[Resolvido]autorun.inf

[tsunami]

Oi gente, boa tarde.

Bom, meu NOD32 não para de buzinar aqui, por causa de um autorun.inf localizado na unidade C:/, oculto, com o nome de alguma coisa similar a PSW OnLine Games (creio que vocês já devem conhece-lo). Pelo que eu tenho visto nos posts aqui do scriptbrasil, ta rolando uma verdadeira epidemia desse negocio de autorun.inf e já resolvi postar o log do pencleaner junto com o do hijackthis, pra facilitar o lado de vocês, pois acredito que tambem estou infectado pelo ''virus do pendrive'' que ta comendo solto por aí, sob um tal de xih9.cmd (não sei se vocês sabem algo a respeito).

já baixei o combofix mas vou esperar pela resposta de vocês pra usa-lo.

Eu tentei inibir a execuçao dos autorun.inf dos mass storage device (mp4, psp e celular, no meu caso) desabilitando a opçao no menu gpedit.msc, mas não deu certo.

Alias, no mp4 eu criei um autorun.inf, vazio e somente para leitura, de modo que ele não deixasse o autorun viral funcionar e, aparentemente, deu certo já que o pencleaner não localizou nenhuma ameaça nele. Porem, é melhor deixar td limpo do que remendado, né?

Só fico um pouco encanado quanto ao psp, que apesar do pencleaner não localizar nenhuma ameaça nele, possui dois arquivos ocultos na root, que eu não acredito ser parte integrante do sistema dele. Já quanto pluguei o celular, o NOD32 acusou o autorun.inf de imediato, porem o pencleaner tambem não localizou nada.

Bom, to no aguardo por uma ajudinha!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:43:04, on 3/11/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe

C:\Arquivos de programas\Telefonica\Speedy\SATUF.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\regx32.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\svchost.exe

O1 - Hosts: 216.107.242.199 l2authd.lineage2.com

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [tspuf] C:\Arquivos de programas\Telefonica\Speedy\SATUF.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [TrialReset] C:\WINDOWS\regx32.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.MSN.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C5E8B4B-D938-4DAA-9BEB-0B0C1834E0D9}: NameServer = 200.204.0.10 200.204.0.138

O17 - HKLM\System\CS1\Services\Tcpip\..\{3C5E8B4B-D938-4DAA-9BEB-0B0C1834E0D9}: NameServer = 200.204.0.10 200.204.0.138

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 6150 bytes

E aqui o pencleaner, que passei no meu mp4, psp e celular:

mp4

Iniciando relatório do PenClean 2.0.3

Por Renato Victor Mejias

renatomejias@yahoo.com.br

3/11/2008 16:54:23

-----------------------------------------------------------

Arquivos e chaves excluídos da unidade escolhida:

Malware não detectado em nenhuma unidade!

-----------------------------------------------------------

Fim da análise, a unidade verificada foi: "Todas as unidades"

-----------------------------------------------------------

PSP

Iniciando relatório do PenClean 2.0.3

Por Renato Victor Mejias

renatomejias@yahoo.com.br

3/11/2008 16:54:23

-----------------------------------------------------------

Arquivos e chaves excluídos da unidade escolhida:

Malware não detectado em nenhuma unidade!

-----------------------------------------------------------

Fim da análise, a unidade verificada foi: "Todas as unidades"

-----------------------------------------------------------

Cel

Iniciando relatório do PenClean 2.0.3

Por Renato Victor Mejias

renatomejias@yahoo.com.br

3/11/2008 17:01:11

-----------------------------------------------------------

Arquivos e chaves excluídos da unidade escolhida:

Malware não detectado em nenhuma unidade!

-----------------------------------------------------------

Fim da análise, a unidade verificada foi: "Todas as unidades"

-----------------------------------------------------------

[JackSSA]

Baixe o ComboFix e salve no desktop.

Nota: Por favor, Não utilize o ComboFix por conta própria. O uso incorreto poderá danificar o seu computador. A ferramenta apenas deve ser utilizada sob supervisão de Analistas de remoção de malware.

• Feche todas as janelas e programas e desabilite seu programa antivirus e antispyware.
• Dê um duplo-clique no ComboFix.exe
• Será solicitada a instalação do Console de Recuperação, clique em Sim para iniciar o download, siga
• normalmente as instruções do programa.
• Ao final, clique em Sim para continuar a verificação.
• Quando solicitado tecle "1" em seguida Enter para prosseguir o Fix. Vai durar uma média de 10 minutos.
• O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.

Quando acabar, será gerado um log, que vai estar em C:\ComboFix.txt.

Atenção:

Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, pois senão irá parar e seu desktop ficará em branco.

Para parar ou sair do ComboFix, tecle "2" e Enter.

Depois gere um novo log com o HijackThis e poste, juntamente com o ComboFix.txt.

[tsunami]

[JackSSA]

Baixe o HostsXpert Descompacte, abra o Programa, clique em Restore Microsoft’s Original Hosts File.

Versões antigas e desatualizadas, estão mais vulneráveis aos malwares.

• Faça o download da última versão do Java Runtime Environment (JRE) 6 Update 10 e salve no seu ambiente de trabalho (Desktop).
• Navegue até "Java Runtime Environment (JRE) 6 Update 10...allows end-users to run Java applications".
• Clique em "Download". (está do lado direito)
• Selecione a sua Plataforma: "Windows".
• Selecione a sua linguagem: "Multi-language".
• Leia a Licença de uso e marque a caixa: "Accept License Agreement".
• Clique "Continue".
• Clique no link para download Windows Offline Installation e salve o arquivo no seu Ambiente de Trabalho.
• Feche todos os programas que esteja usar. Especialmente o seu Navegador (IE, Firefox, etc)
• Clique em Iniciar -> Configurações -> Painel de Controle, duplo clique em Adicionar/Remover Programas e remova todas as versões antigas de Java.
• Marque qualquer item , que tenha no nome: Java Runtime Environment (JRE ou J2SE). Deverá ter um icone como este
• Clique em Remover ou Modificar/Remover.
• Repita quantas vezes for necessário, até que tenha removido todas as versões antigas de Java que existam no seu PC.
• Reinicie o seu PC, após ter removido as versões antigas de Java.
• Dê agora o duplo-clique em jre-6u10-windows-i586-p (está no seu desktop), para instalar a nova e mais segura versão de Java.

Clique em Iniciar -> Executar -> digite ComboFix /u -> Ok.

Aguarde a desinstalação.

Acesse o link abaixo para proceder com a desinstalação do Console de Recuperação:

Como excluir o Console de recuperação

http://support.microsoft.com/kb/307654/pt-br

Seu Log está limpo. Ainda há algum problema com o PC?

[tsunami]

Tá tudo normal com a maquina agora, o NOD não acusa mais nada.

MUITO obrigado, Jack! Fico feliz que da mesma maneira que existe gente disposta a ferrar a vida da gente criando codigos maliciosos, tambem existe gente disposta a ajudar a gente a eliminar essas ameaças.

Abraço!

[JackSSA]

Caso Resolvido.

Caso o autor queira a reabertura do tópico, envie uma MP com o link para um moderador da seção.