• Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   13-02-2016

      Prezados membros do Clube do Hardware,

      Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:
        Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas ao formulário abaixo:    Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Seguidores 0
wil-ton

icone estranho

17 posts neste tópico

tem alguma coisa estranha aqui no meu pc!

toda vez que conecta na net aparece um icone que se parece com um monitor azul com dois envelopes de carta atras.

quando coloco o mouse sobre ele aparece o ip = 209.59.128.51

fui ver e aparece um pagina de uma tal de "liguid web"

passei o spybot e o avast e nada!

alguem?!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Wil-ton,

No 'Utilitário de Configuração do Sistema' é possível verificar quais itens estão habilitados para "Iniciar" assim que seu "Sistema Operacional" entra em operação. Qualquer item suspeito deve e pode ser desabilitado. Para verificar estas opções vá no menu 'Iniciar', clique em 'Executar' e digite 'msconfig' sem aspas, e tecle 'Enter'. Com o 'Utilitário de Configuração do Sistema' aberto vá na paleta 'Inicializar' e faça as verificações e desabilitações dos "Itens" desnecessários, inclusive, após finalizar este processo, será necessário reiniciar o micro para que tais alterações tenham efeito.

Existem Ferramentas de Diagnósticos e Reparação que apontam entradas maliciosas de programas existentes no computador. Uma destas ferramentas de diagnóstico é o programa Hijack This!. Talvez você já tenha alguma informação a respeito, todavia, é um programa que permite o usuário diagnosticar e reparar diferentes problemas no computador, entretanto, é necessário saber o que deve ser mantido e o que deve ser eliminado, pois ações incorretas com este programa podem afetar o sistema operacional. Nesse sentido o Fórum do Clube do Hardware pode te auxilar no que deve ser corrigido. O importante é você baixar o Hijack This! através dos links presentes AQUI. Após baixar e abrir o Hijack This! clique apenas em 'Scan' e após receber o resultado clique apenas em 'Save Log'. Assim que o arquivo for salvo em alguma pasta de sua escolha, cópie o relatório e cole neste tópico para avaliação.

É válido também você passsar o *Ad-Aware SE Personal e o Spybot - Search & Destroy atualizados no "Modo Seguro", inclusive o Anti-Vírus, pois o funcionamento do micro no 'Modo Seguro' impede que certas pragas influênciem ou se esquivem da ação do Anti-virus e Anti-Spywares, pelo fato dessas pragas terem eficácia mais comumente no 'Modo Normal'. Neste sentido basta reiniciar o micro teclando F-8 constantemente, optando posteriormente por iniciar o micro no "Modo Seguro".

No "Modo Normal" usado cotidianamente, recomendo você rastrear o micro através de um Scan Online, por exemplo, sito o Housecall da Trend Micro, totalmente desburocrático e de fácil operação. Certas pragas tem a habilidade de driblar os mecanismos de detecção instalados nos anti-virus que geralmente temos no micro, neste sentido, os' Scans Online' detectam pragas que muitas vezes estão invisíveis aos programas de segurança previamente instalados.

*Com relação aos procedimentos via Ad-Aware SE Personal , acrescento somente uma dica; Após abrir o programa e dar 'Start' será aberta a tela que precede o início da varredura. Observe que existem 4 opções de seleção para o Scan. Dentre essas 4 opções habilite a 2 da lista denominada 'Perform Full System Scan', que percorre todas pastas existentes no micro. Clique 'Next' para continuar a operação. Ressalva: Se por acaso você tiver instalado o Ad-Aware 6.0, faça a substituição e/ou atualização para o Ad-Aware SE Personal Edition, pois o Ad-Aware 6.0 não está mais em uso, por ter sido substituído pelo Ad-Aware SE Personal Edition. Para facilitar o acesso ao Ad-Aware SE basta clicar AQUI.

ABS.,

ATT., :ph34r:

OFAJ. :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

certo!

estou usando o win xp -sp2 com o firewall ativado.

acabei de passar o ad-aware e nada, "o icone do programa" continua aparecendo.

sempre aponta para o mesmo IP e a atividade da net fica grande, o icone da conexao nem pisca. quando "o icone do programa" some a atividade para, e o icone da conexao apaga!

vou tentar fazer o que o colega escreveu ai e volto a postar

valeu!

