Modem ZTE MF622 com virus???

Question

Pessoal, estou com o notebook infectado.Essa semana eu formatei o computador 4x porque ficava intrigada pra saber em qual momento &eacute; que eu pegava virus.Inicialmente achei que estivesse no meu pendrive, entao isolei o mesmo.O virus voltou a se instalar.Achei ent&atilde;o que poderia estar na unidade D, que uso para backup dos arquivos, mas n&atilde;o &eacute; tamb&eacute;m.Na ultima formata&ccedil;&atilde;o, hoje, cheguei &agrave; conclus&atilde;o que o virus se instalou no modem ZTE MF622 da Claro 3g.INstalei o windows e fiquei monitorando os processos. Percebi que o comportamento do sistema operacional come&ccedil;ava a ficar estranho. Notei a presen&ccedil;a do processo SPOOLSV.EXE. Sei que &eacute; um processo referente a impress&atilde;o, mas fiquei intrigada porque n&atilde;o tenho impressora.Assim que acessei a internet, os processos come&ccedil;aram a se multiplicar. Abriam sozinhos os processos com nomes que o windows usa, por&eacute;m que n&atilde;o estavam sendo usados, ou que estavam escritos de forma incorreta: cmd.exe (apesar de o prompt n&atilde;o estar aberto), FTP.exe, winIogon.exe (com I maiusculo no lugar do L), servises.exe (com S), reader_r.exe, winamp.exe (n&atilde;o instalei winamp), dentre outros que n&atilde;o lembro.O computador passa a ter o uso de 100% da CPU, tendo tamb&eacute;m estouro de buffer.Formatei novamente o computador. Acredito que esse virus esteja no modem, pois na &uacute;ltima formata&ccedil;&atilde;o, agora h&aacute; pouco, a &uacute;nica coisa que fiz foi instalar o windows (nem instalei os drives dos dispositivos). Estava tudo perfeito. Apenas pluguei o modem na USB, ele come&ccedil;ou a se instalar e olha l&aacute; o Spoolsv.exe j&aacute; executando. Conectei a internet, fiquei olhando o aplicativo da conex&atilde;o. N&atilde;o mandei abrir nada. Mas j&aacute; estava l&aacute; um tr&aacute;fego consider&aacute;vel e cerca de 10 segundos depois est&atilde;o os processos FTP.exe, CMD.exe, Updater.exe sendo executados.Agora vem a pergunta: o que posso fazer? Estava pensando em explorar o dispositivo remov&iacute;vel do modem por um outro computador que tenha linux, que mostra os arquivos execut&aacute;veis e ocultos que n&atilde;o tem jeito de ver pelo windows e excluir os arquivos suspeitos, mas tenho medo de detonar o funcionamento do modem.

Answer

*Baixe o HijackThis e instale-o em C:\Arquivos de programas\HijackThis. 
    *Execute-o e clique em [Do a system scan and save a logfile].
    *Uma janela contendo o resultado do scan ser&aacute; aberta. Copie e cole o relat&oacute;rio aqui no f&oacute;rum

Answer

Provavelmente nao deve ter sido o seu modem 3G,pois geralmente a parti&ccedil;ao que ele usa para armazenar o instalador do discador e read-only,ou seja,somente leitura,nao aceita grava&ccedil;oes.Depois que voce formatou o seu notebook,voce excluiu os arquivos .exe que tinham antes?A sua suspeita esta certa,esses arquivos que voce citou sao maliciosos.Talvez voce esteja contaminado com o Sality que infecta executaveis.

Answer

[quote=Wings, post: 4464750]*Baixe o HijackThis e instale-o em C:\Arquivos de programas\HijackThis. 
*Execute-o e clique em [Do a system scan and save a logfile].
*Uma janela contendo o resultado do scan ser&aacute; aberta. Copie e cole o relat&oacute;rio aqui no f&oacute;rum[/quote]
 
--------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:43, on 28/6/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
C:\ARQUIV~1\NORTON~1
avapw32.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccProxy.exe
C:\Arquivos de programas\Norton AntiVirus
avapsvc.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Arquivos de programas\Claro 3G\Claro 3G.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wpabaln.exe
D:\backupm meus documentos\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &R&aacute;dio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\ARQUIV~1\NORTON~1
avapw32.exe
O4 - HKLM\..\Run: [ccApp] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe
O4 - HKLM\..\RunServices: [Internets] C:\WINDOWS\System32\WinSec.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{421E8B47-B401-44CE-9192-51798D449DE1}: NameServer = 200.169.116.22 200.169.117.22
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe
O23 - Service: Servi&ccedil;o de Prote&ccedil;&atilde;o autom&aacute;tica do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus
avapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe
--
End of file - 4277 bytes

Answer

Outras coisas que acabei de notar:
1. O processo IEXPLORE.EXE logo quando reinstalo o windows aparece com letras mai&uacute;sculas. Agora ele &eacute; executado com letras min&uacute;sculas. Suspeito?
 
2.As vezes aparece o processo Winsec.exe. N&atilde;o sei o que &eacute;. Pesquisei no google e li que eh um virus.
 
3.No registro do windows, o winsec.exe estava como executavel na inicializa&ccedil;&atilde;o. O nome da entrada era Internets e apontava para c:\windows\system32\winsec.exe. Exclu&iacute; essa entrada.
 
4.Tamb&eacute;m no registro, a chave que inicializava o aplicativo de audio HDeck apontava para c:\....\...\HDeck.exe 1. O detalhe &eacute; que eu j&aacute; tinha excluido essa chave antes e voltou sozinha.
 
5.Acredito na possibilidade que foi citada de que eu esteja com um virus que infecta os arquivos execut&aacute;veis. Mas como &eacute; que o virus ent&atilde;o foi instalado se eu n&atilde;o abri nenhum execut&aacute;vel do computador? so instalei o windows pelo cd e pluguei o modem. Quando come&ccedil;ou a se instalar j&aacute; estava infectada novamente.

Answer

1.
*Desative temporariamente seu antiv&iacute;rus

Abra o Norton > Configura&ccedil;&atilde;o > Prote&ccedil;&atilde;o de Arquivos do Sistema > Desmarque a op&ccedil;&atilde;o Ativar prote&ccedil;&atilde;o dos Arquivos do Sistema
    *Baixe o ComboFix e salve-o no desktop
    *Feche o Internet Explorer e o Windows Explorer
    *Duplo-clique no arquivo Combofix.exe e aguarde o in&iacute;cio
    *Aceite o contrato
   [COLOR=Red] *Importante: enquanto o ComboFix estiver em execu&ccedil;&atilde;o, n&atilde;o use o mouse nem o teclado, pois seu desktop ficar&aacute; em branco!!...Para interromper o procedimento tecle [N][/COLOR]
    *Ao final do procedimento, o programa ser&aacute; fechado automaticamente e ser&aacute; mostrado um relat&oacute;rio
    *Cole o relat&oacute;rio criado em C:\combofix.txt e novo log do hijack

Ferramentas

Mover Tópico