FórumGdH

Página Inicial do Guia do Hardware
Registrar FAQ Calendário Pesquisar Mensagens de Hoje Marcar Fóruns Como Lidos

Voltar   FórumGdH > Software, Segurança e Mac (Apple) > Análise de logs e remoção de vírus (arquivos maliciosos)
Atualizar essa Página Análise de log do HijackThis
Bem-vindo ao FórumGdH
Não se esqueça de se registrar, é grátis . Nós temos 754.090 usuários, convidamos você fazer parte de nossa comunidade também! Se ainda não encontrou o que procura use nossa pesquisa. Esperamos que aprecie nosso trabalho.

Resposta
 
Opções do Tópico
Antigo 04-04-2010, 17:01   #1 (permalink)
Arkhanor
Novo Membro
 
Avatar de Arkhanor
 
Registrado em: May 2007
Mensagens: 114
Reputação: 11 Arkhanor possui ótimo potencialArkhanor possui ótimo potencial
Enviar mensagem via MSN para Arkhanor
Padrão Análise de log do HijackThis
Pessoal, estou com problemas para acessar o site do banco real. Após uma pesquisa, verifiquei que há uma possibilidade de meu pc estar infectado com o trojan Banker, mas o mais estranho é que não baixo ou abro arquivos estranhos. De qualquer forma, estou postando o log do HijackThis para análise. Agradeço pela atenção.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:23, on 04/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Device Manager\msgrdvmn.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Users\Marcus\AppData\Local\Temp\msseces.exe
C:\Program Files (x86)\MagicDisc\MagicDisc.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
D:\Downloads\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 198.106.45.87 www.netcerto.com.br
O1 - Hosts: 198.106.45.87 visanet.com.br
O1 - Hosts: 198.106.45.87 www.visanet.com.br
O1 - Hosts: 198.106.45.87 www.bancoreal.com.br
O1 - Hosts: 198.106.45.87 real.com.br
O1 - Hosts: 198.106.45.87 www.real.com.br
O1 - Hosts: 198.106.45.87 www.itau.com.br
O1 - Hosts: 198.106.45.87 itau.com.br
O1 - Hosts: 198.106.45.87 www.itaupersonnalite.com.br
O1 - Hosts: 198.106.45.87 itaupersonnalite.com.br
O1 - Hosts: 198.106.45.87 www.itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 netcerto.com.br
O1 - Hosts: 198.106.45.87 itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 www.bb.com.br
O1 - Hosts: 198.106.45.87 bb.com.br
O1 - Hosts: 198.106.45.87 www.bb.gov.br
O1 - Hosts: 198.106.45.87 bb.gov.br
O1 - Hosts: 198.106.45.87 bradesco.com.br
O1 - Hosts: 198.106.45.87 www.bradesco.com.br
O1 - Hosts: 198.106.45.87 www.bradescoprime.com.br
O1 - Hosts: 198.106.45.87 bradescoprime.com.br
O1 - Hosts: 198.106.45.87 bradescojuridico.com.br
O1 - Hosts: 198.106.45.87 www.checktudo.com.br
O1 - Hosts: 198.106.45.87 checktudo.com.br
O1 - Hosts: 198.106.45.87 www.infoseg.gov.br
O1 - Hosts: 198.106.45.87 infoseg.gov.br
O1 - Hosts: 198.106.45.87 www.bradescojuridico.com.br
O1 - Hosts: 198.106.45.87 santander.com.br
O1 - Hosts: 198.106.45.87 www.santander.com.br
O1 - Hosts: 198.106.45.87 www.nossacaixa.com.br
O1 - Hosts: 198.106.45.87 nossacaixa.com.br
O1 - Hosts: 198.106.45.87 www.unibanco.com.br
O1 - Hosts: 198.106.45.87 unibanco.com.br
O1 - Hosts: 198.106.45.87 www.itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 cetelem.com.br
O1 - Hosts: 198.106.45.87 www.cetelem.com.br
O1 - Hosts: 198.106.45.87 citibank.com.br
O1 - Hosts: 198.106.45.87 www.citibank.com.br
O1 - Hosts: 198.106.45.87 caixa.com.br
O1 - Hosts: 198.106.45.87 www.caixa.com.br
O1 - Hosts: 198.106.45.87 caixaeconomicafederal.com.br
O1 - Hosts: 198.106.45.87 www.caixaeconomicafederal.com.br
O1 - Hosts: 198.106.45.87 caixa.gov.br
O1 - Hosts: 198.106.45.87 www.caixa.gov.br
O1 - Hosts: 198.106.45.87 caixaeconomica.gov.br
O1 - Hosts: 198.106.45.87 www.caixaeconomica.gov.br
O1 - Hosts: 198.106.45.87 caixaeconomica.com.br
O1 - Hosts: 198.106.45.87 www.caixaeconomica.com.br
O1 - Hosts: 198.106.45.87 cef.gov.br
O1 - Hosts: 198.106.45.87 www.cef.gov.br
O1 - Hosts: 198.106.45.87 www.caixaeconomicafederal.gov.br
O1 - Hosts: 198.106.45.87 caixaeconomicafederal.gov.br
O1 - Hosts: 198.106.45.87 itauuniclass.com.br
O1 - Hosts: 198.106.45.87 www.itauuniclass.com.br
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Auxiliar de Conexão do Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WindowsLivePhone] C:\Program Files (x86)\Windows Live\Device Manager\msgrdvmn.exe /AutoRun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BankerFixV3] \LinhaDefensiva\rotinas\postreboot.bat
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [Steam] "d:\jogos\instalados\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsLivePhone] "C:\Program Files (x86)\Windows Live\Device Manager\msgrdvmn.exe" /AutoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Microsoft Windows Defender] "C:\Users\Marcus\AppData\Local\Temp\msseces.ex e"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')
O4 - Startup: MagicDisc.lnk = C:\Program Files (x86)\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12910 bytes
__________________

