Fisherman

Toda a vez que escaneio me computador com o a-squared, a procura de worms, trojans, etc.. ele encontra o arquivo abaixo como invasor.
Nem o Avast nem o MS Antispyware não detectam nada.
O que será isso?
Alguem pode ajudar? Será que posso remover do registro?

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\C ommon\Internet --> UseRWHlinkNavigation Trace.Registry.SideStep IE SideBar

Serfalas

Será que não é aquele painel lateral dos aplicativos Office, que permite se conectar à Internet, para fazer pesquisas?

walteen

Se tiver mais dúvidas, utiliza o HijackThis pra passar um scan e analiza o log aqui:

:arrow: www.hijackthis.de

__________________

Claudio Pena

Passe um scan com o HijackThis, como recomendou o walteen. Na dúvida, gere um log com o programa e cole aqui que a gente te ajuda. Experimente também o Ewido: www.ewido.net

Dê uma conferida nos fixos da sala de segurança. Tem muita coisa útil por lá. :wink:

__________________

Fisherman

Vai aí o log do HIJACKTHIS!
(isso pra mim é grego!)

Logfile of HijackThis v1.99.1
Scan saved at 10:16:28, on 19/4/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\khooker.exe
C:\WINDOWS\system32\pctspk.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Skype\Phone\Skype.exe
C:\Arquivos de programas\Microsoft AntiSpyware\gcasDtServ.exe
C:\Arquivos de programas\MagicLAN\MagicUtility\swlcu11.exe
C:\Documents and Settings\Doméstico\Desktop\hijackthis\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fdnet.com.br/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [alarmme.exe] C:\AlarmMe\Alarmme.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /A "C:\WINDOWS\system32\E_S6.tmp"
O4 - HKCU\..\Run: [Skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MagicLAN Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAE6727B-8564-4034-AA97-B33C3EC3414A}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Porque a linha res://c:\ARQUIV~1\MICROS~2\office10\EXCEL.EXE\3000 se transforma em um link?
Agradeço muito a uem puder traduzir isso e me ajudar!
Abraços

walteen

O log está limpo... Deve ser um falso positivo... Qualquer coisa passa um scan online:

:arrow: www.pandasoftware.com/activescan/pt/activescan_principal.htm

__________________

Claudio Pena

Ai vai o link da análise do seu log: http://www.hijackthis.de/logfiles/6501c8bb5a817830adcc956465901aa0.html

Entradas suspeitas:
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE
C:\Arquivos de programas\MagicLAN\MagicUtility\swlcu11.exe
O4 - HKLM\..\Run: [alarmme.exe] C:\AlarmMe\Alarmme.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42" ( esta deve ser da sua impressora. Se usar impressora Epson, mantenha esta entrada);
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /A "C:\WINDOWS\system32\E_S6.tmp" ( a mesma coisa do de cima);

As 3 entradas acima que estão em vermelho aparentemente podem ser deletadas, mas verifique se não possui nenhum programa conhecido instalado no seu pc que as esteja utilizando.
As duas últimas parecem de impressora Epson. Se não usa esta impressora podem ser malwares também, e devem ser removidas.
Como remover usando o HijackThis? Veja aqui:
http://forumgdh.net/viewtopic.php?t=251559&start=20

Depois passe um scan com os programas indicados no link que passei, e com um bom antivirus. 8)

__________________

walteen

Esse Alarmme eu achei suspeito também, mas procurei na net e não vi nada a respeito...
Os outros parecem ser da impressora Epson.

__________________

Fisherman

O AlarME é um programinha que me avisa sobre datas importantes (aniversários, médico, pagto de contas, etc). Ele inicia com o Windows.
Eu baixei ele do site www.jacotei.com.br (brinde).
O Magic Lan é o utilitário de configuração da minha conexão com a internet, que é via rádio.
Epson é realmente a minha impressora.
A única coisa que eu não sei é esse drive!.
Não será de um scanner que eu tinha e desinstalei ou parte do programa da minha câmra digital (que também é webcam?)
Será que eu posso remover?

walteen

Pra mim isso é de impressora por causa do Spool.
Se não estiver utilizando, pode removê-las sim...

__________________

dash

Baixa esse programinha free no link abaixo.

Limpa tudo que quer se integrar no IE.

Clica no FIX e marque a opção enviar para a lixeira.

Trend Micro™ CWShredder™

__________________
T-BRED 2700+/MAXTOR 120GB/2 X 256 SAMSUNG/A7N8X-DL/LG 4167B/TTGI 350W/SOUND STORM + EDIFIER R1000TCN/RADEON 9600 PRÓ SAPPHIRE 446/398

Fisherman

Tá certo Walteen!
O arquivo faz parte do programa que monitora o nivel de tinta da impressora
(Status Monitor).
Então não vou remover.
Quanto àquela chave (do meu primeiro tópico) voce acha que é um falso positivo?
Devo ignora-la?

Valeu pelas dicas!!!

Abraços