Compartilhar este post


Link para o post
Compartilhar em outros sites

log do hijackthis

Logfile of HijackThis v1.98.2

Scan saved at 21:52:47, on 22/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\j2re1.4.2_05\bin\jusched.exe

C:\Arquivos de programas\Creative\ShareDLL\CtNotify.exe

C:\Arquivos de programas\Creative\SBLive\AudioHQ\AHQTB.EXE

C:\Arquivos de programas\Creative\SBLive\Program\CTAvTray.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Creative\SBLive\PlayCenter2\CTNMRUN.EXE

C:\Arquivos de programas\Creative\ShareDLL\MediaDet.Exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\mozilla.org\Mozilla\mozilla.exe

C:\Documents and Settings\ronaldo\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {218EBE2E-21CE-445A-847E-2E5DA5CCBEA3} - (no file)

O2 - BHO: (no name) - {51DE09ED-9FC1-4CAE-A034-571EAD3CEFEF} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [AHQInit] C:\Arquivos de programas\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Arquivos de programas\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Arquivos de programas\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [CTAvTray] C:\Arquivos de programas\Creative\SBLive\Program\CTAvTray.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\RunOnce: [CTAVTray] C:\Arquivos de programas\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NOMAD Detector] "C:\Arquivos de programas\Creative\SBLive\PlayCenter2\CTNMRUN.EXE"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARQUIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1076381447932

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D22DDEB4-A8CE-4135-87FC-D27C58F779BA}: NameServer = 200.204.0.10 200.204.0.138

e ai?!...meio grandinho né?!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por wil-ton@22 nov 2004, 21:57

[...]

Logfile of HijackThis v1.98.2

Scan saved at 21:52:47, on 22/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[...]

Após análise do relatório, não encontrei numerosas entradas suspeitas, contudo, recomendo que algumas ações sejam tomadas, quais sejam:

================================================

O2 - BHO: (no name) - {218EBE2E-21CE-445A-847E-2E5DA5CCBEA3} - (no file)

O2 - BHO: (no name) - {51DE09ED-9FC1-4CAE-A034-571EAD3CEFEF} - (no file)

================================================

As duas entradas citadas acima podem ser suprimidas, mediante os seguintes passos: Após abrir o HijackThis, no "Modo Seguro" clique em 'Configuration' e vá na Paleta 'Main' verificando e habilitando o boxe com a opção 'Make Backups before fixing items'. Provavelmete ele já estará habilitado, junto com outros, mas convêm verificar para evitar ações sem saída. Feito isso clique primeiro em 'Back' e depois em 'Scan'. Após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as duas entradas destacadas acima, clicando posteriormente em 'Fix Checked'.

Conforme informação do post lançado anteriormente, faça uma conferência nos itens suspeitos que possam estar habilitados no 'Utilitário de Configuração do Sistema', na paleta "Inicializar" do "Msconfig".

É possível que alguma entrada e/ou comando no "Editor de Registro" esteja estimulando o acionamento deste programa. Recomendo que faça apenas uma verificação no "Editor de Registro" através dos seguintes passos: Através do menu "Iniciar" clique em "Executar" e digite " Regedit ", sem aspas. Na janela que for aberta vá em "Editar" e clique em "Localizar" (Crtl+F). Na janela de localização digite "209.59.128.51", sem aspas, clicando posteriormente em "Localizar Próxima", possibilitando verificar se existe este arquivo no registro e em que quantidade. Repita o mesmo processo digitando na janela de localização "Liguid Web", sem aspas. Caso encontre alguma entrada no registro com estes catacteres, pode significar que ações podem estar partindo deste local.

Existem três pastas preferidas para o alojamento de Vírus, Worms e Backdoor, quais sejam:

%WINDIR%

%WINDIR%\System

%WINDIR%\System32

Para abrir basta ir no menu "Iniciar" / "Executar" e digitar os termos descritos.

No regedit as Chaves de Registro geralmente utilizadas por essas pragas são:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

É importante ressaltar que antes de fazer qualquer alteração no "Editor de Registro" do Windows é importante criar uma cópia - Backup - do registro original. Para fazer isto, após abrir o Editor de Registro, vá no menu "Arquivo" escolha "Exportar". Escolha um local para salvar a cópia e dê um nome para o arquivo. Se você precisar restaurar o "Backup" basta dar um duplo clique sobre o nome do arquivo e pronto.

Continue postando suas dúvidas, sejam elas simples ou complexas, para que os companheiros foristas possam lhe dar recomendações acerca do tópico.

ABS.,

ATT., :ph34r:

OFAJ.

Compartilhar este post


Link para o post
Compartilhar em outros sites

um detalhe...

antes de rodar o HijackThis rodei o A.V on line da panda "Activescan" que achou e removeu o seguinte:

Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\ronaldo\Dados de aplicativos\Sun\Java\Deployment\cache\javapi\v1.0\file\Counter.class-2a4601c1-524a794f.class

Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\ronaldo\Dados de aplicativos\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-6ea18d03-11471fc5.class

Virus:Trj/Killav.AB Desinfectado C:\WINDOWS\system32\BPKr.exe

Virus:Trj/Killav.AB Desinfectado C:\WINDOWS\system32\rinst.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por wil-ton@22 nov 2004, 23:01

[...]

                                                                                                                

Virus:Trj/Killav.AB Desinfectado C:\WINDOWS\system32\BPKr.exe

Virus:Trj/Killav.AB Desinfectado C:\WINDOWS\system32\rinst.exe

Wil-ton,

Confirmando expectativa e informação do post de 22 nov 2004, 22:52, o vírus citado logo acima foi removido de uma das três pastas preferidas para o alojamento de Vírus, Worms e Backdoor, no caso específico, o local escolhido pela "Praga Digital" foi a pasta %WINDIR%\System32.

ABS.,

ATT., :ph34r:

OFAJ. :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

olá!

gostaria de ter informações "se possivel" de como analisar os logs gerados pelo HijackThis!

bem...realmente o A.V on-line removeu o virus ai relatado, também usei o Ad-Aware SE Personal como indicado por ofaj e removeu 49 arquivos!!!

mas mesmo assim o icone apareceu depois de algum tempo.

então...usei a restauração do sistema para uma data bem anterior e o "tal" sumiu!

vou aguardar um tempo pra postar aqui se tive realmente sucesso...porque com o "startpage "que também tive muito trabalho a acabei formatando fui enganado varias vezes....o tal voltava!

agradeço muito a ajuda assim como também no caso do startpage

se tiver a informação que quero sobre o HijackThis fiquei grato!

valeu e obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por wil-ton@23 nov 2004, 22:26

[...]

Gostaria de ter informações "se possivel" de como analisar os logs gerados pelo HijackThis!

[...]

Wil-ton,

Faço minhas as palavras redigidas pelo FallenHawk, dispostas adiante, quando este retornava uma indagação da mesma linha de raciocínio : [...] "Infelizmente não. Muita coisa vem somente com prática e exemplos. Eu também ainda estou pegando a prática, mas infelizmente ainda não existem fóruns especializados nisso no Brasil (ou em Português em geral) que eu conheça e por isso gostaria que outras pessoas interessadas estudassem juntas tudo isso" [...]. Para acessar o teor completo do tópico em questão basta clicar AQUI.

ABS.,

ATT., :ph34r:

OFAJ. :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

ofaj,

quando apareceu esse problema eu não sabia se era virus ou algum programa...

então acabei colocando em dois lugares!

você pode ler o link abaixo por favor!?

desculpem não colocar acentos...esta tudo dobrado,e o meu teclado, acho!!!!...com outro funciona normal!

http://forum.clubedohardware.com.br/index....0entry1008260

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por wil-ton@24 nov 2004, 10:28

ofaj,

quando apareceu esse problema eu não sabia se era virus ou algum programa...

então acabei colocando em dois lugares!

você pode ler o link abaixo por favor!?

desculpem não colocar acentos...esta tudo dobrado,e o meu teclado, acho!!!!...com outro funciona normal!

http://forum.clubedohardware.com.br/index....0entry1008260

Wil-ton, Tópicos DUPLICADOS, infringem as REGRAS do Fórum do Clube do Hardware. Não acredito que o erro tenha sido intencional, face suas alegações dispostas logo acima, contudo o alerta e o LINK para agir em consonância com as regras desta comunidade já constam neste post. No caso de haver dúvidas sobre o local correto para abertura de um tópico, consulte os "Moderadores", solicitando-lhes análise e transfência do tópico para área de melhor competência. Outras informações importantes neste sentido podem ser lidas no tópico intitulado "Tutorial - Como Fazer Com Que a Sua Questão Seja Respondida", acessível por AQUI, ou no caso deste link falhar por AQUI

:-BEER

ABS.,

ATT., :joia:

OFAJ.

Compartilhar este post


Link para o post
Compartilhar em outros sites

bem...

não entendo que foi duplicado porque como escrevo no primeiro momento acreditei que era algum programa de internet, que se confirma com o icone do avast.

depois achei que o micro estava com algum spyware.

tudo isso se confirma!

mesmo assim se cometi um erro minhas desculpas!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por wil-ton@24 nov 2004, 12:03

bem...

não entendo que foi duplicado porque como escrevo no primeiro momento acreditei que era algum programa de internet, que se confirma com o icone do avast.

depois achei que o micro estava com algum spyware.

tudo isso se confirma!

mesmo assim se cometi um erro minhas desculpas!

Wil-ton, você foi o primeiro a avisar que existia outro tópico com o mesmo assunto, portanto, não temos dúvidas sobre sua idoneidade e lisura :joia: O importante é que o outro TÓPICO já foi encerrado, cedendo titularidade para este que encontra-se devidamente localizado.

ABRAÇO.,

ATT., :joia:

OFAJ.

Compartilhar este post


Link para o post
Compartilhar em outros sites

bem...o icone é mesmo do avast que antes não aparecia , deve ser da atualização!

depois de usar o spybot e o ad aware se em modo segurança e também o activescan o micro ficou normal, o icone do avast só aparece quando abro o cliente de e-mail, não fica mais o tempo todo aparecendo e a conexão no maximo!

apenas não sei dizer o que realmente resolveu o problema acho que foi o conjunto de coisas!...deveria ter feito uma coisa de cada vez, assim ia ter certeza!

agradeço mais uma vez ao fórum e desta vez especial a NDM e ofaj !

valeu!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema Resolvido!

Caso o autor necessite que o tópico seja reaberto, favor enviar mensagem privada para um dos moderadores dessa área.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  
Seguidores 0