W32 Sdbot.worm

Question

Logfile of HijackThis v1.99.1
Scan saved at 11:07:50, on 15/3/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe
C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe
C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus
avapsvc.exe
C:\Arquivos de programas\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\ARQUIV~1\NORTON~1\SPEEDD~1
opdb.exe
C:\HijackThis\HijackThis.exe
C:\Arquivos de programas\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://empreiteira.cemig.com.br/login_form.asp
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &R&aacute;dio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ccApp] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Windows Configuration GUI] systemconfig32.exe
O4 - HKLM\..\RunServices: [Windows Configuration GUI] systemconfig32.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Arquivos de programas\Messenger\msmsgs.exe /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AE832DD-C03D-4283-8C49-665E8850558C}: NameServer = 200.165.132.154,200.165.132.147,192.168.7.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\SPEEDD~1
opdb.exe



ajuda ai pessoal

Answer

Isso est&aacute; estranho C:\WINDOWS\AGRSMMSG.exe

Answer

[quote=marco fusta]Isso est&aacute; estranho C:\WINDOWS\AGRSMMSG.exe [/quote]

axo  q &eacute; o driver do modem

Answer

Isso &eacute; programa de um modem (SoftModem)
Vide: http://www.liutilities.com/products/wintaskspro/processlibrary/agrsmmsg/
Eu n&atilde;o sei qual seu modem (USB se for externo, enfim).

E quem encontrou esse Worm a&iacute;? O Norton?

Answer

Ta&iacute; a an&aacute;lise do seu log feita pelo pr&oacute;prio site do HijackThis:
http://www.hijackthis.de/logfiles/91129ad5e1e67a9433e5c6c7d79fdc5c.html

Entradas suspeitas:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Remova essas entradas atrav&eacute;s do pr&oacute;prio HijackThis. E de qualquer forma passe um scan com um bom antivirus (recomendo o Kaspersky, pela grande base de dados).
Use tamb&eacute;m alguns dos programas indicados nesse link (principalmente o Ewido e o Ad-Aware):
http://forumgdh.net/viewtopic.php?t=251559

Boa sorte, e se n&atilde;o conseguir poste aqui novamente. :wink:

Answer

D&ecirc; uma olhada:

1) http://forum.ilax.com.br/viewtopic.php?t=11
2) http://forum.ilax.com.br/viewtopic.php?t=7
3) http://forum.ilax.com.br/viewtopic.php?t=6

Answer

apterix: tenho que me registrar para ver os links? :? Aqui pede registro para ler. :|

Answer

retirei  e n&atilde;o resolveu.....ainda da a mesma coisa...
ja formatei e voltou com a mesma coisa.
iiiissshi....

[quote=apterix]Isso &eacute; programa de um modem (SoftModem)
Vide: http://www.liutilities.com/products/wintaskspro/processlibrary/agrsmms...[/quote]
o norton, depois do panda online

Answer

[quote=apterix]Isso &eacute; programa de um modem (SoftModem)
Vide: http://www.liutilities.com/products/wintaskspro/processlibrary/agrsmms...[/quote]
o norton, depois do panda online

Answer

Chefe, pegar o mesmo v&iacute;rus depois de uma formata&ccedil;&atilde;o &eacute; no m&iacute;nimo estranho. Seu pc de alguma forma est&aacute; exposto, e &agrave; mesma amea&ccedil;a. 8O 

Tente trocar de antivirus, usar firewall e outros programas indicados nos links acima mencionados. Sua vers&atilde;o do Internet Explorer tamb&eacute;m dava como out to date. Tente atualizar, e teste outros navegadores mais seguros, como o Firefox e o Opera.

As atualiza&ccedil;&otilde;es autom&aacute;ticas est&atilde;o em dia por ai? 8)

Answer

Claudio Pena, n&atilde;o, para ler n&atilde;o precisa.
Esqueci de liberar acesso p&uacute;blico: J&aacute; est&aacute; liberado!

Eu ainda n&atilde;o entendi: Qual o arquivo que est&aacute; sendo acusado de ser uma amaea&ccedil;a ao computador?
Voc&ecirc; colocou o nome do v&iacute;rus, mas e o arquivo malicioso, qual seu nome e localiza&ccedil;&atilde;o?
S&oacute; um detalhe que eu sei: Esse v&iacute;rus somente ser&aacute; removido se voc&ecirc; desabilitar o servi&ccedil;o Restaura&ccedil;&atilde;o Autom&aacute;tica do Windows.

Abra&ccedil;os.

Answer

como desativo,...restaura&ccedil;&atilde;o autom&aacute;tica, &eacute; restaura&ccedil;&atilde;o do sistema?

Answer

INICIAR > EXECUTAR > DIGITE SERVICES.MSC

D&ecirc; dois cliques em restaura&ccedil;&atilde;o de sistema.

Mande parar o servi&ccedil;o e depois coloque como desativado.

Reinicie o computador.

Ferramentas

Mover Tópico