Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

kindermann

[Arquivado] Análise de log HijackThis

Recommended Posts

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:18:10, on 25/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash&Lang=BrazilianPortuguese

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O1 - Hosts: 209.85.129.99 msnfix.changelog.fr

O1 - Hosts: 209.85.129.99 www.incodesolutions.com

O1 - Hosts: 209.85.129.99 virusinfo.prevx.com

O1 - Hosts: 209.85.129.99 download.bleepingcomputer.com

O1 - Hosts: 209.85.129.99 www.dazhizhu.cn

O1 - Hosts: 209.85.129.99 foro.noticias3d.com

O1 - Hosts: 209.85.129.99 www.spybotupdates.com

O1 - Hosts: 209.85.129.99 club.myce.com

O1 - Hosts: 209.85.129.99 www.nabble.com

O1 - Hosts: 209.85.129.99 lurker.clamav.net

O1 - Hosts: 209.85.129.99 lexikon.ikarus.at

O1 - Hosts: 209.85.129.99 research.sunbelt-software.com

O1 - Hosts: 209.85.129.99 www.virusdoctor.jp

O1 - Hosts: 209.85.129.99 www.elitepvpers.de

O1 - Hosts: 209.85.129.99 guru.avg.com

O1 - Hosts: 209.85.129.99 downloads.sophos.com

O1 - Hosts: 209.85.129.99 www.superuser.co.kr

O1 - Hosts: 209.85.129.99 ntfaq.co.kr

O1 - Hosts: 209.85.129.99 v.dreamwiz.com

O1 - Hosts: 209.85.129.99 cit.kookmin.ac.kr

O1 - Hosts: 209.85.129.99 forums.whatthetech.com

O1 - Hosts: 209.85.129.99 forum.hijackthis.de

O1 - Hosts: 209.85.129.99 avg.vo.llnwd.net

O1 - Hosts: 209.85.129.99 ftp.drweb.com

O1 - Hosts: 209.85.129.99 www.zonealarm.com

O1 - Hosts: 209.85.129.99 www.huaifai.go.th

O1 - Hosts: 209.85.129.99 www.mostz.com

O1 - Hosts: 209.85.129.99 www.krupunmai.com

O1 - Hosts: 209.85.129.99 www.cddchiangmai.net

O1 - Hosts: 209.85.129.99 forum.malekal.com

O1 - Hosts: 209.85.129.99 tech.pantip.com

O1 - Hosts: 209.85.129.99 sapcupgrades.com

O1 - Hosts: 209.85.129.99 www.elguruinformatico.com

O1 - Hosts: 209.85.129.99 www.247fixes.com

O1 - Hosts: 209.85.129.99 forum.sysinternals.com

O1 - Hosts: 209.85.129.99 forum.telecharger.01net.com

O1 - Hosts: 209.85.129.99 sophos.com

O1 - Hosts: 209.85.129.99 foros.softonic.com

O1 - Hosts: 209.85.129.99 avast-home.uptodown.com

O1 - Hosts: 209.85.129.99 dr-web-cureit.softonic.com

O1 - Hosts: 209.85.129.99 heavenward.ru

O1 - Hosts: 209.85.129.99 www.f-secure.com

O1 - Hosts: 209.85.129.99 www.chkrootkit.org

O1 - Hosts: 209.85.129.99 diamondcs.com.au

O1 - Hosts: 209.85.129.99 www.rootkit.nl

O1 - Hosts: 209.85.129.99 www.sysinternals.com

O1 - Hosts: 209.85.129.99 z-oleg.com

O1 - Hosts: 209.85.129.99 espanol.dir.groups.yahoo.com

O1 - Hosts: 209.85.129.99 ftp01net.telechargement.fr

O1 - Hosts: 209.85.129.99 www.castlecrops.com

O1 - Hosts: 209.85.129.99 www.misec.net

O1 - Hosts: 209.85.129.99 safecomputing.umn.edu

O1 - Hosts: 209.85.129.99 www.antirootkit.com

O1 - Hosts: 209.85.129.99 www.greatis.com

O1 - Hosts: 209.85.129.99 ar.answers.yahoo.com

O1 - Hosts: 209.85.129.99 www.elhacker.org

O1 - Hosts: 209.85.129.99 research.pandasecurity.com

O1 - Hosts: 209.85.129.99 www.rootkit.com

O1 - Hosts: 209.85.129.99 www.pctools.com

O1 - Hosts: 209.85.129.99 www.pcsupportadvisor.com

O1 - Hosts: 209.85.129.99 www.resplendence.com

O1 - Hosts: 209.85.129.99 www.personal.psu.edu

O1 - Hosts: 209.85.129.99 foro.ethek.com

O1 - Hosts: 209.85.129.99 foro.elhacker.net

O1 - Hosts: 209.85.129.99 download.zonealarm.com

O1 - Hosts: 209.85.129.99 spywarehammer.com

O1 - Hosts: 209.85.129.99 vil.nail.com

O1 - Hosts: 209.85.129.99 search.mcafee.com

O1 - Hosts: 209.85.129.99 wwww.mcafee.com

O1 - Hosts: 209.85.129.99 download.nai.com

O1 - Hosts: 209.85.129.99 wwww.experts-exchange.com

O1 - Hosts: 209.85.129.99 www.bakunos.com

O1 - Hosts: 209.85.129.99 www.darkclockers.com

O1 - Hosts: 209.85.129.99 www2.gmer.net

