[Resolvido]Adaware

[Guest prego]

olá,

depois de fazer um uodate do zone alarm, começaram a parecer janelas do tipo: seu registro está infectado!!! visite a página do Regupcleaner e essa pop - up não aparecerá mais....

scaneei com avira, o spyware terminator e o ad-ware, e nada. o spybot ebcontrou e removeu alguns problemas

só pra ter certeza, envio o log do hijackthis, qum puder dar uma força, obrigado

abs, prego

Logfile of HijackThis v1.99.1

Scan saved at 19:05:59, on 30/3/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\WINDOWS\System32\VTtrayp.exe

C:\Arquivos de programas\Telefonica\Speedy\SATUF.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

C:\Arquivos de programas\Arquivos comuns\DataViz\DvzIncMsgr.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\casa 06\Meus documentos\segurança\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [tspuf] C:\Arquivos de programas\Telefonica\Speedy\SATUF.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [spywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Arquivos de programas\Arquivos comuns\DataViz\DvzIncMsgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Send to Sunrise - C:\Arquivos de programas\Sunrise\sts\sts.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://cpib.bradesco.com.br/scpsssh2.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6587178A-A545-480D-BE6E-5A3F463A7B9E}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[JackSSA]

Crie uma pasta em C:\ com o nome de FSBlacklight.

Baixe o BlackLight em um destes links abaixo e salve na pasta que abriu:

http://www.f-secure.com/blacklight/try.shtml

http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

http://www.europe.f-secure.com/exclude/redirect.html

Sugiro que salve ou imprima estas instruções:

Entre na pasta do BlackLight e clique no seu ícone. Aceite o contrato de licença. Feche todos os programas e janelas.

Na janela Step 1: Scan for hidden items. Clique em scan.

Quando o scan acabar, o botão Show all processes aparece.

O log está no mesmo diretório do executável. Poste o conteúdo deste Log (fsb-xxxxx.log).

[Guest prego]

olá, obrigado.

scaneei de novo com o ad-aware, desta vez em modo seguro, rolou uma limpeza. e desativei o serviço mensageiro do windows, por ele que estavam vindo as mensagens. parou.

segue o log:

03/31/07 16:14:41 [info]: BlackLight Engine 1.0.61 initialized

03/31/07 16:14:41 [info]: OS: 5.1 build 2600 (Service Pack 1)

03/31/07 16:14:41 [Note]: 7019 4

03/31/07 16:14:41 [Note]: 7005 0

03/31/07 16:14:41 [Note]: 7006 0

03/31/07 16:14:42 [Note]: 7011 1480

03/31/07 16:14:46 [Note]: 7026 0

03/31/07 16:14:46 [Note]: 7026 0

03/31/07 16:14:48 [Note]: FSRAW library version 1.7.1021

03/31/07 16:17:44 [Note]: 7007 0

abs

[JackSSA]

Execute este scan on-line e poste o resultado aqui para ser análisado:

http://www.pandasoftware.com/activescan/ac...can/ascan_2.asp

[Guest prego]

olá, JackSSA.

segue o log do panda scan:

Incident Status Location

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Cookies\andré@acesso.uol.com[1].txt

Spyware:Cookie/BurstNet Not disinfected C:\Documents and Settings\andré\Cookies\andré@burstnet[2].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Cookies\andré@de.uol.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Cookies\andré@ig.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Cookies\andré@terra.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Cookies\andré@uol.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Dados de aplicativos\Mozilla\Firefox\Profiles\2wh5lunc.default\cookies.txt[.uol.com.br/]

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Dados de aplicativos\Mozilla\Firefox\Profiles\2wh5lunc.default\cookies.txt[.acesso.uol.com.br/]

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\andré\Dados de aplicativos\Mozilla\Firefox\Profiles\2wh5lunc.default\cookies.txt[de.uol.com.br/]

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\casa 06\Dados de aplicativos\Mozilla\Firefox\Profiles\15zqi8sm.default\cookies.txt[.uol.com.br/]

Virus:Bck/Agent.DUG Disinfected C:\WINDOWS\system32\evjc.exe

Virus:W32/Sdbot.ftp.wormDisinfected C:\WINDOWS\system32\i

Virus:W32/Sdbot.ftp.wormDisinfected C:\WINDOWS\system32\o

Potentially unwanted tool:Application/Restart

Not disinfected C:\WINDOWS\system32\Tools\Restart.exe

obrigado,

abs

[JackSSA]

Opa, vamos lá.

Acesse a pasta C:\WINDOWS\system32\Tools e delete o arquivo Restart.exe.

No mais o seus Logs estão limpos. O PC ainda apresenta algum tipo de problema?

Sugiro que faça a atualização do seu Windows para o Service Pack 2, corrigindo assim, inumeras falhas já existentes e que podem ser usadas largamente pelos malwares.

Download

[Guest prego]

opa, pronto. achei o restart e apaguei. estava oculto, e tinha um ícone curioso, um ideograma chinês... havia outros arquivos ocultos como mesmo ícone, estes somente leitura, justamente com os nomes das pop ups que estavam aparecendo (regclean, cheksys, freescan, etc.) apaguei tudo.

obrigadp pela ajuda, estou baixando o SP2.

abs.

[JackSSA]

Caso Resolvido.

Caso o autor queira a reabertura do tópico, envie uma MP com o link para um moderador da seção.