Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Alexandra-sp

Rootkit-gen Win32

Recommended Posts

Meu PC usa conexao discada de internet.Ha 2 semanas nao consigo acessar a internet porque diz que "a porta ja esta aberta por outro aplicativo". O Avast acusou esse Win32:Rootkit-gen (Rtk) e mandei pra quarentena, na primeira vez. Ai o modem parou de funcionar, dando a msg que postei acima.Eu desinstalei o driver do modem e instalei novamente, mas isso se tornou imposssivel de ser finalizado porque, quando o Avast esta ativado, ele novamente alerta sobre o malware; dai pedi pra excluir o arquivo infectado, mas o modem fica com o mesmo problema.

então, resolvi desinstalar o modem e reinstala-lo com o Avast desativado e ai, consegui acessar a internet (agora, postando esta msg), mas nao resolvi o problema, pois acho q o malware continua aqui. Preciso muito de ajuda.

Ai vai o log do HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 17:47:20, on 6/6/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\TWAIN_32\Vivid\VIVID.EXE

C:\WINDOWS\vsnpstd.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

C:\Arquivos de programas\iGinternet iLimitada\Discador iG.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\WINDOWS\slrundll.exe

C:\Arquivos de programas\Avant Browser\avant.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\Su\Meus documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

F3 - REG:win.ini: load=C:\WINDOWS\TWAIN_32\Vivid\VIVID.EXE

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GbPlugin\gbieh.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ins3DT] D:\INSTALL4\INS3DT.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Discador iG] "C:\Arquivos de programas\iGinternet iLimitada\Discador iG.exe" boot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8E4A9A8F-7F50-451A-A2A3-A332C99DA168}: NameServer = 200.204.0.138 200.204.0.10

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GbPlugin\gbieh.dll

O20 - Winlogon Notify: __GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Alexandra,

Primeiro, que a indicação do AVAST é o chamado falso positivo, isto é, o antivirus mostra como vírus mas não é na verdade.

Pelo visto, isto é causado por que você deve estar usando a versão do Windows XP SP1, versão Francesa. Como pode ver no link abaixo.

A solução apresentada pelo AVAST é que tenha a última base de dados do antivirus não terá este problema de indicação (

f you have downloaded the latest version of the virus database (version 080605-0), you should not experience any further problems.)

http://support.avast.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=306

Mas além deste problema analisando seu LOG do Hijackthis existe problemas nas linhas:

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx - provavelmente uma barra no internet explorer de um vírus.

O4 - HKLM\..\Run: [ins3DT] D:\INSTALL4\INS3DT.EXE - provavelmente um trojan backdoor.

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing) - O pior deles se refere a um trojan de nome TROJ/HIDDL-B ( http://www.sophos.com/security/analyses/viruses-and-spyware/trojhiddlb.html)

SOLUÇÃO:

Como este seu antivírus deve ser a versão gratuita e esta causando todos estes problemas, DESINSTALE temporariamente.

O meio mais fácil para retirar todos os problemas citados acima, é instalar a versão TESTE do antivírus PANDA SECURITY.

Copie o programa através do link abaixo. ATUALIZE o antivírus PANDA e faça a varredura e a limpeza completa do seu sistema.

O antivírus TESTE deve ficar funcionando por um período de 30 dias. Depois caso não interesse, DESINSTALE e volte a usar outro gratuito. (Obs: este antivírus custa por volta de R$80,00 e pode ser usado em 3 computadores ao mesmo tempo. Eu uso o PANDA a muitos anos e não tive problemas com spywares, etc.)

LINK DO PANDA ANTIVÍRUS: http://www.pandasecurity.com/homeusers/downloads/register?Tipo=1&CodigoProducto=13&Idioma=2&TipoUsuario=12&Country=US&TipoLead=2&Ref=WWEN-T08-DES

IMPORTANTE: Seu Windows XP, esta com o pacote SP1, que possui dezenas de brechas para invasão de spywares, hackers, etc.

Atualmente já estamos usando a versão SP3 (lançado agora em Junho 2008).

Pelo menos arrume uma maneira de instalar o SP2.

Outro ponto muito importante é que seu navegador Internet Explorer esta na versão 6.0. A versão atualmente usada é a 7.0.

