Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

a_carol

[Arquivado] virus msn

Recommended Posts

oi,

abri um arquivo de um e-mail e logo em seguinda uma pagina de internet começou a abrir sem parar, so parando quando eu abri uma pagina do explorer. Reparei tb, que abria uma janela estranha do msn, solicitando e-mail e senha. digitei contrl + alt + del, e em processo tava sendo executado um tal de runmsgrs.

 

Segui um procedimento, que li em um tópico ja postado aqui no fórum e o problema comoa pagina que ficava abrindo sem parar acabou, porém quando abro a aba de processo do gerenciador de tarefas o tal do runmsgrs continua sendo executado.

nao sei o que fazer.

 

grata desde ja,

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:47:09, on 21/5/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\WINDOWS\system32\IExplUpd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\MsgrUpd.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\hijack\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [DSM] C:\WINDOWS\csms.exe

O4 - HKLM\..\Run: [iExplUpd] C:\WINDOWS\system32\IExplUpd.exe

O4 - HKLM\..\Run: [synNglp] C:\WINDOWS\system32\SynNglp.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Arquivos de programas\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsgrUpd] C:\WINDOWS\system32\MsgrUpd.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

 

--

End of file - 5519 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite....

 

*Desative temporariamente seu antivírus

 

Clique com o botão direito do mouse no ícone do Avast que fica rodando ao lado do relógio > Selecione "Pausar a proteção residente" > Confirme.

*Baixe o ComboFix e salve-o no desktop

*Execute o Combofix e aceite o contrato

 

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso contrário, clique em [sIM] para a sua instalação.

 

recovery-console-prompt.jpg

 

*Clique em [sIM] para continuar.

 

recovery-console-installed.jpg

 

*Aguarde a conclusão de todas as etapas

 

etapas.jpg

 

*Enquanto o ComboFix estiver em execução, evite usar o mouse e o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

 

*O programa será fechado automaticamente e um relatório (C:\combofix.txt) será apresentado. Cole-o na próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

boa noite, wings.

ainda no dia 22/05 o avast detectou algo no disco rigido e fez um procedimento antes de iniciar o windows( numa tela azul)depois disso o tal rummsgrs parou de aparecer no meu gerenciador de tarefas, porem o meu msn ta caindo c frequencia e automaticamente abre uma pagina mandando eu aceitar um termo de privacidade ou algo assim. acredito q ainda tenha algo por aqui. fiz o procedimento q você orientou, segue o resultado.

obg pela att e orientacao.

 

 

ComboFix 10-05-24.03 - CLIENTE 24/05/2010 17:25:30.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1982.1612 [GMT -3:00]

Executando de: c:\documents and settings\CLIENTE\Meus documentos\Programas\ComboFix.exe

AV: avast! antivirus 4.8.1282 [VPS 100524-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\IExplUpd.exe

c:\windows\system32\Ijl11.dll

c:\windows\system32\megaspdr.log

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-04-24 to 2010-05-24 ))))))))))))))))))))))))))))

.

 

2010-05-22 01:51 . 2010-05-22 01:51 503808 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6e051a23-n\msvcp71.dll

2010-05-22 01:51 . 2010-05-22 01:51 499712 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6e051a23-n\jmc.dll

2010-05-22 01:51 . 2010-05-22 01:51 348160 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6e051a23-n\msvcr71.dll

2010-05-22 01:50 . 2010-05-22 01:50 61440 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-33857cbf-n\decora-sse.dll

2010-05-22 01:50 . 2010-05-22 01:50 12800 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-33857cbf-n\decora-d3d.dll

2010-05-21 20:41 . 2010-05-21 20:47 -------- d-----w- C:\hijack

2010-05-21 20:10 . 2010-05-21 20:10 -------- d-----w- C:\!KillBox

2010-05-21 19:38 . 2010-05-21 19:38 393728 ----a-w- c:\windows\system32\SynNglp.exe

2010-04-28 13:38 . 2010-04-28 14:51 -------- d-----w- c:\documents and settings\CLIENTE\.receitanet

2010-04-28 04:01 . 2010-03-11 18:22 69632 ----a-w- c:\windows\system32\MSJCE.dll

2010-04-28 04:01 . 2010-04-28 04:01 -------- d-----w- c:\arquivos de programas\Programas RFB

2010-04-28 03:43 . 2010-04-28 03:43 -------- d-----w- C:\Arquivos de Programas RFB