Core 2 Quad Q9550
ASUS P5Q Deluxe
EVGA Geforce GTX 280 1 gb Superclocked
LCD Samsung T190 19"
HD Samsung 250 gb Sata II
HD Samsung 1 tb Sata II
Corsair TX 850W
2x Corsair Dominator DDR2 2gb 1066mhz
Arkhanor está offline   Responder com Quote
Antigo 04-04-2010, 17:35   #2 (permalink)
Wolf-7x
Zumbi
 
Avatar de Wolf-7x
 
Registrado em: May 2009
Mensagens: 7.099
Reputação: 1790 Wolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputação
Padrão
acesse a pasta> c:\windows\system32\drivers\etc... e visualize pelo bloco de notas o arquivo Hosts. Apague todas as informações extras deixando o arquivo conforme o exemplo abaixo:
Citação:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
salve-o

Execute o hijackthis escolha a opção do a system scan only. Selecione o item:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

clique em fix checked.

envie um novo log do hijackthis.
__________________

* Até Maio.... estarei menos presente no GDH......
-- Acessos esporádicos --
Wolf-7x está offline   Responder com Quote
Antigo 04-04-2010, 17:44   #3 (permalink)
Arkhanor
Novo Membro
 
Avatar de Arkhanor
 
Registrado em: May 2007
Mensagens: 114
Reputação: 11 Arkhanor possui ótimo potencialArkhanor possui ótimo potencial
Enviar mensagem via MSN para Arkhanor
Padrão
No Hosts só tem um comentário do spybot e o resto são links de bancos, provavelmente para redirecionamento. Quando apago tudo e salvo, o arquivo some e reaparece com as mesmas informações anteriores. Selecionei o que você indicou no hijackthis e cliquei em fix. Esse é o novo log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:45, on 04/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Device Manager\msgrdvmn.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Users\Marcus\AppData\Local\Temp\msseces.exe
C:\Program Files (x86)\MagicDisc\MagicDisc.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
D:\Jogos\Instalados\Steam\Steam.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Last.fm\LastFM.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
D:\Downloads\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 198.106.45.87 www.netcerto.com.br
O1 - Hosts: 198.106.45.87 visanet.com.br
O1 - Hosts: 198.106.45.87 www.visanet.com.br
O1 - Hosts: 198.106.45.87 www.bancoreal.com.br
O1 - Hosts: 198.106.45.87 real.com.br
O1 - Hosts: 198.106.45.87 www.real.com.br
O1 - Hosts: 198.106.45.87 www.itau.com.br
O1 - Hosts: 198.106.45.87 itau.com.br
O1 - Hosts: 198.106.45.87 www.itaupersonnalite.com.br
O1 - Hosts: 198.106.45.87 itaupersonnalite.com.br
O1 - Hosts: 198.106.45.87 www.itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 netcerto.com.br
O1 - Hosts: 198.106.45.87 itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 www.bb.com.br
O1 - Hosts: 198.106.45.87 bb.com.br
O1 - Hosts: 198.106.45.87 www.bb.gov.br
O1 - Hosts: 198.106.45.87 bb.gov.br
O1 - Hosts: 198.106.45.87 bradesco.com.br
O1 - Hosts: 198.106.45.87 www.bradesco.com.br
O1 - Hosts: 198.106.45.87 www.bradescoprime.com.br
O1 - Hosts: 198.106.45.87 bradescoprime.com.br
O1 - Hosts: 198.106.45.87 bradescojuridico.com.br
O1 - Hosts: 198.106.45.87 www.checktudo.com.br
O1 - Hosts: 198.106.45.87 checktudo.com.br
