[Arquivado] Suspeitas de que o computador está sendo invadido

[Fernanda Francisco 0]

Olá pessoal!

 

 

Gostaria da ajuda de vocês em um problema que estou tendo.. Acredito que alguém está tentando invadir meu computador, pois quando estou com a internet conectada, aparece às vezes um 'input de senha' na tela. Aqui está um 'print' que tirei de quando aconteceu isso:

 

 

Outro detalhe também: quando entro no prompt de comando do Windows e digito netstat -a/-b, aparecem uma série de IPs diferentes, mesmo eu sem acessar nenhum site/programa no momento.

 

Uso anti-vírus, faço diversas varreduras no computador, bloquei tudo no Firewall do Windows, uso o SpyBot, mas mesmo assim o problema continua. Não sei mais o que preciso fazer..

 

Se alguém puder me ajudar, agradeço!

[DigRam 144]

Bom Dia! Fernanda Francisco

Bem Vinda ao Fórum iMasters!

|- Leia a regra n° 2 e poste o log do HijackThis,conforme está ali orientado.

A+

[Fernanda Francisco 0]

Bom dia, obrigada!

 

E desculpe, como estava ansiosa pra saber o que era, acabei postando sem ler direito as regras..

 

Estou no trabalho agora, mas quando chegar em casa, postarei o log!

[Fernanda Francisco 0]

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:34:17, on 18/03/2013

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v9.00 (9.00.8112.16470)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe

C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\HijackThis\HiJackThis (1).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?l=dis&o=102876&gct=hp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 2123123123111111113:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll

O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (file missing)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Tim] C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [HDD Regenerator] "C:\Program Files (x86)\HDD Regenerator\Shell.exe" /1

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [Tim] C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe

O4 - HKCU\..\Run: [Google Update] "C:\Users\santoprotetor\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')

O4 - Global Startup: Monitor.lnk = C:\Program Files (x86)\USB Video Camera\Monitor.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Realtek11nCU - Realtek - C:\Program Files (x86)\REALTEK\11n USB Wireless LAN Utility\RtlService.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe

O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe

O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 8794 bytes

Outro detalhe: Ás vezes aparece um ícone chamado 'default' com a imagem de conexão remota do Windows, na pasta 'Documentos'. Já deletei isso várias vezes, mas costume reaparecer, mesmo eu já tendo bloqueando conexões remotas.

[DigRam 144]

Boa Tarde! Fernanda Francisco

|- Desinstale: C:\Program Files (x86)\Spybot - Search & Destroy 2

-/-

|- Baixe: < Security Check > ( ... by screen317 )

|- < Link - 2 >

|- Salve-o no desktop!
|- Duplo-clique em SecurityCheck.exe



|- Siga as instruções e poste o relatório. ( checkup.txt )

-/-

|- Baixe: < > ( ... de Thisisu )
|- Salve-o no desktop!
|- Para Windows 7,clique direito em JRT.exe e execute-o como
|- Aguarde a conclusão e poste o relatório. ( JRT.txt )

-/-

|- Baixe: < > ( ... par Xplode )

|- Ao acessar,clique na imagem: < >

|- Ps: Se utilizar o navegador IE9,desabilite o filtro "SmartScreen".
|- Salve-o no desktop!
|- Clique direito em adwcleaner.exe,e escolha sua execução como
|- Ps: Dê início ao scan,clicando em "Remover". < >



|- Ao concluir,poste o relatório: C:\AdwCleaner[S1].txt
|- Poste,também,HijackThis atualizado!

A+

[Fernanda Francisco 0]

Olá DigRam! Obrigada pelas instruções! Abaixo estão os novos logs:

 

 

CHECKUP

 

Results of screen317's Security Check version 0.99.61

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Microsoft Security Essentials

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Java 7 Update 17

Adobe Flash Player 11.6.602.180

Adobe Reader XI

Mozilla Firefox 17.0.1 Firefox out of Date!