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-26 01:44 . 2010-04-18 15:55 -------- d-----w- c:\arquivos de programas\rkfree

2010-04-26 01:44 . 2010-04-18 15:55 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\rkfree

2010-04-23 16:04 . 2010-04-23 16:00 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2010-04-22 03:47 . 2008-04-14 12:00 49804 ----a-w- c:\windows\system32\perfc016.dat

2010-04-22 03:47 . 2008-04-14 12:00 347648 ----a-w- c:\windows\system32\perfh016.dat

2010-04-18 17:23 . 2010-04-18 15:57 -------- d-----w- c:\arquivos de programas\Softonic_Brasil

2010-04-18 15:57 . 2010-04-18 15:57 -------- d-----w- c:\arquivos de programas\Conduit

2010-04-18 15:51 . 2010-04-18 15:51 102 ----a-w- c:\windows\Delme.bat

2010-04-18 15:51 . 2010-04-12 16:32 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Pasta de inscrições.{F5175861-2688-11d0-9C5E-00AA00A45957}

2010-04-03 23:21 . 2010-04-03 23:21 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Java

2010-04-03 23:21 . 2010-04-03 23:21 503808 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-10101035-n\msvcp71.dll

2010-04-03 23:21 . 2010-04-03 23:21 499712 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-10101035-n\jmc.dll

2010-04-03 23:21 . 2010-04-03 23:21 348160 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-10101035-n\msvcr71.dll

2010-04-03 23:20 . 2010-04-03 23:20 61440 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-309064e3-n\decora-sse.dll

2010-04-03 23:20 . 2010-04-03 23:20 12800 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-309064e3-n\decora-d3d.dll

2010-04-03 23:18 . 2010-04-03 23:19 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-04-03 23:18 . 2010-04-03 23:18 -------- d-----w- c:\arquivos de programas\Java

2010-03-22 16:48 . 2010-04-18 15:56 52224 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Mozilla\Firefox\Profiles\2j3z5gdg.default\extensions\{12fc3d37-2a42-4fe3-8489-81296878cba5}\components\FFExternalAlert.dll

2010-03-22 16:48 . 2010-04-18 15:56 101376 ----a-w- c:\documents and settings\CLIENTE\Dados de aplicativos\Mozilla\Firefox\Profiles\2j3z5gdg.default\extensions\{12fc3d37-2a42-4fe3-8489-81296878cba5}\components\RadioWMPCore.dll

.

 

------- Sigcheck -------

 

[-] 2008-05-19 . 1D01C384F3BA123EB6F09769DEA005AC . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ccleaner"="c:\arquivos de programas\CCleaner\CCleaner.exe" [2009-05-27 1573104]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-12 81000]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-02-18 248040]

"SynNglp"="c:\windows\system32\SynNglp.exe" [2010-05-21 393728]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [1/2/2010 12:30 110160]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [1/2/2010 12:30 20560]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-05-24 c:\windows\Tasks\User_Feed_Synchronization-{FB4697DA-D1B6-4745-8F4E-DC166716A20F}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab

FF - ProfilePath - c:\documents and settings\CLIENTE\Dados de aplicativos\Mozilla\Firefox\Profiles\2j3z5gdg.default\

FF - component: c:\documents and settings\CLIENTE\Dados de aplicativos\Mozilla\Firefox\Profiles\2j3z5gdg.default\extensions\{12fc3d37-2a42-4fe3-8489-81296878cba5}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\CLIENTE\Dados de aplicativos\Mozilla\Firefox\Profiles\2j3z5gdg.default\extensions\{12fc3d37-2a42-4fe3-8489-81296878cba5}\components\RadioWMPCore.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

 

HKLM-Run-DSM - c:\windows\csms.exe

HKLM-Run-IExplUpd - c:\windows\system32\IExplUpd.exe

AddRemove-HijackThis - c:\documents and settings\CLIENTE\Meus documentos\Programas\HijackThis.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-24 17:30

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

Tempo para conclusão: 2010-05-24 17:33:55

ComboFix-quarantined-files.txt 2010-05-24 20:33

 

Pré-execução: 1.213.829.120 bytes disponíveis

Pós execução: 1.195.147.264 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - F63926F69F42CC4DC7161840D02AB43D

Compartilhar este post


Link para o post
Compartilhar em outros sites

perdao por demorar a responder...

 

obg por toda ajuda,

 

eh bom saber q temos alguem com quem podemos contar

 

muito grata

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.