Logo Hardware.com.br
Big Buzz
Big Buzz Novo Membro Registrado
33 Mensagens 1 Curtida

[Resolvido] AmeaÇas Ou NÃo ?

#1 Por Big Buzz 12/09/2008 - 13:05
Frequentemente dou uma lida nos tutoriais postados aqui para aprender mais sobre segurança , como também baixo algumas ferramentas indicadas pelos experts.

Vejam o que está acontecendo quando utilizo o A-Square 3.5 e o AVG8.0

Fiz uma verificação com o A-Squared 3.5 em meu pc e ele detectou as seguintes ameaças :

1- AnalogX 4.14 ------- RISWARE.SERVER

2- Smitfraud.zip --------- HOAX.WIN32.RENO.VAOZ

3- Uninstal.exed ---------TROJAN.WIN32OBFUSCATED.UMY

4- Icolor.exe (Programa freeware para trocar as cores e formato das pastas do explorer ) ---- BACKDOOR.WIN32.PTAKKS.DR
TROJANWIN32.AGENT.BRH

E o AVG8.0 detectou o Proxy4.1 zipado e o MSNFIX .EXE como trojan também.



São falsos positivos ou procede o diagnostico ?

Coloquei-os em quarentena e conforme for, deleto-os ou não.

ps. Não utilizei nem o msnfix nem o smitfraud nem o Uninstall.exe, somente baixei-os para ter essas ferramentas quando necessário for.

O Proxy , uso frequentemente pois tenho uma Wireless com 3 pc´s funcionando muito bem.

grato.

Buzz
aprender dou frequentemente tutoriais lida postados ameacas resolvido asquare
Gorth
Gorth General de Pijama Registrado
3.9K Mensagens 331 Curtidas
#2 Por Gorth
12/09/2008 - 13:24
coloque em quarentena. tudo que vem escrito TROJAN pode ser virus sim e BACKDOOR tambem. alterar arquivos de sistema com software de cunho duvidoso faz com que o antivirus detecte como possivél ameaça.
Não se pode ensinar tudo a alguem. Pode-se, apenas, ajudá-lá a encontrar por si mesmo.
(Galileu Galilei)
_____________________
Acesse: GAZA TUTORIAIS
killer ™
killer ™ Veterano Registrado
989 Mensagens 25 Curtidas
#3 Por killer ™
12/09/2008 - 13:28
• Crie uma pasta na sua area de trabalho com o nome de Hijackthis

• Baixe o Hijackthis.

http://www.linhadefensiva.org/dl/hijackthis

• Execute o programa.

• Clique em Do a scan and save a logfile

• Poste o conteudo do bloco de notas na sua proxima resposta aqui no forum



So para ter certeza de que não tem nenhuma ameaça no seu pc

Os mecanismos de anti-virus reconhecem muitas ferramentas em que usamos como virus.
Algumas realmente se disfarçam e são virus outras não.

Entre no site www.virustotal.com

mande os arquivos para analize e poste os resultados big_green.png

Big Buzz
Big Buzz Novo Membro Registrado
33 Mensagens 1 Curtida
#4 Por Big Buzz
12/09/2008 - 20:21
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:03, on 12/9/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\ARQUIV~1\AVG\AVG8\avgrsx.exe
C:\ARQUIV~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\AVG\AVG8\avgtray.exe
C:\Arquivos de programas\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1.5\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Arquivos de programas\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Arquivos de programas\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Arquivos de programas\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - Extra context menu item: Analisar com LeechGet - file://C:\Arquivos de programas\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download usando Assistente LeechGet - file://C:\Arquivos de programas\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Download usando LeechGet - file://C:\Arquivos de programas\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1.5\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1.5\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220576705274
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB7942C1-6B16-405B-8375-8DC9231A476F}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: iPod Service - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

--
End of file - 8642 bytes



NÃO CONSEGUI ABRIR ESSE LINK DO VIRUSTOTAL , ELE DÁ A MSG 404.
NUNCA DESISTA DE UM SONHO , SE NÃO ENCONTRAR NUMA PADARIA , PROCURE NA PRÓXIMA !
killer ™
killer ™ Veterano Registrado
989 Mensagens 25 Curtidas
#5 Por killer ™
12/09/2008 - 20:30
Abra o hijackthis

• Clique em Do a scan only

• Marque as entradas abaixo
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


No mais o log esta limpo!....foi so um falso positivo do seu AV

Se quiser conferir se ele esta mesmo limpo.
Faça um scan com o kaspersky...Faça se realmente estiver desconfiando de algo.

Faça um scan com o kaspersky online.
http://www.kaspersky.com/virusscanner e poste o resultado aqui.

Instruções: http://linhadefensiva.uol.com.br/forum/ind...showtopic=74159

kasperskyag3.gif

Big Buzz
Big Buzz Novo Membro Registrado
33 Mensagens 1 Curtida
#6 Por Big Buzz
12/09/2008 - 20:45
Pois é Killer , sei que meu log está limpo .
O detalhe é que o A-Square 3.5 deu esses resultados, indicando ferramentas como trojans , e eu não sabendo se podeira usa-las algum dia , resolvi conferir aqui se essas ferramentas citadas acim contém rotinas ou subrotinas( iguais as usadas pelos malwares) , fazendo com que os anti-hijackers ou os anti-virus se confundam e acabem diagnosticando-as da mesma forma que diagnosticam ameaças

grato
NUNCA DESISTA DE UM SONHO , SE NÃO ENCONTRAR NUMA PADARIA , PROCURE NA PRÓXIMA !
killer ™
killer ™ Veterano Registrado
989 Mensagens 25 Curtidas
#10 Por killer ™
12/09/2008 - 21:25
No log quando existe
[LIST=1]
Se em vez do nome você ver um (no name), a entrada não possui um nome
Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo associado
Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não encontrou o arquivo no disco[/LIST]

Você vai entender mais nesse tutorial abaixo.
http://www.linhadefensiva.org/2005/06/hijackthis-completo/
Quanto ao programa, você quem sabe, ele esta apenas fazendo o trabalho dele e mostrando serviço.

Big Buzz
Big Buzz Novo Membro Registrado
33 Mensagens 1 Curtida
#11 Por Big Buzz
12/09/2008 - 21:53
DO SITE "CASTECOPS" (citado na pg 4 do link que voce me enviou!!!(http://www.linhadefensiva.org/2005/0...this-completo/).


BHO:{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0 => Windows Live Toolbar Helper
BHO:{7E853D72-626A-48EC-A868-BA8D5E23E045}=>
Part of Windows Live Messenger. Do not delete!!!



Info:
http://www.castlecops.com/tk32132-htc_8_...


VEJAM SÓ .... ASSIM COMO NO INICIO DO MEU TOPICO O A-SQUARE PODE DIAGNOSTICAR ARQUIVOS POSITIVOS COMO FALSOS , ESSAS ENTRADAS QUE SÃO VÁLIDAS CONFORME O SITE ACIMA TAMBÉM PODE .

RESUMINDO , NÃO DEVEMOS DELETÁ-LAS.
NUNCA DESISTA DE UM SONHO , SE NÃO ENCONTRAR NUMA PADARIA , PROCURE NA PRÓXIMA !
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal