Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Jean Oenning

Como saber que TROJAN infectou minha maquina!

Recommended Posts

A central do Banco do Brasil identificou como virus trojan que infectou minha máquina. Como saber qual é. :cry: Preciso de ajuda pois dessa máquina depende meu trabalho.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ei, Jean Oenning!

Vamos verificar.

1. Baixe o programa atualizado do HijackThis.

Salve o programa numa pasta no C:\

- Abra o HijackThis, clique em Do a system scan and save a logfile;

- Copie o log salvo na pasta HijackThis e cole-o aq no tópico, na sua resposta.

Abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Obrigado por me ajudar já vi que você tem ajudado muito por aqui!

    Logfile of HijackThis v1.99.1

    Scan saved at 14:40:16, on 24/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Acer\eManager\anbmServ.exe

    C:\Arquivos de programas\Bluetooth Software\bin\btwdins.exe

    C:\WINDOWS\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Arquivos de programas\Synaptics\SynTP\SynTPLpr.exe

    C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

    C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

    C:\WINDOWS\system32\rundll32.exe

    C:\WINDOWS\system32\hkcmd.exe

    C:\acer\epm\epm-dm.exe

    C:\Arquivos de programas\Launch Manager\QtZgAcer.EXE

    C:\WINDOWS\system32\winlogin.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Bluetooth Software\BTTray.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pickler.com.br/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O4 - HKLM\..\Run: [LaunchApp] Alaunch

    O4 - HKLM\..\Run: [synTPLpr] C:\Arquivos de programas\Synaptics\SynTP\SynTPLpr.exe

    O4 - HKLM\..\Run: [synTPEnh] C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

    O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

    O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

    O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

    O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

    O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

    O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

    O4 - HKLM\..\Run: [LManager] C:\Arquivos de programas\Launch Manager\QtZgAcer.EXE

    O4 - HKLM\..\Run: [Windows Update] "C:\WINDOWS\system32\winlogin.exe"

    O4 - HKLM\..\Run: [Ad-aware] "C:\Arquivos de programas\Lavasoft\Ad-aware 6\Ad-aware.exe" +c

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

    O4 - Global Startup: BTTray.lnk = ?

    O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Bluetooth Software\btsendto_ie_ctx.htm

    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Bluetooth Software\btsendto_ie.htm

    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Bluetooth Software\btsendto_ie.htm

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{4681D68F-3BD0-4246-9EEE-C362F770DD74}: NameServer = 200.208.232.131 200.208.232.136

    O17 - HKLM\System\CS1\Services\Tcpip\..\{4681D68F-3BD0-4246-9EEE-C362F770DD74}: NameServer = 200.208.232.131 200.208.232.136

    O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Arquivos de programas\Bluetooth Software\bin\btwdins.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Olá, Jean Oenning!

    Estarei analisando seu log, e assim q terminar entrarei em contato!

    Abraços!!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Oi, Jean Oenning!

    C:\HijackThis.exe

    É importante que o programa HijackThis tenha uma pasta no C:\ (Ex: C:\HijackThis\Hijackthis.exe). Não deve executar o programa diretamente do C:\ e nem com ele zipado

    >>> Crie uma nova pasta para o HijackThis, antes de fazer os procedimentos abaixo.

    Vamos aos procedimentos:

    1. Configure o computador para exibir todos os arquivos

    2. Faça o download do Killbox e execute-o.

    - Marque a opção Delete on Reboot. Em Full Path of File to Delete, coloque:

    C:\WINDOWS\svchost.exe

    - Depois marque a opção Delete

    - Clique no X e então clique em yes, em seguida ele vai perguntar se quer Reboot now, clique em No.

    >>> Faça o mesmo com o arquivo abaixo:

    C:\WINDOWS\system32\winlogin.exe

    3. Abra o Bloco de Notas e copie todo o conteúdo deste post para ele e salve em local de fácil acesso;

    4. Reinicie o PC em entre em modo seguro (pressione F8 durante a inicialização e escolha modo seguro na tela de seleção);

    5. Abra o HijackThis, clique em Do a system scan only. Marque somente as entradas abaixo e clique Fix checked:

    O4 - HKLM\..\Run: [Windows Update] "C:\WINDOWS\system32\winlogin.exe"

    >>> Reinicie em modo normal.