Google Chrome 25.0.1364.172

Google Chrome 25.0.1364.97

````````Process Check: objlist.exe by Laurent````````

Microsoft Security Essentials MSMpEng.exe

Microsoft Security Essentials msseces.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C: =

````````````````````End of Log``````````````````````

JRT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.7.2 (03.15.2013:1)

OS: Windows 7 Ultimate x64

Ran by santoprotetor on 18/03/2013 at 15:30:10,23

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

Successfully repaired: [Registry Value] hkey_current_user\software\microsoft\internet explorer\main\\Start Page

Successfully repaired: [Registry Value] hkey_users\.default\software\microsoft\internet explorer\main\\Start Page

Successfully repaired: [Registry Value] hkey_users\s-1-5-18\software\microsoft\internet explorer\main\\Start Page

Successfully repaired: [Registry Value] hkey_users\s-1-5-19\software\microsoft\internet explorer\main\\Start Page

Successfully repaired: [Registry Value] hkey_users\s-1-5-20\software\microsoft\internet explorer\main\\Start Page

Successfully repaired: [Registry Value] hkey_users\S-1-5-21-820871139-1194822329-159330024-1000\software\microsoft\internet explorer\main\\Start Page

~~~ Registry Keys

Successfully deleted: [Registry Key] hkey_current_user\software\softonic

Successfully deleted: [Registry Key] hkey_classes_root\clsid\{a6174f27-1fff-e1d6-a93f-ba48ad5dd448}

Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{a6174f27-1fff-e1d6-a93f-ba48ad5dd448}

~~~ Files

~~~ Folders

Successfully deleted: [Folder] "C:\Users\santoprotetor\AppData\Roaming\dealply"

~~~ FireFox

Successfully deleted: [File] C:\Users\santoprotetor\AppData\Roaming\mozilla\firefox\profiles\p6jlg4fm.default\searchplugins\askcom.xml

Successfully deleted the following from C:\Users\santoprotetor\AppData\Roaming\mozilla\firefox\profiles\p6jlg4fm.default\prefs.js

user_pref("browser.search.order.1", "Ask.com");

user_pref("browser.search.selectedEngine", "Ask.com");

user_pref("browser.startup.homepage", "hxxp://www.search.ask.com/?l=dis&o=102876&gct=hp");

~~~ Chrome

Successfully deleted: [Registry Key] hkey_current_user\software\google\chrome\extensions\gaiilaahiahdejapggenmdmafpmbipje

Successfully deleted: [Registry Key] hkey_local_machine\software\google\chrome\extensions\gaiilaahiahdejapggenmdmafpmbipje

~~~ Event Viewer Logs were cleared

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 18/03/2013 at 15:39:34,23

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

AdwCleaner[s1]

# AdwCleaner v2.115 - Relatório criado em 18/03/2013 às 15:43:46

# Atualizado em 17/03/2013 por Xplode

# Sistema Operacional : Windows 7 Ultimate Service Pack 1 (64 bits)

# Usuário : santoprotetor - COMPUTER

# Modo de Boot : Normal

# Executado de : C:\Users\santoprotetor\Desktop\AdwCleaner.exe

# Opção [Remover]

***** [serviços] *****

***** [Arquivos/Pastas] *****

Pasta Removido : C:\Users\SANTOP~1\AppData\Local\Temp\AskSearch

Pasta Removido : C:\Users\santoprotetor\AppData\Local\APN

Pasta Removido : C:\Users\santoprotetor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly

Pasta Removido : C:\Users\santoprotetor\AppData\Roaming\Mozilla\Firefox\Profiles\p6jlg4fm.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}

***** [Registro] *****

Chave Removida : HKCU\Software\DealPly

Chave Removida : HKCU\Software\InstallCore

Chave Removida : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}

Chave Removida : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}

Chave Removida : HKLM\Software\DealPly

***** [Navegadores] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Registro está limpo.

-\\ Mozilla Firefox v17.0.1 (pt-BR)

Arquivo : C:\Users\santoprotetor\AppData\Roaming\Mozilla\Firefox\Profiles\p6jlg4fm.default\prefs.js

[OK] Arquivo está limpo.

