Ir ao conteúdo
  • Cadastre-se
WilianJR

Pc infectado

Recommended Posts

PC apresentando lentidão absurda e meus e-mails estão sendo utilizados para enviar span

 

Segue o Log:

 

ZA-Scan V1.0.0.4 Updated 31-March-2015
Tool run by William on 02/04/2015 at  1:43:55,45.
Microsoft Windows 8 Pro 6.2.9200  x86
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\William\Downloads\ZA-Scan.exe [Z-Analyse Scan]
 
==== Running Processes ======================
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\PROGRA~1\GbPlugin\GbpSv.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\ProgramData\KMSAuto\KMSES.exe
C:\Windows\system32\dashost.exe
C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe
C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Clarus\Samsung Drive Manager\SZDrvSvc.exe
C:\Program Files\Qualcomm Atheros\Ath_WlanAgent.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\dwm.exe
C:\Windows\system32\taskhostex.exe
C:\Windows\Explorer.EXE
C:\Program Files\Malwarebytes Anti-Malware\mbam.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Clarus\Samsung Drive Manager\Drive Manager.exe
C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe
C:\Program Files\Clarus\Samsung Drive Manager\ABRTMon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Diebold\Warsaw\core.exe
C:\Program Files\Diebold\Warsaw\core.exe
C:\Windows\system32\taskhostex.exe
C:\Users\William\Downloads\ZA-Scan.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\conhost.exe
C:\Users\William\AppData\Local\Temp\ZAScan.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\William\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\William\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
 
==== Services(whitelist) ======================
Powered by
 
 
==== IE Start and Search Settings ======================
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
==== All HKCU SearchScopes ======================
 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing  Url="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE10SR"
 
==== HijackThis Entries ======================
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\Office15\OCHelper.dll
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.8.0_31\bin\ssv.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~1\Office15\URLREDIR.DLL
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Itaú Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\Program Files\GbPlugin\gbiehuni.dll
O2 - BHO: G-Buster Browser Defense Bnb - {C41A1C0E-EA6C-11D4-B1B8-444553540014} - C:\Program Files\GbPlugin\gbiehbnb.dll
O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\PROGRA~1\MICROS~1\Office15\GROOVEEX.DLL
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre1.8.0_31\bin\jp2ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{80F47403-5BDB-4028-AE3C-0D5385D18E11}: NameServer = 200.175.5.188,200.175.5.139
 
==== EOF on 02/04/2015 at  1:47:18,15 ======================
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá @WilianJR

 

Por favor, atente para o seguinte:
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

1)

 

Faça o download do Farbar Service Scanner e salve em seu Desktop
 

  • Marque as caixas:
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
  • Clique em Scan
  • Será criado um log (FSS.txt) no Desktop
  • Anexe o do log em sua próxima resposta.

2)

 

Baixe o RogueKiller e salve em sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Execute o arquivo RogueKiller.exe.

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo RogueKiller.exe, depois clique em execadmin.png.

Clique no botão Scan e aguarde o exame finalizar.

Clique no botão Relatório. Abrirá um bloco de notas com informações.

Anexe-o na sua próxima resposta.

OBS: não use o botão Deletar pois precisamos avaliar os itens antes de fazer isso.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Carlos obrigado pela resposta, segue abaixo o que você me solicitou

 

Log FSS:

 

Farbar Service Scanner Version: 17-01-2015
Ran by William (administrator) on 06-04-2015 at 22:33:06
Running from "C:\Users\William\Downloads"
Microsoft Windows 8 Pro  (X86)
Boot Mode: Normal
****************************************************************
 
Internet Services:
============
 
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.
 
 
Windows Firewall:
=============
 
Firewall Disabled Policy: 
==================
 
 
System Restore:
============
 
System Restore Policy: 
========================
 
 
Action Center:
============
 
 
Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is set to Demand. The default start type is Auto.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.
 
 
Windows Autoupdate Disabled Policy: 
============================
 
 
Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
 
 
Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1
 
 
Other Services:
==============
 
 
File Check:
========
C:\Windows\system32\nsisvc.dll => File is digitally signed
C:\Windows\system32\Drivers\nsiproxy.sys => File is digitally signed
C:\Windows\system32\dhcpcore.dll => File is digitally signed
C:\Windows\system32\Drivers\afd.sys => File is digitally signed
C:\Windows\system32\Drivers\tdx.sys => File is digitally signed
C:\Windows\system32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\system32\dnsrslvr.dll => File is digitally signed
C:\Windows\system32\mpssvc.dll => File is digitally signed
C:\Windows\system32\bfe.dll => File is digitally signed
C:\Windows\system32\Drivers\mpsdrv.sys => File is digitally signed
C:\Windows\system32\SDRSVC.dll => File is digitally signed
C:\Windows\system32\vssvc.exe => File is digitally signed
C:\Windows\system32\wscsvc.dll => File is digitally signed
C:\Windows\system32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\system32\wuaueng.dll => File is digitally signed
C:\Windows\system32\qmgr.dll => File is digitally signed
C:\Windows\system32\es.dll => File is digitally signed
C:\Windows\system32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MsMpEng.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
 
 
**** End of log ****
 
 
 
 
Relatorio RogueKiller:
 
RogueKiller V10.5.8.0 [Mar 30 2015] por Adlice Software
 
Sistema Operacional : Windows 8 (6.2.9200 ) 32 bits version
Iniciou : Modo normal
Usuário : William [Administrador]
Started from : C:\Users\William\Downloads\RogueKiller.exe
Modo : Escanear -- Data : 04/06/2015  23:46:30
 
¤¤¤ Processos : 1 ¤¤¤
[suspicious.Path] KMSES.exe(1880) -- C:\ProgramData\KMSAuto\KMSES.exe[-] -> Interrompido [TermProc]
 
¤¤¤ Registro : 9 ¤¤¤
[PUP] HKEY_CLASSES_ROOT\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC} -> Encontrado
[suspicious.Path] HKEY_USERS\S-1-5-21-3803956479-2252182842-3652573897-1001\Software\Microsoft\Windows\CurrentVersion\Run | AVG-Secure-Search-Update_0913b : C:\Users\William\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid e7bb904895e347d38c1bd1527e3bd7d7-8291b033c2e204a111bad949336fbdb4da693c97 --CMPID 0913b  -> Encontrado
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\KMSEmulator (C:\ProgramData\KMSAuto\KMSES.exe 1688 55041-00206-236-329597-03-1049-7601.0000-3002012 KillProcessOnPort) -> Encontrado
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KMSEmulator (C:\ProgramData\KMSAuto\KMSES.exe 1688 55041-00206-236-329597-03-1049-7601.0000-3002012 KillProcessOnPort) -> Encontrado
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{80F47403-5BDB-4028-AE3C-0D5385D18E11} | NameServer : 200.175.5.188,200.175.5.139 [bRAZIL (BR)][bRAZIL (BR)]  -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{80F47403-5BDB-4028-AE3C-0D5385D18E11} | NameServer : 200.175.5.188,200.175.5.139 [bRAZIL (BR)][bRAZIL (BR)]  -> Encontrado
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Encontrado
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Encontrado
 
¤¤¤ Tarefas : 0 ¤¤¤
 
¤¤¤ Arquivos : 0 ¤¤¤
 
¤¤¤ Arquivos de hosts : 0 ¤¤¤
 
¤¤¤ Antirootkit : 8 (Driver: Carregado) ¤¤¤
[iAT:Inl(Hook.IEAT)] (explorer.exe) ntdll.dll - LdrUnloadDll : C:\Program Files\GbPlugin\gbiehcef.dll @ 0x696c1df4 (jmp 0xfffffffff7d11dbe)
[iAT:Inl(Hook.IEAT)] (explorer.exe) RPCRT4.dll - IUnknown_QueryInterface_Proxy : C:\Program Files\GbPlugin\gbiehcef.dll @ 0x696e805a (jmp 0xfffffffff7de8024)
[iAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - FreeLibrary : C:\Program Files\GbPlugin\gbiehcef.dll @ 0x696c1f32 (jmp 0xfffffffff7cd1efc)
[iAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - FreeLibraryAndExitThread : C:\Program Files\GbPlugin\gbiehcef.dll @ 0x696c1e7b (jmp 0xfffffffff3911fb7)
[iAT:Inl(Hook.IEAT)] (explorer.exe) ntdll.dll - NtQueryLicenseValue : C:\Windows\System32\SLCHook.dll @ 0x72194300 (jmp 0xfffffffffa74f41c)
[iAT:Inl(Hook.IEAT)] (chrome.exe) RPCRT4.dll - IUnknown_QueryInterface_Proxy : C:\Program Files\GbPlugin\gbiehCef.dll @ 0x696e805a (jmp 0xfffffffff7d08024)
[iAT:Inl(Hook.IEAT)] (chrome.exe) WS2_32.dll - getaddrinfo : C:\Users\William\AppData\Local\GAS Tecnologia\GBBD\npsf_uni.dll @ 0x69b30b93 (jmp dword near [0x71ae001e])
[iAT:Inl(Hook.IEAT)] (chrome.exe) WS2_32.dll - getaddrinfo : C:\Users\William\AppData\Local\GAS Tecnologia\GBBD\npsf_uni.dll @ 0x69b30b93 (jmp dword near [0x71ae001e])
 
¤¤¤ Navegadores : 0 ¤¤¤
 
¤¤¤ Verificação da MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1246GSX +++++
--- User ---
[MBR] ad18666e039466b2d397cf02b5c2153d
[bSP] a6f1733b1d5d57a8bfb379a3048ac69b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 62990 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 129722368 | Size: 51131 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

@WilianJR

 

Alguma dificuldade em anexar os logs?
 

 

[suspicious.Path] KMSES.exe(1880) -- C:\ProgramData\KMSAuto\KMSES.exe[-] -> Interrompido [TermProc]

 

O que poderia me dizer sobre esse arquivo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

@CarlosTurco

Olá Carlos, cara, não tenho a menor ideia de que arquivo seja este, sou completamente leigo no assunto

Sim, estou tendo uma certa dificuldade para anexar os logs, ta sempre dando erro.

Na verdade até responder aqui ta difícil

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Olá Carlos, cara, não tenho a menor ideia de que arquivo seja este, sou completamente leigo no assunto

 

O arquivo se trata de um crack para ativar o Office. Aqui, não apoiamos pirataria.

 

Se for continuar, precisamos removê-lo. Informe sua decisão.

 

 

Sim, estou tendo uma certa dificuldade para anexar os logs, ta sempre dando erro.

 

 

Está clicando no botão "Mais opções" ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Carlos nao se trata de pirataria, aconteceu que tive que formatar o pc anteriormente por causa de virus e eu nao tinha mais os cds de instalação da maquina, mas tem erro nao ja formatei novamente o pc pode fechar o topico.

abraço

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado.

Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×