    6. Depois faça um novo log do HijackThis e cole-o na sua resposta

    >>> Verique se seu problema continua.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom dia, Lidia. Ontem não pude mais fazer nada, mas está aí o log do hijackThis depois do procedimento.

    A propósito o problema não se apresentou ao acessar o site do gerenciador financeiro, nem a pasta htmcache que insistia em reaparecer. parace tu OK. mas eu te pergunto será que esse bichinho ainda não está escondido por aqui me preocupo pois trata-se de uma questão se segurança. e qual seria esse trojan.

    Logfile of HijackThis v1.99.1

    Scan saved at 08:28:12, on 25/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Arquivos de programas\Synaptics\SynTP\SynTPLpr.exe

    C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

    C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

    C:\WINDOWS\system32\rundll32.exe

    C:\WINDOWS\system32\hkcmd.exe

    C:\acer\epm\epm-dm.exe

    C:\WINDOWS\svchost.exe

    C:\Arquivos de programas\Launch Manager\QtZgAcer.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Bluetooth Software\BTTray.exe

    C:\Acer\eManager\anbmServ.exe

    C:\Arquivos de programas\Bluetooth Software\bin\btwdins.exe

    C:\WINDOWS\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pickler.com.br/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [LaunchApp] Alaunch

    O4 - HKLM\..\Run: [synTPLpr] C:\Arquivos de programas\Synaptics\SynTP\SynTPLpr.exe

    O4 - HKLM\..\Run: [synTPEnh] C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

    O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

    O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

    O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

    O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

    O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

    O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

    O4 - HKLM\..\Run: [LManager] C:\Arquivos de programas\Launch Manager\QtZgAcer.EXE

    O4 - HKLM\..\Run: [Ad-aware] "C:\Arquivos de programas\Lavasoft\Ad-aware 6\Ad-aware.exe" +c

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

    O4 - Global Startup: BTTray.lnk = ?

    O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Bluetooth Software\btsendto_ie_ctx.htm

    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Bluetooth Software\btsendto_ie.htm

    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Bluetooth Software\btsendto_ie.htm

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{4681D68F-3BD0-4246-9EEE-C362F770DD74}: NameServer = 200.208.232.131 200.208.232.136

    O17 - HKLM\System\CS1\Services\Tcpip\..\{4681D68F-3BD0-4246-9EEE-C362F770DD74}: NameServer = 200.208.232.131 200.208.232.136

    O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Arquivos de programas\Bluetooth Software\bin\btwdins.exe

    Muito obrigado pela sua ajuda! Não vou esquecer.

    Qualquer coisa estou sempre por aqui. valeu mesmo!!! :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ei, Jean Oenning!

    Faltou um arquivo para ser removido pelo Killbox.

    Repita o procedimento, somente o uso do programa Killbox, para remover o arquivo abaixo:

    C:\WINDOWS\svchost.exe

    >>> Faça um scan on line com http://housecall.trendmicro.com/

    Poste o resultado, caso acuse alguma contaminação.

    e qual seria esse trojan.

    Dê um clique nesse link para ter informações do malware.

    Muito obrigado pela sua ajuda! Não vou esquecer.

    Qualquer coisa estou sempre por aqui. valeu mesmo!!!

    Por nada. É um prazer ajudá-lo! :P

    Estarei por aq para qualquer dúvida.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Oi, amigo Jean Oenning, como vai?

    Você obteve algum resultado do scan online?

    Aguardo notícias. :)

    Um grande abraço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Oi Lídia,

    Infelizmente minha conexão é discada e demorou muito, então não pude esperar, mas assim que conseguir vou postar.

    Brigadão!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Opa!!!

    É só para fazer uma verificação, apesar q seu log não apresenta entradas ruins. ;)

    Qualquer coisa estamos aí.

    Abraços!!!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×