acho que estou com um backdoor ..

Question

Gostaria de saber se estou com virus , infectado ou n&atilde;o ? Desde ja agrade&ccedil;o... :) 
 
Logfile of HijackThis v1.99.1
Scan saved at 23:34:23, on 24/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Avant Browser\avant.exe
C:\Documents and Settings\alberto\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] C:\ARQUIV~1\MSNMES~1\msnmsgr.exe /background
O8 - Extra context menu item: Abrir em um Novo Avant Browser - C:\Arquivos de programas\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Abrir Todos os Links nesta P&aacute;gina... - C:\Arquivos de programas\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Adicionar &agrave; Lista Negra de An&uacute;ncios - C:\Arquivos de programas\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquear Todas as Imagens do Mesmo Servidor - C:\Arquivos de programas\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Destacar - C:\Arquivos de programas\Avant Browser\Highlight.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pesquisar - C:\Arquivos de programas\Avant Browser\Search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://www.musica.gulbenkian.pt/template/fonts/clearadj.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66CBF1A7-CAB1-4A56-B154-CD8882AEB21F}: NameServer = 200.204.0.10 200.204.0.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

Answer

An&aacute;lise do seu log: http://www.hijackthis.de/logfiles/187c321298b83524e523c5292bb3e64d.html

Este link te ajuda a analisar e remover amea&ccedil;as usando o HijackThis:
https://www.hardware.com.br/comunidade/spywares-trojans/251559/

Answer

Obrigado claudio pena pela ajuda, valeu mesmo  :)

Answer

Movido de Windows e Programas

Answer

[quote=Claudio Pena, post: 2538381]An&aacute;lise do seu log: http://www.hijackthis.de/logfiles/187c321298b83524e523c5292bb3e64d.html
 
Este link te ajuda a analisar e remover amea&ccedil;as usando o HijackThis:
https://www.hardware.com.br/comunidade/spywares-trojans/251559/[/quote]

Muito bom seu tutorial. Baixei o HijackThis e &eacute; meio complicado mesmo de usar.
Tamb&eacute;m tenho o Spybot (esse sim bem mais f&aacute;cil). 
Cara, me responda uma coisa...
Voc&ecirc; n&atilde;o acha que o Spybot substitui o HijackThis?

Answer

beato salu, s&atilde;o programas completamente diferentes.

O Spybot &eacute; simplesmente um antispyware, assim como Ad-Aware, SpySweeper e tantos outros.

O HijackThis &eacute; bem diferente. &Eacute; um programa que monitora processos ativos no pc. Ou seja, ele n&atilde;o detecta apenas spys, e sim todos os processos regulares e irregulares em andamento naquele momento.

Com o HJT d&aacute; pra voc&ecirc; escolher o que quer e o que n&atilde;o quer rodando no pc, pode eliminar trojans e virus diversos. &Eacute; um programa mais completo, portanto, desde que a pessoa saiba manuse&aacute;-lo. Por isso &eacute; uma ferramanta ainda largamente usada na prote&ccedil;&atilde;o do pc em sistemas Windows. ;)

Answer

Claudio Pena, vou me permitir discordar um pouquinho de voc&ecirc;. Mas n&atilde;o muito, apenas em termos conceituais.
 
O HJT n&atilde;o foi feito para monitorar processos ativos. Dou um exemplo: [COLOR=blue]uma entrada no arquivo hosts n&atilde;o &eacute; um processo ativo[/COLOR]. A id&eacute;ia de monitoramento passa por um TSR, e o HJT n&atilde;o tem isso. A sacada principal do HJT &eacute; mostrar todos os pontos que um malware pode usar para se manter ativo na inicializa&ccedil;&atilde;o ou na utiliza&ccedil;&atilde;o do micro. Com isso, ao se usar corretamente o HJT, fecha-se esses pontos e na pr&oacute;xima reinicializa&ccedil;&atilde;o o malware deixa de ser executado, mas ele continua l&aacute;, junto com os seus efeitos colaterais...
 
Muita gente usa o HijackThis e diz - log limpo! e d&aacute; como se o malware j&aacute; estivesse removido. N&atilde;o est&aacute;. Continua necess&aacute;rio executar depois do HJT um bom antiv&iacute;rus e um bom anti-spy para fazer o trabalho de remo&ccedil;&atilde;o dos arquivos infectados. E as vezes tamb&eacute;m fechar as outras brechas que os malwares deixaram.
 
Quanto ao Spybot, vejo-o mais do que um antispy. Ele tem ferramentas espec&iacute;ficas que muitos outros antispy n&atilde;o t&ecirc;m. At&eacute; um imunizador para os espi&otilde;es mais frequentes! Mantenho-o, n&atilde;o pela sua capacidade de remo&ccedil;&atilde;o (que n&atilde;o &eacute; grande hoje em dia), mas pelas ferramentas que disp&otilde;e. Estou torcendo para sair a vers&atilde;o 1.5!
 
H&aacute; pouco tempo apareceu uma outra classe de malwares, os rootkits, v&iacute;rus camuflados que se inserem dentro dos execut&aacute;veis normais do Windows. Esses o HiJackThis n&atilde;o pega, sendo necess&aacute;rio usar um Anti-Rootkit, ou um antiv&iacute;rus que disponha dessa caracter&iacute;stica. A nossa sorte &eacute; que esse tipo de malware ainda aparece em pequeno n&uacute;mero na rede.

Answer

Que seja. :)

De qualquer forma, o HijackThis &eacute; um grande aliado quando o assunto &eacute; infec&ccedil;&atilde;o/malwares. Quanto ao Spybot, prefiro Ad-Aware, apesar de usar os dois. :cool:

Leitura recomendada:
http://linhadefensiva.uol.com.br/docs/hijackthis-completo/

Answer

O HijackThis ajuda e muito! Antes dele a remo&ccedil;&atilde;o de espi&otilde;es e trojans era muito demorada. Bacana o link, vai ajudar a pesquisa e o melhoramento do pessoal.

No momento eu substitu&iacute; o Ad-aware por um antispy novo, chamado SUPERAntispyware. No Wilders Security o pessoal est&aacute; falando bem dele. Tem atualiza&ccedil;&otilde;es di&aacute;rias, algumas ferramentas de remo&ccedil;&atilde;o e reset do winsock, LSP, etc. Vale a pena a vers&atilde;o freeware, mesmo que seja s&oacute; para passar on-demand.

[]s.

Ferramentas

Mover Tópico