[Resolvido] &nbspComo remover Trojan no blog

[Kelvin Luís 0]

Possuo um blog www.itanews.net, todos os flash estão bem, menos o da microlins que fica no topo ao lado da logomarca.

Só mostra errado no internet explorer, nos outros navegadores está normal.

Link do banner: http://itanewsonline.webs.com/microlins.swf

 

 

 

Como faço para remover o vírus?

 

http://forum.imasters.com.br/topic/471295-por-que-o-internet-explorer-nao-carrega-direito-o-flash/page__pid__1871112#entry1871112

[wings 22]

Olá Kelvin Luís

 

 

Se o script estiver na página do blog, não há como. Só entrando em contato com os responsáveis pelo site.

 

O máximo que podemos verificar é se há algo suspeito no seu PC.

 

 

 

:seta: Baixe o OTL e salve-o no Desktop

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

64

 

*Selecione as opções:

Verificar All Users

Verificar Lop

Verificar Purity

 

*Cole as linhas, em marrom, no espaço abaixo de Exames Personalizados/Correções

netsvcs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

HKU\Software\Microsoft\Windows\CurrentVersion\Internet Settings /s

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

 

*Clique [Verificar]

 

*Ao término, os relatórios OTL.txt e Extras.txt serão criados no Desktop (Área de Trabalho)

 

 

:seta: Acesse este link

 

*Clique [selecionar arquivo]

 

*Localize o arquivo OTL.txt no Desktop (Área de Trabalho) e clique [Abrir]

 

*Clique [Envoyer le fichier]

*Cole o link criado abaixo de Fichier envoyé avec succés! Copiez votre lien :

 

*Repita o procedimento para o relatório Extras.txt e cole o link

[Kelvin Luís 0]

http://mydoc.tk/3/2692OTL.Txt

 

 

 

http://mydoc.tk/3/2077Extras.Txt

[wings 22]

:seta: Baixe o AdwCleaner (...de Xplode) e salve-o no desktop (Área de Trabalho)

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

 

*Clique [Delete]

 

*Cole o relatório apresentado

 

 

 

:seta: Execute o OTL. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Cole as linhas em azul no espaço abaixo de Exames Personalizados/Correções:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oquefazernainternet.com/

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.oquefazernainternet.com/

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oquefazernainternet.com/

IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.oquefazernainternet.com/

IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.oquefazernainternet.com/

IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.oquefazernainternet.com/

IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.oquefazernainternet.com/

IE - HKU\S-1-5-21-3823880331-2346142867-3492617642-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.oquefazernainternet.com/

 

:Commands

[emptytemp]

*Clique [Consertar]

 

*Clique [OK] e o PC será reiniciado

 

*Cole o relatório criado em C:\_OTL\MovedFiles\data_hora.log

 

 

 

:seta: Baixe o SystemLook (...de jpshortstuff) e salve-o no desktop (Área de Trabalho)

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

 

*Cole as linhas em azul no espaço em branco:

:dir

C:\Windows\ÈùR

*Clique [Look] e cole o relatório apresentado

[Kelvin Luís 0]

Deu esse resultado no OTL:

 

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 537642 bytes

RecycleBin emptied: 8337599 bytes

 

Total Files Cleaned = 946,00 mb

 

 

OTL by OldTimer - Version 3.2.55.0 log created on 08012012_193305

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be

 

moved on reboot.

 

PendingFileRenameOperations files...

[2012/08/01 19:34:59 | 000,000,000 | ---- | M] () C:\Windows\temp

 

\_avast_\Webshlock.txt : Unable to obtain MD5

 

Registry entries deleted on Reboot...

 

E no último:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 19:37 on 01/08/2012 by Kelvin

Administrator - Elevation successful

 

========== dir ==========

 

C:\Windows\ÈùR - Unable to find folder.

 

-= EOF =-

[wings 22]

:seta: Você realizou o procedimento do AdwCleaner? Caso positivo:

 

*Execute o AdwCleaner e clique [uninstall]

 

 

:seta: Execute o OTL. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Clique [Limpeza] > [OK]

 

*O PC será reiniciado

 

 

:seta: Faça um scan online com o NOD32

 

 

*Ao término cole o relatório criado em C:\Arquivos de programas\EsetOnlineScanner\log

[Kelvin Luís 0]

Posso escanear com o avast?

[wings 22]

Posso escanear com o avast?

Pode sim....

 

Depois faça o procedimento abaixo.