-\\ Google Chrome v25.0.1364.172

Arquivo : C:\Users\santoprotetor\AppData\Local\Google\Chrome\User Data\Default\Preferences

Removida [l.1856] : homepage = "hxxp://www.search.ask.com/?l=dis&o=102876cr&gct=hp",

*************************

AdwCleaner[s1].txt - [1662 octets] - [18/03/2013 15:43:46]

########## EOF - C:\AdwCleaner[s1].txt - [1722 octets] ##########

HijackThis

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:48:20, on 18/03/2013

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v9.00 (9.00.8112.16470)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\HijackThis\HiJackThis (1).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 2123123123111111113:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Tim] C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [HDD Regenerator] "C:\Program Files (x86)\HDD Regenerator\Shell.exe" /1

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [Tim] C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe

O4 - HKCU\..\Run: [Google Update] "C:\Users\santoprotetor\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')

O4 - Global Startup: Monitor.lnk = C:\Program Files (x86)\USB Video Camera\Monitor.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Realtek11nCU - Realtek - C:\Program Files (x86)\REALTEK\11n USB Wireless LAN Utility\RtlService.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 7412 bytes

[DigRam 144]

Boa Tarde! Fernanda Francisco

|- Acesse este site: < Virus Total >
|- Faça a análise deste arquivo: C:\Program Files (x86)\Reference Assemblies\Microsoft\Computer\TM\lsass.exe



|- Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalyse file now"



|- Ao concluir,poste o link ao relatório.

-/-

|- Baixe: | ZHPDiag2 | *ºº* < > *ºº* ( ... de Nicolas Coolman )

|- Salve-o no desktop!



|- Desabilite seu antivírus e execute "ZHPDiag2.exe",para instalar a ferramenta.



|- Confirme todos os passos,ao instalar ZHPDiag.
|- Conclua a instalação,clicando em "Termine".



|- Ps: Após a instalação,além de ZHPScript,estarão disponíveis no desktop:

|- <1> MBRCheck
|- <2> ZHPDiag2
|- <3> ZHPFix



|- Clique no ícone do pergaminho. ( ZHPScript )



|- Clique na seta verde para atualizá-la e/ou baixar sua definição mais recente. ( Your version is update. )
|- Habilite todas as opções de diagnóstico,clicando em "Options".



|- Clique em All.
|- Desmarque,à seguir,as caixinhas de n° O45,O61,O62,O65,O82.

|-

|- Clique em "Calendar" e escolha 30 dias!



|- Clique no botão UAC,para desabilitar essa proteção.



|- Dê início ao scan,clicando no ícone da lupa. ( Start Diagnosis )
|- Ao concluir,clique em "Save Report".
|- Salve-o em um local conveniente! ( ZHPDiag.txt )
|- Ps: Não poste,diretamente,esse arquivo texto.

|- Envie-o à Pjjoint.malekal,clicando na seta azul! < >

|- Ou acesse:

|- Ou acesse:

|- Maiores informações: < |Link| >

A+

[Fernanda Francisco 0]

Olá DigRam, aqui estão os links:

 

https://www.virustotal.com/pt/file/fb305ab7d066dae5b5b58f5d3e633fef0be1ba89ac5b848384e6f4ad3fb0795e/analysis/

 

http://myfile.tk/3/log.txt

[DigRam 144]

Boa Tarde! Fernanda Francisco



|- Atualize o Firefox. ( "Usando o canal de atualização release" )
|- Clique "Ajuda" >> "Sobre o Firefox".

-/-

< TiMonitor >

|- Se utilizas este programa espião,procure desinstalar o mesmo já que lssas.exe foi detectado como malicioso por 4 engenhos,indo ao VT.

