[Resolvido] &nbspmalware

yumematt · Dezembro 15, 2010

Estou infectado com alguma coisa que está bloqueando meu "Ctrl+Alt+Del", "Regedit" e windows em modo de segurança...

Acabei de gerar um log do HijackThis, alguém pode me ajudar a eliminá-lo? :o

Grato, Matheus

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:01:28, on 15/12/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Matt\CONFIG~1\Temp\winxdap.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\HiJackThis\HiJackThis.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 4846 bytes

Felipe_88 · Dezembro 16, 2010

Olá, yumematt!

Vamos por etapa:

1º

*Baixe o MalwareBytes Anti-Malware e salve-o no desktop

*Instale o programa

*Se alguma atualização existir,o download será automático. Aguarde...

*O programa será aberto automaticamente.

*Na aba [Verificação], selecione a opção [Verificação completa]

*Clique em [Verificar] e selecione as partições a serem examinadas (geralmente C:\ e D:\)

*Ao término do scan, poderá ser interrogado se deseja remover objetos da memória. Clique [sIM] > [OK] > [Mostrar Resultados]

*Clique em [Remover Selecionados]

*Um relatório (mbam-log-ano-mês-data.txt) será apresentado.

*Cole-o na sua próxima resposta

2º

*Baixe o SalityKiller e salve-o no desktop

*Extraia o seu conteúdo para C:\

*Desative a Restauração do Sistema

Clique com o botão direito do mouse em Meu Computador > Propriedades > Restauração do Sistema > Desativar Restauração do Sistema > OK > Sim
*Este programa irá rodar em 2 janelas distintas ao mesmo tempo!!

*A primeira janela:

*Clique em [iniciar] > [Executar] > copie e cole: C:\salitykiller.exe -m

*Clique [OK]

*Mantenha a janela rodando. Não feche-a!! Se desejar, minimize-a.

*A segunda janela:

*Clique em [iniciar] > [Executar] > copie e cole: C:\salitykiller.exe -y -x -j -l sality.txt -v

*Clique [OK]

*Ao término, a janela 2 será fechada automaticamente. Feche, então, a janela 1.

*Cole o resumo localizado no final do arquivo C:\sality.txt, conforme mostrado abaixo:

23:57:51:0 Infected files: 8
23:57:51:0 Infected processes: 0

23:57:51:0 Infected threads: 2

23:57:51:0 Cured files: 8

23:57:51:0 Executed registry scripts: 1

yumematt · Dezembro 16, 2010

Na hora de baixar o SalityKiller, pede usuário e senha... :ermm:

Ahhh... e antes de fazer isso tudo, estou dando uma scaneada com o NOD32 Online (ESET Online Scanner), pode ser?

Felipe_88 · Dezembro 16, 2010

Ahhh... e antes de fazer isso tudo, estou dando uma scaneada com o NOD32 Online (ESET Online Scanner), pode ser?

yumematt,

Sugiro irmos por etapa!

No aguardo do relatório do MalwaresBytes!

yumematt · Dezembro 16, 2010

Agora falta o 2º passo, mas está pedindo login e senha pra baixar... :huh:

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org

Versão da Base de Dados: 5324

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

15/12/2010 23:43:20

mbam-log-2010-12-15 (23-43-20).txt

Tipo de Verificação: Verificação Completa (C:\|D:\|E:\|)

Objetos escaneados: 187533

Tempo decorrido: 40 minuto(s), 5 segundo(s)

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 2

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 5

Pastas Infectadas: 0

Arquivos Infectados: 18

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

Arquivos Infectados:

c:\umxlb.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\Qoobox\quarantine\C\qchanv.pif.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\Qoobox\quarantine\E\sjndqf.pif.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0000069.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0000091.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0000299.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0001301.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0001384.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\rrmyji.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\wwyb.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0000235.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0001353.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0001372.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\vmos.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\Qoobox\quarantine\E\sjndqf.pif.vir (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0000071.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0000092.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\system volume information\_restore{f91a7e81-521d-4a15-a83c-aed46127b6ef}\RP1\A0001347.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Felipe_88 · Dezembro 16, 2010

yumematt,

Agora siga as etapas abaixo:

1º

Desative arestauração do sistema:

Vá no menu: Iniciar > Painel de Controle > Sistema > Clique na aba: Restauração do Sistema > Marque a caixinha: Desativar restauração do sistema > Clique no botão: Aplicar e no botão: Ok.

2º

*Baixe o programa Sality_off e salve-o no desktop:

*Extraia o conteúdo de sality_off.zip para C:\

*Desative seu antivírus temporariamente

*Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m

*Clique OK

*Mantenha o programa rodando. Não feche esta janela!!...se desejar, minimize-a.

Entendendo o motivo:

Mantendo o referido programa com esta função ( -m ), ele permanecerá monitorando a pasta C:\system32, evitando assim futuras contaminações pelo Sality.

3.

*Agora, dê duplo clique no arquivo C:\Sality_off.exe e aguarde. Ao receber a mensagem "Pressione qualquer tecla para continuar...", tecle [ENTER]

*O programa será fechado automaticamente.

*Terminado...feche a janela do monitoramento da memória.

2º

*Baixe o arquivo Sality_regkeys e salve-o no desktop

*Extraia o conteúdo de Sality_RegKeys.zip para o desktop

*Na pasta SalityRegKeys dê duplo clique no arquivo Disable_autorun.reg e aceite a entrada no registro

*Na mesma pasta dê duplo clique no arquivo, segundo a versão do seu SO, e aceite a entrada no registro:

SafeBootWinXP.reg => para Windows XP

SafeBootWin200.reg => para Windows 2000

SafeBootWinServer2003.reg => para Windows Server 2003

SafebootVista.reg => para Windows Vista

*Localize o arquivo Disable autorun.reg , dê duplo clique nele e aceite a entrada no registro

*Reinicie o PC

Fico no aguardo!

yumematt · Dezembro 16, 2010

Cara, obrigado pela atenção e pela ajuda mas no meio desse processo meu pc reiniciou sozinho :ermm:

Meu windows corrompeu, então resolvi formatar todas as partições porque o vírus estava em todas elas. E mesmo após deletá-los eles ressurgiam no mesmo local. (Parecia uma fênix :o )

Acabei de baixar o Microsoft Security Essential's. Gostaria de saber se é um bom antivírus ou se você me recomenda algum outro...

Felipe_88 · Dezembro 16, 2010

yumematt,

Experimente ele, caso se indentifique e ache-o seguro, adote-o como seu antivírus!

Algumas observações:

O vírus que estava no seu computador era uma variante do Sallity. Esse vírus é do tipo "file infector". Neste caso, se você fez backup de arquivos executáveis (.exe, .com ) e restaurar este backup, o seu trabalho será em vão, pois os mesmos irão se espalhar novamente.

Neste caso, salve apenas os arquivos do tipo(textos, imagens, músicas).

Sugiro antes de passar seus arquivos para o computador, utilizar o seguinte programa:

Faça download do Kaspersky Removal Tool e salve em seu desktop.

*Instale o programa

*A tela principal do programa será aberta automaticamente

*Selecione a opção:

[] Meu Computador

Coloque a mídia que utilizou como backup;

*Clique em [start scan]....aguarde. Pode demorar.

*Caso encontre algo, clique em [skip]

*Ao término do scan, clique em [Report]

*Uma janela chamada "Detailed report" será aberta

*Clique no sinal [+] ao lado de Autoscan para expandir os eventos encontrados

*Clique com o botão direito do mouse e selecione "Select all"

*Clique novamente com o botão direito do mouse e selecione "Copy"

*Abra o bloco de notas e cole (Ctrl+v) e salve o arquivo no desktop como log.txt

*Feche a janela "Detailed report" do Kasperky

*Na tela principal do Kaspersky clique em [Exit] > [No]

*Cole o relatório salvo no desktop na sua próxima resposta

2º

*Baixe o ATF Cleaner e salve-o no desktop

*Duplo clique em ATF-Cleaner

*Selecione: [] Select All

*Clique em [Empty Selected]

=>Caso use Firefox ou Opera:

*Clique na aba "Firefox" ou em "Opera"

*Selecione: [] Select All

*Clique em [sim] > [Empty Selected] > [sim]

*Clique em [Exit] ou no [X] para sair do programa

->OK

3º

*Baixe e instale o CCleaner

*Abra o programa e na aba "Windows", desça até a opção "Avançado" e selecione "Dados Prefetch antigos"

*Clique em [Executar Limpeza]

*Em seguida, clique em [Registro] -> [Procurar erros] -> [Corrigir Erros Selecionados] -> [Corrigir Todos os Erros Selecionados]

->Teve muitos erros mais corrigiu todos

* Por gentileza, use regularmente o ATFCleaner e o CCleaner para manter o PC em ordem.

Sem mais,

Forte Abraço!

yumematt · Dezembro 17, 2010

Amigo, formatei todas as partições sem fazer nenhum backup.

Mesmo assim baixei o Kaspersky e passei em todas as partições e pen drives... pelo jeito está tudo limpo de vírus (ainda bem). O log ficou enoooooooooooooooorme, acho que não precisa postar né? ^_^

E estou gostando bastante do Microsoft Security Essential's, fiz uns testes com ele e gostei bastante...

Acho que pode considerar esse tópico como resolvido :joia:

Valeu pela ajuda, abraço

Felipe_88 · Dezembro 17, 2010

yumematt,

Conte sempre conosco parceiro!

Forte Abraço!

Felipe_88 · Dezembro 17, 2010

PROBLEMA RESOLVIDO

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Arquivado

[Resolvido] &nbspmalware

Recommended Posts

yumematt 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Felipe_88 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

yumematt 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Felipe_88 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

yumematt 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Felipe_88 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

yumematt 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Felipe_88 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

yumematt 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Felipe_88 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Felipe_88 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

PHP+Codeigniter - Adicionar Registro Plano de Contas

Javascript - Passar Parâmetros para uma Função.

PHP - Consulta MySql para prazo de dias

Fóruns

Tempo Real

Informação importante