde.

[PedroN 1]

Olá krika

 

O usuário w.storm não tem nenhuma autorização de postar nesta área ajudando às pessoas em casos reais como ele fez acima, portanto eu editei acime os poste dele, peço-lhe que siga somente às minhas instruções, ha no ser que algum membro da área poste aqui informando algum afastamente meu.

 

Peço-lhe que use o comboFix novamente e poste o log do programa.

[krika 0]

Pedro, você diz para eu usar o combofix novamente mas e quanto ao Virus Removal Tool, deixo-o no meu computador? E quanto aos arquivos que eu já deletei, que esse programa mandou que eu deletasse? O combofix está mno meu computador, preciso baixá-lo novamente de outro site ou posso usar o mesmo que eu já tenho? Esse cara que entrou e postou, tentando me ajudar, não recebe nenhuma punição por isso? Então qualquer um pode dar "pitaco" nas questões dos outros aqui? Confesso a você que fiquei com medo...

[PedroN 1]

Pedro, você diz para eu usar o combofix novamente mas e quanto ao Virus Removal Tool, deixo-o no meu computador?

 

Sim, deixe-o.

 

E quanto aos arquivos que eu já deletei, que esse programa mandou que eu deletasse?

 

Deletou arquivos maliciosos, portanto não se preocupe. Foi melhor para o seu PC.

 

O combofix está mno meu computador, preciso baixá-lo novamente de outro site ou posso usar o mesmo que eu já tenho?

 

Neste caso é melhor que você baixe-o novamente. Faça antes o seguinte:

 

Vá em Iniciar --> Executar --> Digite ou cole: combofix.exe /uninstall --> Clique OK.

 

 

E baixe o comboFix novamente.

 

Esse cara que entrou e postou, tentando me ajudar, não recebe nenhuma punição por isso?

 

Ele foi alertado por mim via MP (mensagem pessoal) caso ele venha a fazer isso novamenta receberá uma punição, não se preocupe.

 

Então qualquer um pode dar "pitaco" nas questões dos outros aqui?

 

Infelizmente sim, este fórum não tem o script que se usado para somente os moderadores postem na área. Mais não se preocupem é pra isso que servem os moderadores da área, olhando a cada tópico para ver se no tem inregularidade nos postes.

 

Na sala temos até regras sobre isso, basta os membros segui-las.

 

veja:

http://forum.imasters.com.br/index.php?/topic/298977-regra-n-04-analise-de-logs/

 

Abracos.