[Arquivado] &nbspAvast detecta envio automático e e-mails

[Lucas Raal 0]

Já tive esse problema uma vez, mas havia parado depois que passei uns programas recomendado pelo pessoal aqui do fórum. E agora, o que faço?

 

Ai está meu log atual do HiJackThis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:08:19, on 13/9/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS.0\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS.0\RTHDCPL.EXE

C:\WINDOWS.0\system32\ctfmon.exe

C:\Arquivos de programas\BrOffice.org 3\program\soffice.exe

C:\Arquivos de programas\BrOffice.org 3\program\soffice.bin

C:\WINDOWS.0\system32\LEXBCES.EXE

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\system32\LEXPPS.EXE

C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ACService.exe

C:\Arquivos de programas\Apache Software Foundation\Apache2.2\bin\httpd.exe

C:\WINDOWS.0\system32\cmpe.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS.0\system32\nvsvc32.exe

C:\Arquivos de programas\Apache Software Foundation\Apache2.2\bin\httpd.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\system32\wscntfy.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS.0\system32\wbem\wmiapsrv.exe

C:\Arquivos de programas\Steam\Steam.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Meus documentos\Downloads\HiJackThis (1).exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.localstrike.com.ar/

O1 - Hosts: 255.255.255.255 easyanticheat.se # misleading site

O1 - Hosts: 255.255.255.255 www.easyanticheat.se # misleading site

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Startup: BrOffice.org 3.2.lnk = C:\Arquivos de programas\BrOffice.org 3\program\quickstart.exe

O8 - Extra context menu item: Baixar com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Baixar vídeo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: Download selecionado pelo Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: PokerTime - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\PokerTimeMPP\MPPoker.exe (HKCU)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63B31630-16BD-4FFE-944F-BCBC0CBFA482}: NameServer = 200.149.55.142 200.165.132.154

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\Arquivos de programas\Apache Software Foundation\Apache2.2\bin\httpd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS.0\system32\cmpe.exe

O23 - Service: Google Update Service (gupdate1caf0b7cb091272) (gupdate1caf0b7cb091272) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS.0\system32\LEXBCES.EXE

O23 - Service: NMSAccess - Unknown owner - C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS.0\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

 

--

End of file - 9409 bytes

[Diogo R 0]

Olá!

 

1.

 

Abra o HijackThis, e clica em "Do a system scan only"...e marque a(s) seguinte(s) linha(s):

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.localstrike.com.ar/

O9 - Extra button: PokerTime - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\PokerTimeMPP\MPPoker.exe (HKCU)

 

 

E clique em Fix checked....

 

2.

 

Baixe o Malwarebytes Anti-Malware

 

 

:veja: Inicie a instalação clicando em "mbam-setup.exe"...

:veja: Marque "Atualizar Malwarebytes Anti-Malware" e clique em concluir...

:veja: Execute o programa MalwareBytes Anti Malware...

:veja: Clique na aba: "Verificação", selecione a opção "Verificação completa"....

:veja: Clique então em "Verificar"...

:veja: Selecione tudo que deseja escanear.....

:veja: Clique então em "Verificar"....

:veja: Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log...

:veja: Se algo for detectado, veja se tudo está marcado e clique em "Remover"....

:veja: Se perguntar se você deseja remover objetos da memória, clica em Sim...

:veja: O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal...

:veja: Copie e cole esse log aqui...

 

 

3.

 

Me diga, você edita ou meche nos seus hosts?

 

 

T+

[Lucas Raal 0]

Olá!

 

1.

 

Abra o HijackThis, e clica em "Do a system scan only"...e marque a(s) seguinte(s) linha(s):

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.localstrike.com.ar/

O9 - Extra button: PokerTime - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\PokerTimeMPP\MPPoker.exe (HKCU)

 

 

E clique em Fix checked....

 

 

Feito!

 

 

2.

 

Baixe o Malwarebytes Anti-Malware

 

 

:veja: Inicie a instalação clicando em "mbam-setup.exe"...

:veja: Marque "Atualizar Malwarebytes Anti-Malware" e clique em concluir...

:veja: Execute o programa MalwareBytes Anti Malware...

:veja: Clique na aba: "Verificação", selecione a opção "Verificação completa"....

:veja: Clique então em "Verificar"...

:veja: Selecione tudo que deseja escanear.....

:veja: Clique então em "Verificar"....

:veja: Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log...

