Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

mikael.php

[Resolvido] Infectado por "Trojan:Win32/Vondo"

Recommended Posts

Seguinte galera, hoje de manhã liguei o pc e o windows defender me deu uma mensagem de que um software mal-intencionado havia sido encontrado, um tal de "Trojan:Win32/Vondo" ou mais ou menos isso. Dai, logo em seguida vou pesquisar pela palavra "vondo" no google imagens, e para a minha surpresa, as primeiras 5 imagens tinham relação com o que eu queria, da 6ª em diante ele repetia em todas uma imagem de um acidente!

Um amigo do Yahoo! Respostas falou: "Pelo que li, Google imagens foi Hackeado, porém ninguém descobriu qual mensagem os Hackers querem passar com esse acidente." https://br.answers.yahoo.com/question/index?qid=20140826042035AArvlDa

 

Alguém tem alguma informação referente a isto? já aconteceu com vocês? o que pode ser? seria algum vírus mesmo? algum bug do google imagens? o google imagens pode mesmo ter sido hackeado?

Grato pela atenção.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Mesma coisa aqui! Mas acredito não se tratar do tal Vondo, qualquer busca por imagens mostra essa foto, aparentemente um acidente na Russia. Mais provável que o google tenha sido hackeado!


Interessante que somente os thumbnails estão assim, ao abrir a foto aparece a imagem real.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Mesma coisa aqui! Mas acredito não se tratar do tal Vondo, qualquer busca por imagens mostra essa foto, aparentemente um acidente na Russia. Mais provável que o google tenha sido hackeado!

Interessante que somente os thumbnails estão assim, ao abrir a foto aparece a imagem real.

 

Bem observado!

Quando clicamos na foto ela carrega.

 

O pessoal do yahoo respostas falou que está com o mesmo problema, mas que não está com esse "vondo", acho que foi apenas uma coincidência!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia! mikael.php

RegraNdeg2_HijackThis_zps29f6a7eb.jpg

|- Leia a Regra N° 02 e poste o log do HijackThis,conforme está ali orientado.

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites
Log do HijackThis:


Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 11:08:36, on 26/08/2014

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v11.0 (11.00.9600.17239)

Boot mode: Normal


Running processes:

C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe

C:\Program Files (x86)\Pidgin\pidgin.exe

C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\AVAST Software\Avast Business\AvastUI.exe

C:\Windows\SysWOW64\RunDll32.exe

C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe

C:\Program Files (x86)\phpDesigner 8\phpDesigner.exe

C:\Program Files (x86)\EMS\SQL Manager Lite for PostgreSQL\PgManager.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Windows Media Player\wmplayer.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Users\gestaoti3\Desktop\HiJackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cotrijuidp.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.201:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast Business\aswWebRepIE.dll

O3 - Toolbar: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast Business\aswWebRepIE.dll

O4 - HKLM\..\Run: [brMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast Business\avastUI.exe" /nogui

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [Pidgin] "C:\Program Files (x86)\Pidgin\pidgin.exe"

O4 - HKCU\..\Run: [iSUSPM Startup] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKCU\..\Run: [DU Meter] "C:\Program Files (x86)\DU Meter\DUMeter.exe" /autostart

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-21-3896469502-535490171-1006903820-1003\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'postgres')

O4 - HKUS\S-1-5-21-3896469502-535490171-1006903820-1003\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'postgres')

O4 - Startup: Mozilla Thunderbird.lnk = C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe

O4 - Global Startup: Bluetooth.lnk = ?

O8 - Extra context menu item: Enviar imagem para Dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar página para Dispositivo &Bluetooth ... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Enviar para Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: Enviar para Dispositivo &Bluetooth... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O15 - Trusted Zone: *.dell.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7E32E7FC-526E-4330-82A0-640A0DA203E6}: NameServer = 8.8.8.8

O17 - HKLM\System\CCS\Services\Tcpip\..\{913AAE32-A1E6-4405-A0F6-C33E8289496E}: NameServer = 192.168.2.201

O17 - HKLM\System\CCS\Services\Tcpip\..\{9BF2A106-8D55-463C-AD22-6A5051FEFB59}: NameServer = 192.168.2.201