-/-

|- Feche programas/pastas que estejam abertos.
|- Feche,também,o navegador!
|- Para Windows Vista,desabilite a UAC.



|- Dê um duplo clique em ZHPFix.
|- Selecione e copie estas informações,que estão em vermelho,para o "Bloco de Notas".

[MD5.00000000000000000000000000000000] [APT] [DealPly] (...) -- C:\Users\santoprotetor\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.exe (.not file.) [0] => Infection PUP (PUP.DealPly)
[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (.not file.) [0] => Infection PUP (PUP.Deaply)
O4 - HKLM\..\Wow6432Node\Run: [HDD Regenerator] C:\Program Files (x86)\HDD Regenerator\Shell.exe (.not file.)
O43 - CFD: 02/02/2013 - 19:36:27 - [0,413] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 18/04/2012 - 17:42:54 - [0] ----D C:\Users\santoprotetor\AppData\Local\Dados de aplicativos
O43 - CFD: 18/04/2012 - 17:42:54 - [0] ----D C:\Users\santoprotetor\AppData\Local\Histórico
O43 - CFD: 22/11/2012 - 19:12:00 - [0] ----D C:\Users\santoprotetor\AppData\Local\Programs

proxyfix
emptytemp
emptyflash
firewallraz
sysrestore

|- Estando com o Bloco de Notas aberto,acione os atalhos: "Ctrl+A" -> "Ctrl+C"
|- Minimize o Bloco de Notas.



|- Clique no menu,"Paste ClipBoard".
|- Clique "GO" -> Oui.



|- Ps: Temos,àcima,sequência de imagens para maior exclarecimento.
|- Poste o relatório: C:\ZHP\ZHPFix[R1].txt

A+

 

[Fernanda Francisco 0]

Olá DigRam! Obrigada pela ajuda!

 

Fiquei esses dias sem responder porque meu computador tinha sido levado para manutenção.. Não sei agora se posso continuar e fazer os passos acima, ou refaço tudo desde o começo.

 

Quanto ao TiMonitor, nunca instalei isso. Mas sei que ainda tem esse lssas.exe no meu computador, já que fui abri o CCleaner e na parte de programas iniciados com o Windows, estava ativado esse lssas.exe com o noem Tim, editor Monitor Mono. Tento excluir, mas não consigo.

[DigRam 144]

Olá!

 

|- O PC foi formatado?

 

-/-

 

|- Faça novo scan com ZHPDiag e poste seu relatório.

 

A+

[Fernanda Francisco 0]

Olá!

 

O computador não foi formatado. Apenas foram feitas umas varreduras e instalado um Firewall.

 

Aqui está o novo log:

 

http://myfile.tk/3/8670ZHPDiag.txt

[DigRam 144]

Boa Tarde! Fernanda Francisco

[MD5.00000000000000000000000000000000] [APT] [DealPly] (...) -- C:\Users\santoprotetor\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.exe (.not file.) [0] => Infection PUP (PUP.DealPly)
[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (.not file.) [0] => Infection PUP (PUP.DealPly)
O4 - HKLM\..\Wow6432Node\Run: [HDD Regenerator] C:\Program Files (x86)\HDD Regenerator\Shell.exe (.not file.)
O4 - GS\Desktop: Firewall Win.lnk - Orphean Key
O43 - CFD: 02/02/2013 - 19:36:27 - [0,413] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 18/04/2012 - 17:42:54 - [0] ----D C:\Users\santoprotetor\AppData\Local\Histórico

proxyfix
emptytemp
emptyflash
firewallraz
sysrestore

|- Realize o procedimento já dado,em ZHPFix e poste o relatório!
|- Ps: Após isso,informe a condição do computador.

Quanto ao TiMonitor, nunca instalei isso. Mas sei que ainda tem esse lssas.exe no meu computador, já que fui abri o CCleaner e na parte de programas iniciados com o Windows, estava ativado esse lssas.exe com o noem Tim, editor Monitor Mono. Tento excluir, mas não consigo.

|- Quando efetuou a análise do arquivo no VT,pediu a reanálise?

