Vírus

[Guest - Rodrigo -]

Oi pessoal, to apavorado, meu primo passou o fim de semana na net, e quando eu cheguei em casa segunda achei estranho que meu micro estava travando um pouco, decidi rodar o AVG6.0, ai então começou a trancar a maquina e apareceu um aviso apa"Worm vírus encontrado, delete o arquivo c:windows/shell32/Panobot.v" vorante: para que o AVG possa terminar a análize... tentei mil vezes mas ele sempre retorna... oque eu faço tenho 42Gb de arquivos importantes e não posso perde-los...

por favor me deem uma mão, desde já eu agradeço.....

[Maxx]

cara, se não for configuraçao de email, entaum baixe o hikackthis e salve o log e "cole" o log aqui, pra mim dar uma olhada se há alguma chave suspeita no seu micro...

http://superdownloads.ubbi.com.br/download/i30306.html?sd2m

http://www.spywareinfo.com/~merijn/files/hijackthis.zip.

[Maxx]

esse problema surgiu assim que você reinstalou o windos ou só depois de um tempo?

[Guest - Rodrigo -]

Bom, baixei, abri, cliquei em scan, e apareceu isso tudo ai!!!!!

Logfile of HijackThis v1.98.2

Scan saved at 01:47:53, on 30/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\vgcntfy.exe

C:\WINDOWS\System32\winssv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\svhoste.exe

C:\WINDOWS\System32\MSNMaSGRS.exe

C:\WINDOWS\System32\scvhost32d.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashmaisv.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\System32\SVCH0ST.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\POPDiscador\POPDiscador.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Arquivos de programas\Yahoo! Acesso Gratis\newdialer.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\Digão\Configurações locais\Temp\Diretório temporário 1 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pop.com.br/

O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Arquivos de programas\Yahoo! Acesso Gratis\bho.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows Update] vgcntfy.exe

O4 - HKLM\..\Run: [ad] svhoste.exe

O4 - HKLM\..\Run: [Windows SSL File] winssv.exe

O4 - HKLM\..\Run: [MSNMaSRR5] MSNMaSGRS.exe

O4 - HKLM\..\Run: [Generic Host Process32 System Backup] scvhost32d.exe

O4 - HKLM\..\Run: [ashMaiSv] C:\ARQUIV~1\ALWILS~1\Avast4\ashmaisv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Windows Services Update] SVCH0ST.exe

O4 - HKLM\..\RunServices: [Windows Update] vgcntfy.exe

O4 - HKLM\..\RunServices: [ad] svhoste.exe

O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe

O4 - HKLM\..\RunServices: [MSNMaSRR5] MSNMaSGRS.exe

O4 - HKLM\..\RunServices: [Generic Host Process32 System Backup] scvhost32d.exe

O4 - HKLM\..\RunServices: [Windows Services Update] SVCH0ST.exe

O4 - HKLM\..\RunOnce: [Windows Update] vgcntfy.exe

O4 - HKLM\..\RunOnce: [Windows SSL File] winssv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Update] vgcntfy.exe

O4 - HKCU\..\Run: [popbanner] C:\Arquivos de programas\POPDiscador\POPDiscador.exe --banner

O4 - HKCU\..\Run: [Windows SSL File] winssv.exe

O4 - HKCU\..\Run: [Generic Host Process32 System Backup] scvhost32d.exe

O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Arquivos de programas\Yahoo! Acesso Gratis\autoupdate.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [Windows Update] vgcntfy.exe

O4 - HKCU\..\RunOnce: [Windows SSL File] winssv.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...267d9100f21782b

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1098582098875

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C43B953-4427-4B5B-BEA4-2D86F8092ABF}: NameServer = 201.10.1.2 201.10.120.3

Não tenho nem noção do que seja isso!!!!

mas se tiver algo errado por favor me avise.....

começou a um tempo, e continua após a formatação, sem contar que está só recebendo email pelo outlook express, e não envia!!!!!!! Tem algum softwer melhor que ele, mas que siga o mesmo padrão???

realmente valeu a força, e desculpe a chateação!!!!

abraço

[Trakinas]

outlook é uma porcaria mesmo

eu tinha um problema o meu não mandava anexo, recebvi tudo e nada de enviar

liguei para a UOL, meu provedor naquela epoca e me informaram o jeito de como se configurar o pop3, e tudo, mas não funfou

joguei tudo para o alto, e não uso mais o outlook, prefiro ir olhando no proprio site do provedor

outlook encrenca, quiando da isso

nmas aqui no meu caso, o outlook comum não sendo o expess dava menos pau

tenmte usar o outlook normal, o express é ruim

[Maxx]

meu Deus! você tá contaminado com tres virus perigosos ( sendo 1 destes causador de lentidão no micro) e possilvelmente com mais um tb de elevado risco.

Cara, faz 2 horas que eu estou analisando chave por chave e não vou terminar de analisar tudo porque antes eu quero que você faça no mínimo um scan online( pois eu detectei virus perigosos, e um bom antiivirus ou scan on line tem poder de tentar reparar algum arquivo antes de usar a opçao deletar) ou baixe um antivirus como o Nod32 (www.eset.com) ou o Kav (www.kaspersky.com), sendo este ultimo o melhor antivirus que há atualmente (resultado de varias avaliações feitos por sites e orgãos especializados no assunto). Baixe a versão trial de um destes dois excelente antivirus para ao menos detectar e remover os virus que encontram atualmente em sua maquina.

Lembre-se: PAra qualquer antivirus, você dever-a configurá-lo para scanear todos os arquivos, pois por padrão, os antivirus vem confugurado pra scannear apenas algumas extenções de arquivos

o scan online você pode fazer em:

housecall.trendmicro.com

ou

http://www.pandasoftware.com/activescan/co...n_principal.htm (este é o melhor)

após isto, faça novamente um scan com o hijacktthis com o navegador fechado e post aqui pra nós limpar seu micro de vez.

[thb_matrix]

olha, formatar, é bom sempre dá boot pelo CD do WIN XP mesmo, pois ele é bootavel

só colocar para 1st boot - CD ROM

caso queira mesmo formatar, vai na seção windows e no tópico fixo "APANHANDO DICAS PARA WINDOWS", tem um tutorial para formatar e instalar um SO

faz o seguinte, não use o AVG, use NORTON ou ZONE ALARM, são os melhores

ate mais

Trabalho com isso sofrendo na pele...

Posso dizer que discordo.

Sempre passamos várias ferramentas anti-vírus antes de removermos o que nenhuma delas pegou.

Passamos sempre em no próprio sistema do usuário o Norton, o AVG, o McAfee, e com o HD em um sistema Linux passamos o antivir e o amavis.

Na grande maioria dos casos, dos micros mais cheios de vírus, passamos o Norton e o mesmo não pega nada.

Depois passamos o AVG que pega alguma coisa razoável quando se trata do AVG6, e ainda mais um pouco quando é o 7.

O McAfee pega uma quantia satisfatória a mais.

O antivir pega normalmente mais que todos os outros juntos, e o amavis pega alguma coisinha a mais.

Quanto ao firewall, também sou contra o ZoneAlarm, tive experiencias com diversos firewalls para Windows, o que me pareceu mais confiável foi o Sygate.

Mesmo assim não experimentei muita coisa.

Mas o ZoneAlarm eu não gostei mesmo, não passou pelos testes que eu fiz.

[Maxx]

Assim com muitos virus exploram vulnerabilidades do navegador mais usado (internet explorer) do correio mais usado (outlok), acredito que deve existir alguns virus que tb tentam burlar ou afetar o reconhecimento de virus dos antivirus mais usados, como o norton e avg. Já vi caso que o norton deixou de reconhecer cerca de 200 arquivos infectados com cerca de 40 virus distintos que o Panda detectou.

thb_matrix, talvez se você instalar uma nova versão do norton e definições atualizadas é bem provavel que ele detecte mais virus que o AVG, pois o AVG tá caindo muito em eficiencia de detecção nos ultimos anos, chegando a ocupar entre as ultimas posições nos varios testes de detecção realizados mundo afora.

um abraço

[Nêutron]

olha, formatar, é bom sempre dá boot pelo CD do WIN XP mesmo, pois ele é bootavel

só colocar para 1st boot - CD ROM

caso queira mesmo formatar, vai na seção windows e no tópico fixo "APANHANDO DICAS PARA WINDOWS", tem um tutorial para formatar e instalar um SO

faz o seguinte, não use o AVG, use NORTON ou ZONE ALARM, são os melhores

ate mais

Trabalho com isso sofrendo na pele...

Posso dizer que discordo.

Sempre passamos várias ferramentas anti-vírus antes de removermos o que nenhuma delas pegou.

Passamos sempre em no próprio sistema do usuário o Norton, o AVG, o McAfee, e com o HD em um sistema Linux passamos o antivir e o amavis.

Na grande maioria dos casos, dos micros mais cheios de vírus, passamos o Norton e o mesmo não pega nada.

Depois passamos o AVG que pega alguma coisa razoável quando se trata do AVG6, e ainda mais um pouco quando é o 7.

O McAfee pega uma quantia satisfatória a mais.

O antivir pega normalmente mais que todos os outros juntos, e o amavis pega alguma coisinha a mais.

Quanto ao firewall, também sou contra o ZoneAlarm, tive experiencias com diversos firewalls para Windows, o que me pareceu mais confiável foi o Sygate.

Mesmo assim não experimentei muita coisa.

Mas o ZoneAlarm eu não gostei mesmo, não passou pelos testes que eu fiz.

AEEEEEEEEE ALGUÉM QUE CONCORDA COMIGO!!!

Nossa, não sabia que o McAffe tava subindo de novo... Que bom, né!

Ainda bem que eu estou migrando pra Linux... Vo botar o 98 em VMware e deixar o Windows sem acesso à internet, hehehe... Tem bem menos vírus...

Ah! Esses anti-vírus aí (antivir e amavis) têm versão pra pegar vírus de Linux?

[Guest - Rodrigo -]

Seguinte, rodei o panda on-line, e ele deletou estes:

Incident Status Location

Virus:W32/Sasser.ftp Disinfected C:\WINDOWS\system32\cmd.ftp

Virus:W32/Gaobot.gen.worm Disinfected C:\WINDOWS\system32\MSNMaSGRS.exe

Virus:W32/Gaobot.gen.worm Disinfected C:\WINDOWS\system32\SVCH0ST.exe

Virus:W32/Sdbot.gen.worm Disinfected C:\WINDOWS\system32\svhoste.exe

Virus:W32/Gaobot.BFC.worm Disinfected C:\WINDOWS\system32\vgcntfy.exe

Virus:W32/Sdbot.AVW.worm Disinfected C:\WINDOWS\system32\winssv.exe

agora estou rodando o antivírus kaspersky, e quando eu instalei, ele, a proteção residente dele, já detectou um que não lembro o nome, mas só com o do Panda, já consegui me conectar...... após o antivírus parar de rodar, eu colo o resultado aqui...... valeu pela ajuda pessoal!!!!!!

[Guest - Rodrigo -]

bom, o antivírus detectou mais uns 7, sendo que em 3 deles, dizia que eram trojans win.dier.u, mas não apareceu como deletado!!!!

e agora, oque eu posso fazer, a e o programinha aquele, hijackthis aparece isto:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Digão\Configurações locais\Temp\Diretório temporário 4 para hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KAVPersonal50] C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C43B953-4427-4B5B-BEA4-2D86F8092ABF}: NameServer = 200.175.89.139 200.175.5.139

aguardo instruções..... e desculpem todo este encomodo!!!!

[Guest - Rodrigo -]

trojan.win32Dialer.u, Trojan.win32.Rbot.gen, e scvhost32d.exe... esses são os que no lugar de deletados aparece o nome dele...

[Maxx]

Parabéns! você está com o micro limpo! o scan online e os antivitus mataram todas as chaves suspeitas...(alias mataram muitas chaves suspeitas....você tinha um ninho de virus..)

o que você quis dizer com..."trojan.win32Dialer.u, Trojan.win32.Rbot.gen, e scvhost32d.exe... esses são os que no lugar de deletados aparece o nome dele..."

Rode o spybot e adaware tb..

abração

[Maxx]

com relação ao trojan win.dier.u, localize o arquivo detectado pelo antivirus e remova-o no modo de segurança, sendo que para isto você tem habilitar o windows para mostrar todas as pastas e arquivos ocultos..

[Guest - Rodrigo -]

já efetuei isto, mas o problema é que por mais que eu tente, aparece a mensagem de que o disco está cheio ou protegido contra gravação!!!!!

eu baixei a referida ferramenta do DSO EXPLOIT mas quando rodo o spiboot, ele pega o mesmo, mas não o deleta!!!

novamente agradeço a atenção!!!!!

[Guest - Rodrigo -]

quando eu coloco para ver o histórico do antivírus, ele aparece o nome do vírus e ao lado da o resultado, no lugar de alguns, ao invés de aparecer como se o anti-virus tivesse sido deletado, aparece o nome do vírus!!!!

Graças a Deus se foram estas chaves suspeitas!!!!

a e não sei se isto é normal, mas quando eu rodo o AD-aware, ele só faz uma Breve (muito breve) busca a dá como Ok, mas ele não permite atualização, como se tivesse algo trancando!!!!!!!!

Abraço!!!!!

[Guest Guest]

Logfile of HijackThis v1.98.2

Scan saved at 00:21:57, on 6/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\Spybot - Search & Destroy\SpybotSD.exe

C:\Documents and Settings\Digão\Configurações locais\Temp\Diretório temporário 4 para hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KAVPersonal50] C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C43B953-4427-4B5B-BEA4-2D86F8092ABF}: NameServer = 200.175.89.139 200.175.5.139

bom, e agora as chaves estão assim!!!!!!

[Maxx]

rodrigo, recentemente descobri que o DSO Exploit apontado pelo Spybot é um bug do Spybot. No site deste software eles reconheceram a existencia deste bug...

Portanto, é normal que o Spybot de esse alarme.

Nenhuma chave suspeita novamente.

[Guest - Rodrigo -]

Graças a Deus, valeu por toda esta atenção, devo muito a vc!!!! quando prescisar de algo é só entrar em contato, valeu!!!!