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_59b4996fb11201dd\AESTSr64.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast Business\AvastSvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: EnterpriseDB ApachePHP (EnterpriseDBApachePHP) - Apache Software Foundation - C:\Program Files (x86)\PostgreSQL\EnterpriseDB-ApachePhp\apache\bin\httpd.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files (x86)/PostgreSQL/8.4/bin/pg_ctl.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_59b4996fb11201dd\STacSV64.exe

O23 - Service: TeamViewer 9 (TeamViewer9) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Zero Configuration Service (ZeroConfigService) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe


--

End of file - 10519 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia! mikael.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.201:3128
>>

|- Foi você que configurou este Proxy?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cotrijuidp.com.br/
>>

|- E esta página inicial? É de sua vontade?

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia! mikael.php

 

|- Vamos a um log mais completo do PC.

 

-/-

 

|- Baixe: < ZHPDiag2.exe > < NicolasCoolman.jpg > ( ... de Nicolas Coolman )
|- Salve-o no disco local! ( C ou D )
|- Desabilite seu antivírus e execute "ZHPDiag2.exe",para instalar a ferramenta.

ZHPDiag_Pergaminho2_zps6e758639.jpg

|- Execute o ícone do pergaminho. ( ZHPDiag )

ZHPDiagCompleta_zpse85ea35b.jpg

|- Clique "COMPLETA" e aguarde a conclusão!
|- Clique OK e,ao concluir,poste o relatório! ( ZHPDiag.txt )
|- Ps: Como o log será extenso,envie-o à Pjjoint.malekal.

|- Ou acesse: < Cjoint_Logo.jpg >

|- Maiores informações: < |Link| >

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde! DigRam

 

Relatório do ZHPDiag: http://pjjoint.malekal.com/files.php?id=20140826_h12r9z9c6o8

 

Este episódio que aconteceu com o Google Imagens já está confirmado que foi apenas uma curiosa coincidência.

 

Mas a respeito deste "Trojan:Win32/Vundo", alguém conhece esta praga? Na wikipedia fala que ele é "conhecido por causar popups e publicidade para os programas anti-spyware desonestos". http://en.wikipedia.org/wiki/Vundo

 

Acho que neste PC nunca cheguei a instalar o Baidu Antivirus, mas teria alguma relação com esse nosso "amigo"? heheheh

Compartilhar este post


Link para o post
Compartilhar em outros sites
Boa Tarde! mikael.php


|- Não consta em seu PC o Baidu e nem o Vundo.


-/-


|- Execute este script na ferramenta ZHPFix.

|- Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.

|- Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )

|- À seguir,minimize o Bloco de Notas.


script zhpfix

O2 - BHO: (no name) [64Bits] - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Chave orfã

C:\Users\gestaoti3\AppData\Local\Temp\sp-downloader.exe =>Toolbar.Conduit

emptytemp

emptyclsid


|- Abra a ferramenta ZHPFix. < ZHPFix_logo2_zpsea0f2aa4.jpg >

|- Clique IMPORTAÇÃO >> OK.

|- Clique "GO".

|- Poste o relatório!


A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Tarde! DigRam

 

Relatório do ZHPFix:

 

Rapport de ZHPFix 2014.8.3.6 par Nicolas Coolman, Update du 03/08/2014
Fichier d'export Registre :
Run by gestaoti3 at 26/08/2014 14:38:47
High Elevated Privileges : OK
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
Reciclagem vazia (00mn 01s)
========== Processo memória ==========
ELIMINÉ: Memory Process: C:\Users\gestaoti3\AppData\Local\Temp\sp-downloader.exe
========== Pastas ==========
Nenhuma pasta CLSID local utilizador vazia
========== Ficheiros ==========
ELIMINÉ Temporários windows (805) (473.049.474 octets)
========== Recapitulativo ==========
1 : Processo memória
1 : Pastas
1 : Ficheiros
End of clean in 00mn 03s
========== Caminho do ficheiro do relatório ==========
C:\Users\gestaoti3\AppData\Roaming\ZHP\ZHPFix[R1].txt - 26/08/2014 14:38:48 [739]

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Noite! mikael.php

 

|- Desinstale ZHPDiag.

 

-/-

 

|- Tudo Ok?

 

Abs!

Compartilhar este post


Link para o post
Compartilhar em outros sites

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.