O1 - Hosts: 198.106.45.87 www.infoseg.gov.br
O1 - Hosts: 198.106.45.87 infoseg.gov.br
O1 - Hosts: 198.106.45.87 www.bradescojuridico.com.br
O1 - Hosts: 198.106.45.87 santander.com.br
O1 - Hosts: 198.106.45.87 www.santander.com.br
O1 - Hosts: 198.106.45.87 www.nossacaixa.com.br
O1 - Hosts: 198.106.45.87 nossacaixa.com.br
O1 - Hosts: 198.106.45.87 www.unibanco.com.br
O1 - Hosts: 198.106.45.87 unibanco.com.br
O1 - Hosts: 198.106.45.87 www.itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 itauprivatebank.com.br
O1 - Hosts: 198.106.45.87 cetelem.com.br
O1 - Hosts: 198.106.45.87 www.cetelem.com.br
O1 - Hosts: 198.106.45.87 citibank.com.br
O1 - Hosts: 198.106.45.87 www.citibank.com.br
O1 - Hosts: 198.106.45.87 caixa.com.br
O1 - Hosts: 198.106.45.87 www.caixa.com.br
O1 - Hosts: 198.106.45.87 caixaeconomicafederal.com.br
O1 - Hosts: 198.106.45.87 www.caixaeconomicafederal.com.br
O1 - Hosts: 198.106.45.87 caixa.gov.br
O1 - Hosts: 198.106.45.87 www.caixa.gov.br
O1 - Hosts: 198.106.45.87 caixaeconomica.gov.br
O1 - Hosts: 198.106.45.87 www.caixaeconomica.gov.br
O1 - Hosts: 198.106.45.87 caixaeconomica.com.br
O1 - Hosts: 198.106.45.87 www.caixaeconomica.com.br
O1 - Hosts: 198.106.45.87 cef.gov.br
O1 - Hosts: 198.106.45.87 www.cef.gov.br
O1 - Hosts: 198.106.45.87 www.caixaeconomicafederal.gov.br
O1 - Hosts: 198.106.45.87 caixaeconomicafederal.gov.br
O1 - Hosts: 198.106.45.87 itauuniclass.com.br
O1 - Hosts: 198.106.45.87 www.itauuniclass.com.br
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Auxiliar de Conexão do Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WindowsLivePhone] C:\Program Files (x86)\Windows Live\Device Manager\msgrdvmn.exe /AutoRun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BankerFixV3] \LinhaDefensiva\rotinas\postreboot.bat
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [Steam] "d:\jogos\instalados\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsLivePhone] "C:\Program Files (x86)\Windows Live\Device Manager\msgrdvmn.exe" /AutoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Microsoft Windows Defender] "C:\Users\Marcus\AppData\Local\Temp\msseces.ex e"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')
O4 - Startup: MagicDisc.lnk = C:\Program Files (x86)\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12895 bytes
__________________

Core 2 Quad Q9550
ASUS P5Q Deluxe
EVGA Geforce GTX 280 1 gb Superclocked
LCD Samsung T190 19"
HD Samsung 250 gb Sata II
HD Samsung 1 tb Sata II
Corsair TX 850W
2x Corsair Dominator DDR2 2gb 1066mhz
Arkhanor está offline   Responder com Quote
Antigo 04-04-2010, 17:57   #4 (permalink)
Wolf-7x
Zumbi
 
Avatar de Wolf-7x
 
Registrado em: May 2009
Mensagens: 7.099
Reputação: 1790 Wolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputação
Padrão
faça o download do arquivo no link abaixo:

http://www.megaupload.com/?d=U0O9MC1R

Extraia-o para a pasta c:\windows\system32\drivers\etc.... quando questionado informe para substituir o arquivo existente.
__________________

* Até Maio.... estarei menos presente no GDH......
-- Acessos esporádicos --
Wolf-7x está offline   Responder com Quote
Antigo 04-04-2010, 18:02   #5 (permalink)
Arkhanor
Novo Membro
 