:veja: Se algo for detectado, veja se tudo está marcado e clique em "Remover"....

:veja: Se perguntar se você deseja remover objetos da memória, clica em Sim...

:veja: O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal...

:veja: Copie e cole esse log aqui...

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Versão da Base de Dados: 4537

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

15/9/2010 19:45:41

mbam-log-2010-09-15 (19-45-41).txt

 

Tipo de Verificação: Verificação Completa (C:\|)

Objetos escaneados: 266621

Tempo decorrido: 1 hora(s), 11 minuto(s), 10 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 0

Pastas Infectadas: 0

Arquivos Infectados: 1

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

 

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

C:\Qoobox\Quarantine\C\WINDOWS.0\system32\Drivers\ndis.sys.vir (Rootkit.Protector) -> Quarantined and deleted successfully.

 

 

3.

 

Me diga, você edita ou meche nos seus hosts?

 

 

T+

 

Quais hosts? Que tipo de hosts?

Unica mudança recente que fiz foi alterar o proxy de meu navegador IE (se é que é disso que você está falando)

[Diogo R 0]

Olá Lucas Raal

 

 

Desculpe pela demora.

 

1.

 

:veja: Abra/execute o Malwarebytes Anti-Malware

:veja: Clique na aba Quarentena

:veja: Se haver algum malware lá, selecione todos e clique em Remover

:veja: Feche o programa...

 

2.

 

:veja: Faça o download do '>http://www.funkytoad.com/download/HostsXpert.zip"]HostsXpert

:veja: Extraia o Conteudo do arquivo HostsXpert.zip para o C:\HostsXpert\

:veja: Dê um duplo clique em HostsXpert.exe ...

:veja: Se a opção "Make Hosts Writable?" estiver disponível, clique nela..(localiza no canto direito superior)...

:veja: Clique então em "Restore Microsoft's Hosts file"..

:veja: Depois disso clique em OK..

:veja: Para sair do programa clique em X...

 

 

3.

 

Faça o download do ComboFix'>http://majorgeeks.com/downloadget.php?id=6402&file=1&evp=4d90f753bf109637fabd69481c775ab1"]ComboFix

 

 

:veja: Desative temporariamente o seu antivirus

:veja: Dê um duplo clique no ícone combofix.exe para iniciar o scaniamento...

:veja: Aceita o contrato para continuar....

:veja: Tecle 1 e logo após, tecle Enter...

:veja: Irá abrir uma janela do Console de Recuperação, clique em Sim, se aparecer outra janela, clique em OK, e depois em Sim...

:veja: Aguarde o ComboFix com seu scan...

:veja: Se ocorrer algum problema durante o scan, reinicie o micro em Modo de Segurança e faça novamente o processo...

:veja: Não utilize nem o mouse nem o teclado...se isso acontecer seu desktop ficará branco...

:veja: Caso queira sair ou cancelar o ComboFix, tecle N;

:veja: Quando terminar, o computador será reiniciado, após isso, a ferramenta executará novamente, então aguarde...

:veja: Será gerado um log em C:\ComboFix.txt ...

:veja: Cole este log em sua próxima resposta...

 

Aguardo seu poste...

 

 

 

T+

[Lucas Raal 0]

Log muito grande, nao cabe no fórum, postei em meu 4shared, segue o link para download: http://www.4shared.com/document/XJw-XmVg/ComboFix.html

[Diogo R 0]

Olá

 

Faça o download do Kaspersky Removal Tool

 

:veja: Uma Janela irá aparecer...na aba "Automatic Scan", selecione tudo..

 

 

:veja: Clique então em "Start scan"...aguarde. Pode demorar, seja paciente!

:veja: Ao encontrar algum malware, confirme a remoção ou a desinfectação clicando em "Skip"

:veja: Ao finalizar, clique [Report]

:veja: Uma janela chamada "Detailed report" será aberta

:veja: Clique no sinal [+] ao lado de Autoscan para expandir os eventos encontrados

:veja: Clique com o botão direito do mouse em Autoscan e selecione "Select all"

:veja: Clique novamente com o botão direito do mouse e selecione "Copy"

:veja: Abra o bloco de notas, cole (Ctrl+v) e salve o arquivo no desktop como log.txt

:veja: Feche a janela "Detailed report" do Kasperky

:veja: Na tela principal do Kaspersky clique em [Exit] > [No]

:veja: Cole o relatório (log.txt) salvo no desktop na sua próxima resposta

 

 

T+

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.