 

 

:seta: Instale o MalwareBytes

 

*Aguarde a atualização e o programa será aberto automaticamente

 

*Clique [Verificar]

 

*Ao término, clique [OK] > [Ver Resultados] > [Remover Selecionados]

 

*Cole o relatório apresentado

[Kelvin Luís 0]

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Versão da Base de Dados: v2012.07.03.05

 

Windows 7 x86 NTFS

Internet Explorer 8.0.7600.16385

Kelvin :: KELVIN-PC [administrador]

 

03/08/2012 21:32:25

mbam-log-2012-08-03 (21-32-25).txt

 

Tipo de Verificação: Verificação Rápida

Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM

Opções de verificação desativadas: P2P

Objetos escaneados: 214832

Tempo decorrido: 3 minuto(s), 15 segundo(s)

 

Processos de Memória Detectados: 0

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Detectados: 0

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Valores de Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Pastas Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Arquivos Detectados: 1

C:\Users\Public\Desktop\MP3 Downloader.lnk (Rogue.Link) -> Enviado para a Quarentena e deletado com sucesso.

 

(fim)

 

 

 

 

 

 

 

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Versão da Base de Dados: v2012.08.06.09

 

Windows 7 x86 NTFS

Internet Explorer 8.0.7600.16385

Kelvin :: KELVIN-PC [administrador]

 

06/08/2012 11:11:23

mbam-log-2012-08-06 (11-11-23).txt

 

Tipo de Verificação: Verificação Rápida

Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM

Opções de verificação desativadas: P2P

Objetos escaneados: 202012

Tempo decorrido: 3 minuto(s), 30 segundo(s)

 

Processos de Memória Detectados: 0

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Detectados: 0

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Valores de Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Pastas Detectadas: 0

(Não foram detectados ítens maliciosos)

 

Arquivos Detectados: 1

C:\$Recycle.Bin\S-1-5-21-3874967016-3451307427-635245995-1000\$RXIIYN2.exe (Malware.Packer.Gen) -> Enviado para a Quarentena e deletado com sucesso.

 

(fim)

[wings 22]

OK....

 

 

Como está o PC?

 

O problema foi resolvido?

[Kelvin Luís 0]

Não.

[wings 22]

:seta: Abra o bloco de notas e cole nele as linhas em azul

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope" = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

 

*Salve no desktop assim:

 

Nome: fix.reg

 

Tipo: Todos os arquivos

 

*Execute-o e aceite a entrada no registro

 

*Reinicie o PC

 

 

Obs. Caso não resolva, o problema está no blog e não no PC.

[Kelvin Luís 0]

Não resolveu. O que faço então no blog?

[wings 22]

Não resolveu. O que faço então no blog?

Qual o seu antivírus? Avast ou KIS?

 

Mantenha apenas um antivírus instalado no PC.

[Elektra 102]

Qual o seu antivírus? Avast ou KIS?

 

Isto pode ser um falso positivo do KIS, caso o Avast não detecte.

 

Com licença wings.

 

O KIS instalado no meu PC que detectou o Trojan no blog do colega. Estou com o 2011, BD atualizado, scan diário programado.

 

Com certeza não é falso positivo.

 

Já tive um arquivo no meu server detectado com url maliciosa (me abstenho mencionar detalhes), a solução foi deletar o arquivo lá mesmo e fazer novo upload. No caso de um Trojan não sei se resolve, fica a seu critério orientar o procedimento adequado.

 

Abraços

[wings 22]

Olá Elektra

 

 

Então foi o seu KIS quem detectou o script e não Kelvin Luís usando?

 

Se for isso, então o problema está no blog.

[Elektra 102]

Sim, o Kelvin criou um tópico no fórum de Flash sobre o problema com o banner, quando acessei o endereço o KIS bloqueou o Trojan.

 

Fiz o print e postei. Sugeri que pedisse orientação nesta área do fórum.

 

Uso este software há mais de 5 anos, nunca tive falso positivo.

 

 

A Microlins é uma empresa, o que sugere que o banner tenha sido redirecionado.

 

Relatório atualizado do KIS.

 

 

 

Penso que a causa tenha relação com o script 'pagenav.js'.

[wings 22]

Sim...é um javascript.

 

Isso mostra que não está no PC dele o problema.

 

O melhor seria criar um tópico na sala:

http://forum.imasters.com.br/forum/79-css-xml-xhtml-html/

[Elektra 102]

Não necessariamente relacionado ao banner swf, mas no iFrame relacionado ao template do blog.

 

O problema do carregamento do banner no IE certamente é relativo a CSS, uma vez que exibe corretamente em outros navegadores.

 

Como remover o Trojan, sei não.

 

 

Abraços

[wings 22]

Acredito que o melhor é criar um tópico na sala que indiquei.