Avatar de Arkhanor
 
Registrado em: May 2007
Mensagens: 114
Reputação: 11 Arkhanor possui ótimo potencialArkhanor possui ótimo potencial
Enviar mensagem via MSN para Arkhanor
Padrão
Aconteceu a mesma coisa. Substitui o arquivo mas o mesmo é reposto pelo infectado. Acho que vou ter que formatar de novo. O problema é que ainda não sei como isso veio parar no meu pc. Agradeço pela assistência wolf09

Edit: Agora percebi que o arquivo se "auto-atualiza" a cada minuto.
__________________

Core 2 Quad Q9550
ASUS P5Q Deluxe
EVGA Geforce GTX 280 1 gb Superclocked
LCD Samsung T190 19"
HD Samsung 250 gb Sata II
HD Samsung 1 tb Sata II
Corsair TX 850W
2x Corsair Dominator DDR2 2gb 1066mhz
Arkhanor está offline   Responder com Quote
Antigo 04-04-2010, 18:07   #6 (permalink)
Wolf-7x
Zumbi
 
Avatar de Wolf-7x
 
Registrado em: May 2009
Mensagens: 7.099
Reputação: 1790 Wolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputação
Padrão
o seu sistema é 32 ou 64 bits ?
__________________

* Até Maio.... estarei menos presente no GDH......
-- Acessos esporádicos --
Wolf-7x está offline   Responder com Quote
Antigo 04-04-2010, 18:08   #7 (permalink)
Arkhanor
Novo Membro
 
Avatar de Arkhanor
 
Registrado em: May 2007
Mensagens: 114
Reputação: 11 Arkhanor possui ótimo potencialArkhanor possui ótimo potencial
Enviar mensagem via MSN para Arkhanor
Padrão
Windows 7 Pro x64
__________________

Core 2 Quad Q9550
ASUS P5Q Deluxe
EVGA Geforce GTX 280 1 gb Superclocked
LCD Samsung T190 19"
HD Samsung 250 gb Sata II
HD Samsung 1 tb Sata II
Corsair TX 850W
2x Corsair Dominator DDR2 2gb 1066mhz
Arkhanor está offline   Responder com Quote
Antigo 04-04-2010, 18:13   #8 (permalink)
Wolf-7x
Zumbi
 
Avatar de Wolf-7x
 
Registrado em: May 2009
Mensagens: 7.099
Reputação: 1790 Wolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputaçãoWolf-7x tem uma fabulosa reputação
Padrão
Hum!! esse é o problema., a maioria das ferramentas/aplicativos não é compatível com sistema 64 bits... tente efetuar um dos procedimentos acima em modo de segurança(18:35 / 18:57 ) ... se não obtiver êxito... ai só com despacho ou algum hacker..
__________________

* Até Maio.... estarei menos presente no GDH......
-- Acessos esporádicos --
Wolf-7x está offline   Responder com Quote
Antigo 04-04-2010, 18:14   #9 (permalink)
Arkhanor
Novo Membro
 
Avatar de Arkhanor
 
Registrado em: May 2007
Mensagens: 114
Reputação: 11 Arkhanor possui ótimo potencialArkhanor possui ótimo potencial
Enviar mensagem via MSN para Arkhanor
Padrão
"ai só com despacho ou algum hacker.." AEIUHIAUHIUAEHIUAEHIUAEHIUHEA
Ta parecendo mesmo. Vou tentar no modo de segurança e ver se resolve. Valeu mesmo!

Edit: É, infelizmente não deu certo. Assim que entro normalmente no windows, o arquivo hosts fica infectado e muda. Vou ter que formatar e descobrir como esse trojan apareceu aqui, já que não baixo e nem abro nada estranho. Agradeço pela atenção.
__________________

Core 2 Quad Q9550
ASUS P5Q Deluxe
EVGA Geforce GTX 280 1 gb Superclocked
LCD Samsung T190 19"
HD Samsung 250 gb Sata II
HD Samsung 1 tb Sata II
Corsair TX 850W
2x Corsair Dominator DDR2 2gb 1066mhz
Última edição por Arkhanor : 04-04-2010 às 18:34.
Arkhanor está offline   Responder com Quote
Resposta

« Tópico Anterior | Próximo Tópico »

Opções do Tópico

Regras de Mensagens
Você não pode criar tópicos
Você não pode postar respostas
Você não pode anexar arquivos
Você não pode editar suas mensagens
Código vB está Ligado
Smiles estão Ligado
Código [IMG] está Ligado
Código HTML está Desligado
Ir para...


Horários baseados na GMT -3. Agora são 4:12.
Guia do Hardware - Melhores Tópicos - Início