Você pode obter uma cópia do IE 7.0 no link : http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=pt-br

Mas ATENÇÃO para o REQUISITO DE SISTEMA, o computador tem que estar com o pacote SP2 ou SP3.

Espero que tenha sucesso,

JB.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia, Chaser.

Primeiramente, você postou no local errado, ou seja, você deveria ter criado um novo post para seu caso, e não colocar no mesmo local da amiga Alexandra.

Na entrada desta sala "Remoção de Malware" do lado esquerdo bem no alto da página existe um botão "Novo Tópico", é neste local que deveria ter colocado sua mensagem.

Mas como já esta aqui, e como não tenho como mudar o local de sua mensagem (somente os administradores do fórum podem corrigir), analisando seu LOG temos que:

O principal problema é que seu computador tem o Trojan VirtuMonde / Vundo, que causa estas mensagens citadas por você, além de direcionar para sites IP ( O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.166) onde estão provavelmente os programas maliciosos (estes IPs estão localizados na Ucrania).

Pode ler a respeito deste trojan no link:

http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99&tabid=2

Para remover este Trojan siga as instruções da Symantec, no link abaixo no item How to download and run the tool:

http://www.symantec.com/security_response/writeup.jsp?docid=2004-112210-3747-99

IMPORTANTE: Não usei esta ferramenta, então não sei se vai funcionar corretamente. CASO USAR e conseguir resolver o problema nos informe para que todos possam também usar quando tiver com este trojan.

Além deste problema ainda tem outras entradas do seu LOG com problemas, que podem ser causadas por este Trojan ou por outros, como por exemplo:

O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{b9f60209-51ee-9a1a-9011-f15ed6f6dd5b}.dll" DllInit

Conclusão:

Então para resolver este seu problema, recomendo que faça o mesmo que no caso da Alexandra, já que também deve estar usando a versão gratuita do AVAST.

Desinstale o AVAST (por que o Panda não instala com outro antivírus rodando no computador), faça a atualização do mesmo, e faça a limpeza do seu computador.

Após o uso do PANDA caso não interesse mais, retire o programa e volte para o AVAST (que sempre esta causando problemas e não é totalmente eficiente na proteção).

O link para download do Panda é:

http://www.pandasecurity.com/homeusers/downloads/register?Tipo=1&CodigoProducto=13&Idioma=2&TipoUsuario=12&Country=US&TipoLead=2&Ref=WWEN-T08-DES

Espero que tenha sucesso,

JB

Editado por Evandro
removendo e-mail

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pessoal,

Posso entrar nessa conversa? Acontece o seguinte : o Avast detectou a existencia de um vírus (não me lembro qual) quando ia abrir um email.Cancelei o download e por questão de segurança rodei o Avast na modo completo. Ele achou mais de 200 sinais (sign) do Win32:Rootkit-gen na própria pasta do Avast. Todos foram removidos com sucesso. Isso é um falso-positivo ou devo tomar alguma outra providência.

Obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites
Pessoal,

Posso entrar nessa conversa? Acontece o seguinte : o Avast detectou a existencia de um vírus (não me lembro qual) quando ia abrir um email.Cancelei o download e por questão de segurança rodei o Avast na modo completo. Ele achou mais de 200 sinais (sign) do Win32:Rootkit-gen na própria pasta do Avast. Todos foram removidos com sucesso. Isso é um falso-positivo ou devo tomar alguma outra providência.

Obrigado

Olá, Iorgute,

Se não notou nada de anormal no computador deve ser mesmo um falso positivo como citado no LOG DA ALEXANDRA.

Mas para ter uma nova opinião faça uma varredura ONLINE no site da PANDA SECURITY e no final existe um relatório então selecione e cole aqui para análise. Aguardamos sua resposta,

Link:

http://www.pandasecurity.com/brazil/homeusers/solutions/activescan/default.htm?track=80381

Espero que tenha sucesso,

Editado por Evandro
removendo e-mail

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pessoal, um usuário por tópico, quem quiser uma análise basta criar um novo tópico com um log do Hijackthis.

Ao autor do tópico, caso queira uma análise, por favor abra um novo tópico e me envie o link por MP que analisarei seu caso.

Tópico fechado.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×