O1 - Hosts: 209.85.129.99 ariefew.com

O1 - Hosts: 209.85.129.99 www.emsisoft.com

O1 - Hosts: 209.85.129.99 www.Merijn.org

O1 - Hosts: 209.85.129.99 www.spywareinfo.com

O1 - Hosts: 209.85.129.99 www.spybot.info

O1 - Hosts: 209.85.129.99 www.viruslist.com

O1 - Hosts: 209.85.129.99 www.hijackthis.de

O1 - Hosts: 209.85.129.99 ftp.f-secure.com

O1 - Hosts: 209.85.129.99 forum.kaspersky.com

O1 - Hosts: 209.85.129.99 es.trendmicro-europe.com

O1 - Hosts: 209.85.129.99 www.hvaonline.net

O1 - Hosts: 209.85.129.99 majorgeeks.com

O1 - Hosts: 209.85.129.99 www.avp.com

O1 - Hosts: 209.85.129.99 www.virustotal.com

O1 - Hosts: 209.85.129.99 www.sophos.com

O1 - Hosts: 209.85.129.99 linhadefensiva.uol.com.br

O1 - Hosts: 209.85.129.99 cmmings.cn

O1 - Hosts: 209.85.129.99 www.sergiwa.com

O1 - Hosts: 209.85.129.99 www.el-hacker.com

O1 - Hosts: 209.85.129.99 dl2.agnitum.com

O1 - Hosts: 209.85.129.99 forum.smadav.net

O1 - Hosts: 209.85.129.99 www.avg-antivirus.net

O1 - Hosts: 209.85.129.99 www.kaspersky-labs.com

O1 - Hosts: 209.85.129.99 www.kaspersky.com

O1 - Hosts: 209.85.129.99 www.bleepingcomputer.com

O1 - Hosts: 209.85.129.99 www.free.grisoft.com

O1 - Hosts: 209.85.129.99 alerta-antivirus.inteco.es

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 10634 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

:) Olá kindermann! Seja bem-vindo ao Fórum Imasters.

 

Siga estes procedimentos abaixo nesta sequência em que estão, por gentileza:

 

:seta: Faça o download do HostsXpert.zip:

http://www.funkytoad.com/download/HostsXpert.zip

• Extraia (unzip) HostsXpert.zip para uma pasta permanente do seu drive (exemplo C:\HostsXpert)

• Duplo clique em HostsXpert.exe para executar o programa.

• Se disponivel, clique em "Make Hosts Writable?" (estará no canto superior direito).

• Clique em "Restore Microsoft's Hosts file" e depois clique em "OK".

• Clique no X para sair do programa.

______________________________________

 

:seta: Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

______________________________________

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

 

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log do Malwarebytes e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não consegui desabilitar o antivírus. Uso o Avira e o guard fica como "unknown" desde que os problema apareceram. Tentei tirar ele dos programas que iniciam com o windows e reiniciar, mas não funcionou. Aparece um aviso quando vou instalar o ComboFix:

 

ComboFix detectou o seguinte programa de proteção residente(s) ativo:

 

antivirus: AntiVir Desktop

 

Antivirus e programas de prevenção podem interferir na execuçao do ComboFix. Isso pode interferir nos resultados ou possivelmente danificar a máquina. Por favor, desabilite esses programas antes de clicar em 'OK'.

 

Como faço para desabilitá-lo?

 

Obrigado desde já pela atenção.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não consegui desabilitar o antivírus. Uso o Avira e o guard fica como "unknown" desde que os problema apareceram. Tentei tirar ele dos programas que iniciam com o windows e reiniciar, mas não funcionou. Aparece um aviso quando vou instalar o ComboFix:

 

ComboFix detectou o seguinte programa de proteção residente(s) ativo:

 

antivirus: AntiVir Desktop

 

Antivirus e programas de prevenção podem interferir na execuçao do ComboFix. Isso pode interferir nos resultados ou possivelmente danificar a máquina. Por favor, desabilite esses programas antes de clicar em 'OK'.

 

Como faço para desabilitá-lo?

:seta: Tente rodar o ComboFix.exe em "'>http://forum.imasters.com.br/index.php?/topic/278480-como-iniciar-em-modo-de-seguranca/"]Modo de Segurança". <-- Link!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.