[Arquivado] AVG detectou um Trojan

Fabricio78 · Dezembro 29, 2009

Bom dia meu avg detectou um trojan eu gostaria de ter certeza que foi eliminado, se algum analista tiver um tempinho ficaria imensamente grato por uma análise. Segue abaixo o log do hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:06:13, on 29/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\Arquivos de programas\Java\jre6\bin\jqs.exe

G:\WINDOWS\system32\nvsvc32.exe

G:\WINDOWS\Explorer.EXE

G:\WINDOWS\system32\slserv.exe

G:\WINDOWS\System32\svchost.exe

G:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

G:\Arquivos de programas\Microsoft IntelliType Pro\type32.exe

G:\Arquivos de programas\Microsoft IntelliPoint\point32.exe

G:\WINDOWS\SOUNDMAN.EXE

G:\WINDOWS\WinLogT.exe

G:\ARQUIV~1\AVG\AVG8\avgtray.exe

G:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

G:\Arquivos de programas\Java\jre6\bin\jusched.exe

G:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

G:\WINDOWS\VM305_STI.EXE

G:\Arquivos de programas\DNA\btdna.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

G:\WINDOWS\system32\wscntfy.exe

G:\WINDOWS\System32\wbem\wmiapsrv.exe

G:\Arquivos de programas\Motherboard Monitor 5\MBM5.exe

G:\Arquivos de programas\QuickTime\QuickTimePlayer.exe

G:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

G:\ARQUIV~1\AVG\AVG8\avgrsx.exe

G:\ARQUIV~1\AVG\AVG8\avgnsx.exe

G:\ARQUIV~1\AVG\AVG8\avgemc.exe

G:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

G:\WINDOWS\System32\svchost.exe

G:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

G:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

G:\Arquivos de programas\Messenger\msmsgs.exe

G:\Arquivos de programas\Google\Chrome\Application\chrome.exe

G:\Documents and Settings\Fabricio\Meus documentos\downloads\PROG\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - G:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - G:\Arquivos de programas\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [RemoteControl] "G:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ASUS Probe] G:\Program Files\ASUS\Asus Probe\AsusProb.exe

O4 - HKLM\..\Run: [type32] "G:\Arquivos de programas\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "G:\Arquivos de programas\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [desp2k] G:\Arquivos de programas\Turbo\Manager\desp2k.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinLogT] G:\WINDOWS\WinLogT.exe

O4 - HKLM\..\Run: [AVG8_TRAY] G:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "G:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WatchDog] G:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

O4 - HKLM\..\Run: [bigDog305] G:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [QuickTime Task] "G:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [bitTorrent DNA] "G:\Arquivos de programas\DNA\btdna.exe"

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = G:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = G:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: G:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (MSN Games – Matchmaking) - http://sympatico.zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab

O16 - DPF: {339234B4-4E14-4280-B8B4-8BAE5AF99063} (Chess Object) - http://sympatico.zone.msn.com/bingame/zpagames/zpa_kqrp.cab55579.cab

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://sympatico.zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (MSN Games – Game Chat) - http://sympatico.zone.msn.com/binframework/v10/ZPAChat.cab55579.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192631346109

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {809A6301-7B40-4436-A02C-87B8D3D7D9E3} (ZPA_DMNO Object) - http://zone.msn.com/bingame/zpagames/zpa_dmno.cab55579.cab

O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab70018.cab

O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (MSN Games – Texas Holdem Poker) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab79352.cab

O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZPAFramework.cab102118.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://sympatico.zone.msn.com/binframework/v10/StProxy.cab55579.cab

O16 - DPF: {F773E7B2-62A9-4524-9109-87D2F0BEFAA4} (ChessControl Class) - http://zone.msn.com/bingame/zpagames/zpa_kqrp.cab56961.cab

O16 - DPF: {FF3C5A9F-5A91-4930-80E8-4709194C2AD3} (CheckersZPA Object) - http://zone.msn.com/bingame/zpagames/CheckersZPA.cab55579.cab

O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (MSN Games – Backgammon) - http://zone.msn.com/bingame/zpagames/ZPA_Backgammon.cab64162.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{94E8DE38-24F6-4126-B69E-3AA78F770265}: Domain = @

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - G:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - G:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - G:\ARQUIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - G:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Update Service (gupdate1ca391a32c9cf60) (gupdate1ca391a32c9cf60) - Google Inc. - G:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - G:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 9800 bytes

Power Max · Dezembro 29, 2009

:) Olá Fabricio!

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

________________________________________

:seta: Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:

Escolhendo Programas que Iniciam com o PC

De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.

Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC agora e de tempos em tempos.

_______________________________________

:seta: A versão do Avg que você está usando está muito desatualizada. Desinstale-o e baixe o novo '>http://freedownloads2000.blogspot.com/2008/10/avg-anti-virus-free-edition-80173.html"]Avg 9 free.

Para instalá-lo corretamente siga as dicas deste tutorial:

'>http://dicasetutoriaisparapc.blogspot.com/2008/09/tutorial-do-avg-8-free-instalao-e.html"]Tutorial do Avg 9 Free (como instalá-lo corretamente)

Depois de instalar o Avg 9, faça um escaneamento completo do seu computador com o Avg e à medida em que forem sendo achados vírus e programas espiões escolha a opção de desinfectar estes arquivos contaminados ou vá enviando eles para a quarentena. E no caso dos arquivos terem sido enviados para a quarentena, depois de algumas semanas, se o seu computador estiver funcionando normalmente sem estes arquivos que foram para a quarentena, você pode ir na quarentena e excluí-los definitivamente.

_________________________________

:seta: Siga também, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após estes procedimentos.

Ficamos no aguardo.

Fabricio78 · Dezembro 30, 2009

Antes de mais nada gostaria de agradecer a atenção de todos os analistas deste forum vcs são muito atenciosos e é a segunda vez que estou recebendo ajuda de vcs e nem sei como posso agradecer.

Utilizei o cccleaner e desabilitei vários programas que sabia serem desnecessários, contudo fiquei em dúvida em alguns e achei melhor deixar se puderes me dizer para que servem e se posso desabilita-los ficaria muito agradecido. O primeiro creio tratar-se de um arquivo necessário para o funcionamento do bittorrent por isso não desabilitei. quanto aos demais não sei para que servem achei por bem deixar como estava. segue abaixo o print do ccleaner:

http://www.imagebam.com/image/ffbd6661754692

OBS: desculpe se não podia postar a imagem desta forma, pois foi a unica maneira que consegui.

Segue abaixo log do malwarebytes e do hijack:

Malwarebytes' Anti-Malware 1.42

Versão do banco de dados: 3310

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

30/12/2009 14:05:59

mbam-log-2009-12-30 (14-05-59).txt

Tipo de Verificação: Completa (G:\|)

Objetos verificados: 182476

Tempo decorrido: 1 hour(s), 36 minute(s), 51 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

Processos da Memória infectados: