Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Brown.

[Resolvido] &nbspVirus site Itaú

Por , em Tópicos Resolvidos (Seguranca & Malwares)

Recommended Posts

Brown.    1

Brown.
Postado

Quando acesso o site do banco Itaú o layout esta diferente e pede para instalar o adobe flash player. Constatei que o site é falsificado, acessando de outra máquina e está diferente.

 

Já rodei anti virus e nao detectou nada, o anti malware detectou e ja executei a limpeza. Utilizei o ccleaner também

 

 

Mas ainda quando acesso o site aparece o falsificado. Só acontece com o Itaú, os outros sites acesso normalmente.

 

Esse virus esta enviando emails para os contatos também

 

Existe uma forma de corrigir esse problema sem formatar?

outro. está online Denunciar Mensagem

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Olá Brown.

 

 

*Baixe o OTL e salve-o no Desktop

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Selecione as opções:

Verificar All Users

Verificar Lop

Verificar Purity

 

*Cole as linhas, em marrom, no espaço abaixo de Exames Personalizados/Correções

netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

 

*Clique [Verificar]

 

*Ao término, os relatórios OTL.txt e Extras.txt serão criados no Desktop (Área de Trabalho)

 

*Acesse este link

 

*Clique [selecionar arquivo...]

 

*Localize o relatório OTL.txt no desktop (Área de Trabalho) e clique [Abrir]

 

*Clique [upload file]

 

*Cole o link gerado ao lado de Download link:

 

*Repita o procedimento para o relatório Extras.txt e cole o link para download

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

1.

*Execute o OTL. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Cole as linhas em azul no espaço abaixo de Exames Personalizados/Correções:

:OTL

PRC - [2012/03/09 19:50:38 | 000,109,064 | ---- | M] (Wajam) -- C:\Arquivos de Programas\Wajam\Updater\WajamUpdater.exe

SRV - [2012/03/09 19:50:38 | 000,109,064 | ---- | M] (Wajam) [Auto | Running] -- C:\Arquivos de Programas\Wajam\Updater\WajamUpdater.exe -- (WajamUpdater)

IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm169YYbr&ptnrS=XPxdm169YYbr&si=BR_15115000&ptb=D87318E0-101A-4B62-B69B-9D6B1C16B116&psa=&ind=2012042317&st=sb&n=77ed544d&searchfor={searchTerms}

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://toolbar.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=108293&babsrc=SP_ss&mntrId=14f137bb000000000000d0df9af6607f

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{43E35926-0CDA-4B60-A821-A44E6A8AB22C}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{93709D26-3A4F-480C-9E14-E61C0E1D1461}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851643

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm169YYbr&ptnrS=XPxdm169YYbr&si=BR_15115000&ptb=D87318E0-101A-4B62-B69B-9D6B1C16B116&psa=&ind=2012042317&st=sb&n=77ed544d&searchfor={searchTerms}

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}: "URL" = http://toolbar.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80582&lng=pt-br

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://www.supermercadoaraguaia.com/estoques/2222.pac

FF - prefs.js..network.proxy.autoconfig_url: "http://www.supermercadoaraguaia.com/estoques/2222.pac"

FF - prefs.js..network.proxy.type: 2

CHR - plugin: Wajam (Enabled) = C:\Users\Jacimar\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.23_0\plugins/PriamNPAPI.dll

CHR - Extension: Wajam = C:\Users\Jacimar\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.23_0\

O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)

O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\wajam.dll (Wajam)

[2012/03/05 09:48:50 | 000,000,000 | ---D | M] -- C:\Users\Jacimar\AppData\Roaming\Babylon

@Alternate Data Stream - 212 bytes -> C:\Windows\SysWow64\drivers:GbpKmAp.lst

 

:Files

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /v DealPly /f /c

reg delete HKEY_USERS\S-1-5-21-3551989281-3573776955-2359234658-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /v Wajam /f /c

 

:Commands

[EMPTYTEMP]

*Clique [Consertar]

 

*Clique [OK] e o PC será reiniciado

 

*Cole o relatório criado em C:\_OTL\MovedFiles\data_hora.log

 

 

2.

*Baixe o AdwCleaner (...de Xplode) e salve-o no desktop (Área de Trabalho)

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

aabhmCRc.jpg

 

*Clique [Delete]

 

*Cole o relatório apresentado

Compartilhar este post

Link para o post
Compartilhar em outros sites

Brown.    1

Brown.
Postado

No diretório C:\_OTL\MovedFiles\data_hora.log não gerou nenhum relatório, apenas uma pasta 07012012_192831

 

 

Relatório do adwCleaner

 

http://wikisend.com/download/903356/AdwCleaner[s1].txt

 

 

A principio eu consigo acessar o site original. Mas o vírus ainda esta na máquina e se trata de um trojan. Esta na linha FF - prefs.js..network.proxy.autoconfig_url: "http://www.supermercadoaraguaia.com/estoques/2222.pac"

 

Infecção JS:Banker-IT[Trj]

 

Processo: C:\Windows\System32svchost.exe

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

1.

*Execute o AdwCleaner e clique [uninstall]

 

 

2.

Cole um novo log do OTL

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Você fez errado o procedimento...

 

*Execute o OTL. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Selecione as opções:

Verificar All Users

Verificar Lop

Verificar Purity

 

*Clique [Verificar]

 

*Ao término cole o relatório OTL.txt

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

*Execute o OTL. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Cole as linhas em azul no espaço abaixo de Exames Personalizados/Correções:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}

IE:64bit: - HKLM\..\SearchScopes\{5B7E7A38-A48E-49BF-9A51-792E53B5835D}: "URL" = http://www.bing.com/search?q={searchTerms}&form=POSTDF&pc=POS2&src=IE-SearchBox

IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}

IE - HKLM\..\SearchScopes\{5B7E7A38-A48E-49BF-9A51-792E53B5835D}: "URL" = http://www.bing.com/search?q={searchTerms}&form=POSTDF&pc=POS2&src=IE-SearchBox

IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://toolbar.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No CLSID value found

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{43E35926-0CDA-4B60-A821-A44E6A8AB22C}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{93709D26-3A4F-480C-9E14-E61C0E1D1461}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851643

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm169YYbr&ptnrS=XPxdm169YYbr&si=BR_15115000&ptb=D87318E0-101A-4B62-B69B-9D6B1C16B116&psa=&ind=2012042317&st=sb&n=77ed544d&searchfor={searchTerms}

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\..\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}: "URL" = http://toolbar.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80582&lng=pt-br

IE - HKU\S-1-5-21-3551989281-3573776955-2359234658-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://www.supermercadoaraguaia.com/estoques/2222.pac

 

:Commands

[REBOOT]

 

*Feche os navegadores IE, Firefox, Chrome...

 

*Clique [Consertar]

 

*Clique [OK] e o PC será reiniciado

 

*Cole o relatório criado em C:\_OTL\MovedFiles\data_hora.log

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Olá Brown.

 

 

Informe se foi resolvido para poder iniciar a remoção do OTL.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Aparentemente foi resolvido, o anti virus não detectou a mensagem após vários sites serem abertos.

 

OK...

 

1.

*No Internet Explorer, clique [Ferramentas] > [Opções da Internet] > [Conexões] > [Configurações da Lan]

*Desmarque as opções Servidor Proxy e Usar script de configuração automática

*Clique [OK]

 

*No Firefox, clique [Ferramentas] > [Opções] > [Avançado] > [Rede] > [Configurar Conexão]

*Selecione Sem proxy

*Clique [OK]

 

 

2.

*Execute o OTL. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Clique [Limpeza] > [OK]

 

*O PC será reiniciado

 

 

Um abraço....29wmqdv.gif

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Resolvidos (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito