Ir para conteúdo
Fórum Script Brasil
  • 0

PC Infectado


Chiclets

Pergunta

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:01:51, on 11/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\vsnpstd.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\Google\Google Talk\googletalk.exe

C:\WINDOWS\system32\ctfmon.exe

C:\windows\system\IEXPLORERS.EXE

C:\windows\system\brcc.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\windows\eguis.EXE

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARQUIV~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\winampa.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Twain Thunker] C:\Program Files\twunk_32.exe

O4 - HKLM\..\Run: [googletalk] C:\Arquivos de programas\Google\Google Talk\googletalk.exe /autostart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Internet Explorer] C:\windows\system\IEXPLORERS.EXE

O4 - HKCU\..\Run: [firewals] C:\windows\system\brcc.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [internet Explorerr] C:\windows\eguis.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1202181316313

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1202181289548

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: Serviço iPod (iPod Service) - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 6670 bytes

Link para o comentário
Compartilhar em outros sites

13 respostass a esta questão

Posts Recomendados

  • 0

Faça o download do BankerFix:

http://linhadefensiva.uol.com.br/dl/bankerfix

Importante: A ferramenta irá finalizar o Internet Explorer. Salve qualquer link que você precisa acessar depois antes de executá-la.

Dê dois cliques no bankerfix.exe para executá-lo.

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

Ao terminar, leia a mensagem na tela e aperte Enter novamente. Quando ele terminar, poste o arquivo relatorio.txt localizado em: C:\LinhaDefensiva\relatorio.txt

Faça também um novo log do HijackThis para colocar na sua resposta.

Depois de fazer sua resposta você pode apagar a pasta:

C:\LinhaDefensiva

Link para o comentário
Compartilhar em outros sites

  • 0

BankerFix 2.5b - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 13/4/2008 - 17:28

-------------------------------------------------------

Lista de Definição: 2008-02-22-1

=======================================================

Killando arquivos em Help

-----------------------------------

Killing '*'

Removendo Arquivos em Help

-----------------------------------

----- Fim -------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:31:27, on 13/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\vsnpstd.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\Google\Google Talk\googletalk.exe

C:\WINDOWS\system32\ctfmon.exe

C:\windows\system\IEXPLORERS.EXE

C:\windows\system\brcc.exe

C:\windows\eguis.EXE

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARQUIV~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\winampa.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Twain Thunker] C:\Program Files\twunk_32.exe

O4 - HKLM\..\Run: [googletalk] C:\Arquivos de programas\Google\Google Talk\googletalk.exe /autostart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Internet Explorer] C:\windows\system\IEXPLORERS.EXE

O4 - HKCU\..\Run: [firewals] C:\windows\system\brcc.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1202181316313

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1202181289548

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: Serviço iPod (iPod Service) - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 6790 bytes

Link para o comentário
Compartilhar em outros sites

  • 0

Baixe o ComboFix e salve no desktop.

Feche todas as janelas e programas.

Dê um duplo-clique no combofix.exe e tecle "1" em seguida Enter para prosseguir o Fix. Vai durar uma média de 10 minutos.

O ComboFix reiniciará o PC automaticamente para completar o processo de remoção.

Quando acabar, será gerado um log, que vai estar em C:\ComboFix.txt.

Atenção:

Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, pois senão irá parar e seu desktop ficará em branco.

Para parar ou sair do ComboFix, tecle "2" e Enter.

Depois gere um novo log com o HijackThis e poste, juntamente com o ComboFix.txt.

Link para o comentário
Compartilhar em outros sites

  • 0

Delete o log ComboFix.txt localizado em C:\.

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

File::

C:\WINDOWS\system\brcc.exe

C:\WINDOWS\eguis.EXE

C:\WINDOWS\system\IEXPLORERS.EXE

C:\winapi.sys

C:\system.sys

C:\shift.dll

C:\WINDOWS\system32\wupdm.exe

C:\WINDOWS\DUMP63e0.tmp

Folder::

C:\FOUND.010

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Microsoft Internet Explorer"=-

"firewals"=-

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

CFScript.gif

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

Poste o novo Log ComboFix.txt à sua resposta.

Poste também um novo Log do Hijackthis.

Link para o comentário
Compartilhar em outros sites

  • 0

Clique em Iniciar -> Executar e digite: notepad c:\autoexec.bat -> Ok.

Ao abrir o arquivo, apage todo o seu conteudo, em seguida clique em Arquivo -> Salvar.

Delete o log ComboFix.txt localizado em C:\.

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

File::

C:\WINDOWS\wsys33.exe

C:\WINDOWS\tasksmgr.exe

C:\windows\system\IEXPLORERS.EXE

C:\windows\system\brcc.exe

C:\WINDOWS\Tasks\startt.job

Folder::

C:\FOUND.000

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Microsoft Internet Explorer"=-

"firewals"=-

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

CFScript.gif

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

Poste o novo Log ComboFix.txt à sua resposta.

Poste também um novo Log do Hijackthis.

Link para o comentário
Compartilhar em outros sites

  • 0

Antivírus Versão Última Atualização Resultado

AhnLab-V3 2008.4.22.0 2008.04.22 -

AntiVir 7.8.0.8 2008.04.22 TR/Spy.Banker.kjc.1

Authentium 4.93.8 2008.04.22 -

Avast 4.8.1169.0 2008.04.21 Win32:Banload-EVO

AVG 7.5.0.516 2008.04.21 PSW.Banker4.XYZ

BitDefender 7.2 2008.04.22 Trojan.Downloader.Banload.NXI

CAT-QuickHeal 9.50 2008.04.22 -

ClamAV 0.92.1 2008.04.22 -

DrWeb 4.44.0.09170 2008.04.22 Trojan.PWS.Banker.19336

eSafe 7.0.15.0 2008.04.21 suspicious Trojan/Worm

eTrust-Vet 31.3.5725 2008.04.22 -

Ewido 4.0 2008.04.22 Logger.Banker.kjc

F-Prot 4.4.2.54 2008.04.21 -

F-Secure 6.70.13260.0 2008.04.22 Trojan-Spy.Win32.Banker.kjc

FileAdvisor 1 2008.04.22 -

Fortinet 3.14.0.0 2008.04.22 -

Ikarus T3.1.1.26.0 2008.04.22 -

Kaspersky 7.0.0.125 2008.04.22 Trojan-Spy.Win32.Banker.kjc

McAfee 5278 2008.04.21 -

Microsoft 1.3408 2008.04.22 TrojanSpy:Win32/Bancos.gen!B

NOD32v2 3046 2008.04.22 -

Norman 5.80.02 2008.04.22 -

Panda 9.0.0.4 2008.04.21 -

Prevx1 V2 2008.04.22 -

Rising 20.41.12.00 2008.04.22 -

Sophos 4.28.0 2008.04.22 -

Sunbelt 3.0.1056.0 2008.04.17 -

Symantec 10 2008.04.22 -

TheHacker 6.2.92.287 2008.04.22 -

VBA32 3.12.6.4 2008.04.16 Trojan-Spy.Win32.Banker.kjc

VirusBuster 4.3.26:9 2008.04.22 -

Webwasher-Gateway 6.6.2 2008.04.22 Trojan.Spy.Banker.kjc.1

Informações adicionais

File size: 1364992 bytes

MD5...: c3b63b8b5f05651419d6aed77a9aab67

SHA1..: ab9d558130bc2f3b52e5bf93f9b99632aad6b36b

SHA256: 8dfbb29c8c104858cb9d1b4b92fad14c46a23d49bfb11796f375b67059d58482

SHA512: 64d06290a5a9d7109c4d3d5f24086569d65dd9ee04a2a7f40dbad052d6ba49b9

8b9ddb590bb4e52894a8f93b2607b4400daf5124b28d4d6d76a95b26f4d543de

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x89cba0

timedatestamp.....: 0x47f2b485 (Tue Apr 01 22:17:41 2008)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x354000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x355000 0x148000 0x147e00 7.87 b158d5e600bd9984e897373f7b9be4ef

.rsrc 0x49d000 0x6000 0x5200 5.78 2f8b7c107f712c7922628b4cd2306beb

( 8 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> advapi32.dll: RegFlushKey

> comctl32.dll: ImageList_Add

> gdi32.dll: SaveDC

> oleaut32.dll: VariantCopy

> user32.dll: GetDC

> version.dll: VerQueryValueA

> winmm.dll: timeGetTime

( 0 exports )

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

packers (Avast): UPX

packers (Authentium): UPX

Antivírus Versão Última Atualização Resultado

AhnLab-V3 2008.4.22.0 2008.04.22 -

AntiVir 7.8.0.8 2008.04.22 TR/Dldr.Delphi.Gen

Authentium 4.93.8 2008.04.22 -

Avast 4.8.1169.0 2008.04.21 -

AVG 7.5.0.516 2008.04.21 -

BitDefender 7.2 2008.04.22 -

CAT-QuickHeal 9.50 2008.04.22 -

ClamAV 0.92.1 2008.04.22 -

DrWeb 4.44.0.09170 2008.04.22 -

eSafe 7.0.15.0 2008.04.21 -

eTrust-Vet 31.3.5725 2008.04.22 -

Ewido 4.0 2008.04.22 -

F-Prot 4.4.2.54 2008.04.21 -

F-Secure 6.70.13260.0 2008.04.22 -

FileAdvisor 1 2008.04.22 -

Fortinet 3.14.0.0 2008.04.22 -

Ikarus T3.1.1.26 2008.04.22 -

Kaspersky 7.0.0.125 2008.04.22 -

McAfee 5278 2008.04.21 -

Microsoft 1.3408 2008.04.22 -

NOD32v2 3046 2008.04.22 -

Norman 5.80.02 2008.04.22 -

Panda 9.0.0.4 2008.04.22 Suspicious file

Prevx1 V2 2008.04.22 Heuristic: Suspicious Self Modifying File

Rising 20.41.12.00 2008.04.22 -

Sophos 4.28.0 2008.04.22 -

Sunbelt 3.0.1056.0 2008.04.17 -

Symantec 10 2008.04.22 -

TheHacker 6.2.92.287 2008.04.22 -

VBA32 3.12.6.4 2008.04.16 -

VirusBuster 4.3.26:9 2008.04.22 -

Webwasher-Gateway 6.6.2 2008.04.22 Trojan.Dldr.Delphi.Gen

Informações adicionais

File size: 79360 bytes

MD5...: 18b57a279d4f996d4f9ac4d5ec30da4a

SHA1..: e2327d0551cb54534dc46ca9ba436dfc1188af77

SHA256: 6a9036ff0c9db5bdec2dd9c2bfdb8ba4477f96fbfb2427e6fa3ed22b77cd9f67

SHA512: 56b11f2ab08e4e89f49b4e0c2ee2e9f6ec8d3f51ed2a032682ba7626b3f6c4f6

f092ddf60f979fda125001409858ca165437866d8385559e66b4f450b2280301

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x41028c

timedatestamp.....: 0x47f2a7a1 (Tue Apr 01 21:22:41 2008)

machinetype.......: 0x14c (I386)

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xec40 0xee00 6.50 22b690e7ba5ee6d6965a3b16ac31c19b

.itext 0x10000 0x2a4 0x400 4.51 4f8f04e839f3ce6f3a83d9c8241794e1

.data 0x11000 0xc38 0xe00 2.28 f7533a5d09a3ee604cf5347467e5488a

.bss 0x12000 0x49e0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x17000 0xa7e 0xc00 4.38 b048d00a14cfa29f6ef0639c71494ffe

.edata 0x18000 0x6c 0x200 1.25 15eebd2b88509301e72fa2023b7565da

.reloc 0x19000 0x1314 0x1400 6.52 82f764334a1625b2221862b57df9cce9

.rsrc 0x1b000 0x1000 0x1000 3.68 1b4496cae2434ff08f5b2e924c80418c

( 10 imports )

> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

> user32.dll: GetKeyboardType, DestroyWindow, LoadStringA, MessageBoxA, CharNextA

> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle

> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc

> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA

> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetEvent, ResetEvent, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, FreeLibrary, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateProcessA, CreateEventA, CompareStringA, CloseHandle

> kernel32.dll: Sleep

> URLMON.DLL: URLDownloadToFileA

> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit

( 2 exports )

CandleInTheWind, GoodBeyYelouBrickRoad

Prevx info: http://info.prevx.com/aboutprogramtext.asp...B4AB1008F369E1F

Link para o comentário
Compartilhar em outros sites

  • 0

Delete o log ComboFix.txt localizado em C:\.

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

File::

C:\winapi.sys

C:\system.sys

C:\ctrl.dll

C:\MyDll.dll

C:\windows\system\IEXPLORERS.EXE

C:\windows\system\brcc.exe

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Microsoft Internet Explorer"=-

"firewals"=-

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

CFScript.gif

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

Poste o novo Log ComboFix.txt à sua resposta.

Poste também um novo Log do Hijackthis.

Link para o comentário
Compartilhar em outros sites

  • 0

Delete o log ComboFix.txt localizado em C:\.

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

File::

C:\windows\system\win.exe

C:\DOCUMENTS AND SETTINGS\ALL USERS\MENU INICIAR\PROGRAMAS\INICIALIZAR\WIN.EXE

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Windows32"=-

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

CFScript.gif

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

Poste o novo Log ComboFix.txt à sua resposta.

Poste também um novo Log do Hijackthis.

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.


  • Estatísticas dos Fóruns

    • Tópicos
      152,3k
    • Posts
      652,3k
×
×
  • Criar Novo...