Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Mr.Haveron

Analise do Log do HijackThis Please!

Recommended Posts

Olá ilustres colegas,

Bem, esse PC está vergonhosamente bichado. Não sei onde começa nem onde termina... so sei que o negócio é sério e que em hipótese alguma esse PC pode ser formatado! :(

Mas como vocês já deram cabo de problemas outra vez noutro PC então confio nos Srs.! :D

Ai vai o log! Muito obrigado!

Logfile of HijackThis v1.99.1

Scan saved at 15:40:48, on 06/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\hpzipm12.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\HP\HP UT\bin\hppusg.exe

C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\windowsmp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\BrOffice.org 2.2\program\soffice.exe

C:\Arquivos de programas\2BrightSparks\SyncBack\SyncBack.exe

C:\Arquivos de programas\BrOffice.org 2.2\program\soffice.BIN

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe

C:\ARQUIV~1\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE

C:\Arquivos de programas\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32Info.exe

C:\Documents and Settings\almoxnuma\Desktop\Malware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.br

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 154.11.98.150:80

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,,C:\WINDOWS\system32\init.exe,

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GBPLUGIN\gbieh.dll

O2 - BHO: (no name) - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPUsageTracking] "C:\Arquivos de programas\HP\HP UT\bin\hppusg.exe" "C:\Arquivos de programas\HP\HP UT\"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [windowsmp] C:\WINDOWS\windowsmp.exe

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Arquivos de programas\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: BrOffice.org 2.2.lnk = C:\Arquivos de programas\BrOffice.org 2.2\program\quickstart.exe

O4 - Startup: SyncBack.lnk = C:\Arquivos de programas\2BrightSparks\SyncBack\SyncBack.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: Baixar com &BitComet - res://D:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Baixar todos com BitComet - res://D:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://200.212.184.212/g_bin/eng/poker_2_0_0_45.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FD3670E-07C8-4433-A4AB-DD5EEE441006}: NameServer = 10.15.1.3,10.15.1.14

O17 - HKLM\System\CS3\Services\Tcpip\..\{8FD3670E-07C8-4433-A4AB-DD5EEE441006}: NameServer = 10.15.1.3,10.15.1.14

O17 - HKLM\System\CS4\Services\Tcpip\..\{8FD3670E-07C8-4433-A4AB-DD5EEE441006}: NameServer = 10.15.1.3,10.15.1.14

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GBPLUGIN\gbieh.dll

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Servidor de Segurança do DB2 (DB2NTSECSERVER) - International Business Machines Corporation - C:\Arquivos de programas\IBM\SQLLIB\BIN\db2sec.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

Etapa nº 1 #

Clique em Iniciar -> Meu Computador

Depois em Ferramentas -> Opções de Pasta

Selecione a aba Modo de exibição

Desmarque:

  • Ocultar arquivos protegidos do sistema operacional (recomendado)
Marque:
  • Mostrar arquivos e pastas ocultos

Se surgir uma mensagem de aviso, clique em Sim

Clique em Aplicar e depois em OK

Etapa nº 2 #

Preciso que envie uns arquivos para estudo.Para fazer isso, zip os arquivos e não se esqueça de colocar password (clique aqui e veja como fazer) e os envie para este meu mail.

Arquivos a enviar:

  • C:\WIND OWS\system32\init.exe
  • C:\WINDOWS\windowsmp.exe

Mal o analise, eu voltarei a postar aqui neste topico, por favor aguarde.

Obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Certo, já encaminhei os arquivos que você pediu... e já percebi que eles estão em outras máquinas e que provavelmente eles se espalharam! É bem capaz de eles serem responsáveis por alguma coisa.

    Algumas observações:

    1. O NOD32 nem sequer tomou conhecimento desses arquivos... e eu achei que o NOD32 fosse achar qualquer coisa, nada mesmo! :(

    2. Existe também (já percebi isso) um arquivo explorer.exe juntamente com um arquivo autorun.inf tanto no C: quanto no E: (são dois discos), e eles se replicam. Eu deleto e eles aparecem de novo. Há alguma relação entre esses arquivos enviados e esse explorer.exe? Sem contar que quando se coloca pen-drivers esses explorer.exe e autorun.inf aparecem no pen-drive.

    3. Spybot faz menção a um win32-VB.bmr... ele de alguma forma não remove! :(

    4. C:\Windows\yoos.b é outro arquivo acusado pelo

    Bem, foram coisas que eu percebi... espero que ajudem!

    Editado por Mr.Haveron
    Adição de Informação

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Olá obrigado pelo envio.

    Esses arquivos são de um Win32 worm. Quando executado cria estes arquivos:

    windowsmp.exe

    nit.exe

    yoos.b

    explorer.exe

    Cuidado!!! Não delete indiscriminadamente pois arquivos legitimos utilizam o mesmo nome em alguns deles como por exemplo explorer.exe

    Faça o download de OTListIt e salve no desktop.

    • Duplo clique no icone da ferrameta que está no seu desktop.
    • Clique emk Run Scan e deixe a ferramenta ser executada.
    • Quando a ferramenta finalizar o the scan, gerará dois arquivos texto:
      • OTViewIt.Txt <- Será automaticamente aberto no Bloco de Notas
      • Extras.txt <- estará no desktop

      [*] Copie (Ctrl+C) e cole (Ctrl+V) todo o conteudo do arquivo OTViewIt.Txt e do Extras.txt

      na sua proxima resposta.

    Abraço

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá obrigado pelo envio.

    Esses arquivos são de um Win32 worm. Quando executado cria estes arquivos:

    windowsmp.exe

    nit.exe

    yoos.b

    explorer.exe

    Cuidado!!! Não delete indiscriminadamente pois arquivos legitimos utilizam o mesmo nome em alguns deles como por exemplo explorer.exe

    Faça o download de OTListIt e salve no desktop.

    • Duplo clique no icone da ferrameta que está no seu desktop.
    • Clique emk Run Scan e deixe a ferramenta ser executada.
    • Quando a ferramenta finalizar o the scan, gerará dois arquivos texto:
      • OTViewIt.Txt <- Será automaticamente aberto no Bloco de Notas
      • Extras.txt <- estará no desktop

      [*] Copie (Ctrl+C) e cole (Ctrl+V) todo o conteudo do arquivo OTViewIt.Txt e do Extras.txt

      na sua proxima resposta.

    Abraço

    Sobre o log, vou enviar no proximo post. Eu deletava sim os arquivos mas somente os que eram criados dentro do pendrive, não os do sistema. De alguma forma funcionou e o pendrive ficou sem a praga (pelo menos aparentemente). Ainda assim acho que algo está bem errado...

    Acabo de chegar aqui e vejo que o computador não inicia... ou melhor iniciava e fazia logoff. Curioso que ontem pela parte da tarde tudo estava normal.

    Eu coloquei o CD do Windows pra tentar restaurar o sistema e tá rodando ali. Ontem eu executei o programa que você me passou e ele so gerou um log, dando erro na hora de gerar o segundo... assim que o sistema for restaurado vou manda-lo pra ca pra ser analisado!

    Obrigado Lusitano pela sua atenção e a todos da equipe de Remoção de Malware!

    =============

    Edit:

    Eu nao estou conseguindo postar os logs... eles são longos e de alguma forma o Forum barra ou sei la o que. Existe outra forma de mandar os logs?

    Editado por Mr.Haveron
    Adição de Informação

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bem, eu enviei o log pra você via email (dadas as circunstâncias) e assim que puderem dêem uma olhada...

    Eu andei pesquisando na internet sobre esse Trojan.Win32.VB.bmr e são poucas as referências. Na realidade eu vi no site do fabricante do Kaspersky e em mais dois eu creio. Na enciclopedia deles tem uma menção sobre isso.

    Realmente ele é bem calhorda! E apesar dos inúmeros avisos que dei aqui para não acessarem internet banking dessa ou de qualquer máquina que esteja nessa rede, ainda o fizeram! Felizmente o banco conseguiu bloquear a senha e nenhum dano maior foi registrado... ainda assim eu enfatizei bastante sobre a necessidade de não fazerem nada do gênero aqui! Espero que agora tenham ouvido!

    Eu fico aqui no aguardo e assim que for possivel mandem uma resposta! Muito obrigado a todos!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Olá,

    Siga as instruções contidas no link abaixo e instale e execute o Combofix:

    http://www.bleepingcomputer.com/combofix/pt/como-usar-o-combofix

    • É importante que instale a console de recuperação também.
    • Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt).
    • Cole o conteúdo desse arquivo e faça também um novo log do HijackThis para colocar na sua resposta.

    Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver rodando, isso pode fazer com que o pc pare.

    Nota: Por favor, NÃO utilize o ComboFix sozinho. É uma ferramenta poderosa criada pra lidar com infeções sofisticadas e caso não a utilize correctamente poderá danificar o seu computador. A ferramenta apenas deve ser utilizada sob supervisão de Assistentes de remoção de malware.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá bom dia!!!

    Antes de mais nada, eu estou aqui ainda! hehehe

    Eu acabo de rodar o ComboFix mas... deu um erro de kernel! :o

    Bruto mesmo... com despejo de memoria e tudo! Vou tentar rodar mais uma vez... se der erro de novo eu edito isso aqui! :)

    ===============================================

    EDIT:

    Confirmei aqui: erro de kernel (INVALID_KERNEL_HANDLE) toda vez que eu executo o ComboFix aqui... então lascou-se! :(

    Editado por Mr.Haveron

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ola!

    Bem, eu instalei o Kaspersky e ele parece ter removido... ele foi um dos poucos que detectou e conseguiu fazer algo. Amanha de manha eu edito e mando o log do Hijackthis pra ver se ainda aparece algo! :D

    Obrigado pessoal!

    Obs.: Acho que esse mexe-remexe no sistema desconfigurou um montão de coisas!!! :(

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    De acordo com as regras deste fórum, tópicos inativos são arquivados, isto é, fechados e movidos para um fórum de "tópicos arquivados". Caso o autor do tópico necessite poderá entrar em contato com a moderação solicitando a reabertura deste tópico.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×