A+

[Fernanda Francisco 0]

Olá!

 

Log do ZPFix:

http://myfile.tk/3/ZHPFix_R1_.txt

 

Sobre a condição, é algo que tenho que ver nesse ZP, ou só dizer como o computador está? Se for isso, desde que voltou, no caso hoje, até agora não apareceu mais a tela da imagem que eu postei. De resto, está funcionando normalmente. Só não sei se a tela, que parecia ser alguém tentando acessar remotamente meu pc, não aparece mais porque excluí o mstc.exe do system32.

 

Quanto ao lssas.exe, acho que eu pedi sim a reanálise. De qualquer forma, acessei o VT novamente e aqui está o link:

https://www.virustotal.com/pt/file/fb305ab7d066dae5b5b58f5d3e633fef0be1ba89ac5b848384e6f4ad3fb0795e/analysis/1364150022/

[DigRam 144]

Boa Tarde! Fernanda Francisco

< http://www.processlibrary.com/directory/files/mstsc/25536/'>mstsc >

|- Trata-se do Microsoft Remote Desktop Connection e não é essencial ou crítico ao ser removido.
|- A re-análise indicou ser malicioso,por alguns engenhos antivírus. Onde o scan,online,em EsetNod32 poderá solucionar essa dúvida quanto à "lsass.exe,que pode ser FP.

-/-

|- Execute escaneamento online em | http://www.eset.eu/online-scanner'> |
|- Utilize o navegador "Internet Explorer",para essa tarefa!

http://s1158.photobucket.com/albums/p604/slackwings/?action=view&current=Nod32.gif'>

|- Siga,conforme a imagem,essa verificação ou scan.

http://imgbox.com/abmL2O1b'>

|- Ao concluir,clique em "List of found threats" >> "Export to text file"
|- Salve esse texto no desktop,com o nome: Esetlog
|- Poste o relatório que estará no desktop! ( Esetlog.txt )
|- Ps: Caso nada seja detectado,não teremos relatório ou lista presente.

A+

[Fernanda Francisco 0]

Olá DigRam!

 

Fiz o escaneamento no site acima, mas não deu nada, nenhum relatório foi gerado.

 

Você acha que já deve está tudo normal no pc?

[DigRam 144]

Bom Dia! Fernanda Francisco

 

Olá DigRam!

 

Fiz o escaneamento no site acima, mas não deu nada, nenhum relatório foi gerado.

 

Você acha que já deve está tudo normal no pc?

 

|- Sim! Tudo normal,pois não existe lista gerada.

 

|- Tendo por base a plataforma do Firefox,utilize o Comodo IceDragon que lhe dará maior proteção ao navegar.
|- Ps: Observei nesse navegador,boa redução nos crashes que ocorrem no Mozilla Firefox. Caso queira,pode manter instalado os dois navegadores,sendo que o Dragon é mais seguro.



|- Caso deseje maior seguridade ao Firefox,sugiro que instale o Spyware Blaster 5.0.
|- Salve-o em Arquivos de programas.
|- Após instalar o SB,vá em "Protection Status" -> Clique em "Enable All Protection"
|- Atualize o SB,clicando em "Updates" -> "Check for Updates" -> Aguarde!
|- Terminando,clique novamente em "Enable All Protection".
|- À cada 20 dias,busque sempre atualização para seu banco de definições.
|- Cabe lhe exclarecer que o software fará proteção em segundo plano e não executará escaneamento no computador,e não conflitará com seu antivírus residente.

-/-

|- Remova as ferramentas que foram empregadas e Pontos de Restauração que estejam infectados,com o DelFix.

|- Baixe: |DelFix| ( ... de Xplode )



|- Estando na página,clique na seta verde para o download.
|- Salve-a em um local conveniente! ( desktop! )
|- Feche aplicativos que estejam abertos.



|- Execute-a!
|- Com as duas checkbox marcadas!
|- Clique "Run".
|- Tudo Ok?

Abs!

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 10 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.