Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
ifuregato

Virtumonde maldito!!!! Ajuda na remoção

Recommended Posts

beleza gente!

Meu caso é como muitos outros que vi por aqui....mas como percebi que as soluções variam muito decidi criar esse tópico...

Bom, o sbybot achou o tal do virtumonde no meu pc...ai ele tira mas só reiniciar que ele volta deixando o pc "instável", fechando janelas e, no auge, com tela preta, sem aparecer o desktop apesar dos programas abertos rodarem.

Peço, por favor, que alguem me ajuda a resolver esse problema.

Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:31:44, on 8/7/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\Administrador\winlogon.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

C:\Arquivos de programas\RocketDock\RocketDock.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\honestech\honestech TVR 2.5\scheduleTV.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Documents and Settings\Administrador\winlogon.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Arquivos de programas\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Arquivos de programas\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: TVR Scheduler.lnk = C:\Arquivos de programas\honestech\honestech TVR 2.5\scheduleTV.exe

O8 - Extra context menu item: Baixar link usando &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Baixar todos os links usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Baixar todos os vídeos usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211312829093

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211325083343

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--

End of file - 7298 bytes

valeu pela atenção..

Compartilhar este post


Link para o post
Compartilhar em outros sites

problemas com virtumonde tb...

uma semana pesquinsando sobre essa praga

ja deletei 300 arquivos dll. q ele crio ta fods...

log spyware teminator:

Logfile of Spyware Terminator v2.2.3.444 (db:2.007.009.000)

Scan Time: 9/7/2008 20:06:29 length: 1619 s

Platform: WXP (5.1.0.2600)

User: Admin

Boot Mode: Normal

Scan type: %Custom_Scan%

Scanned Objects: 111147 (Critical:0)

Filter: No System items, No Safe items, No Invalid items

Running Processes

pavsrv51.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe

AVENGINE.EXE [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE

SnAgOS.exe [Open Communications Security S/A] : C:\WINDOWS\system32\SnAgOS.exe

gbpsv.exe : C:\Arquivos de programas\GbPlugin\gbpsv.exe

mdm.exe [Microsoft Corporation] : C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

PsCtrls.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\PsCtrls.exe

PavFnSvr.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe

pavprsrv.exe [Panda Software] : C:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exe

pskmssvc.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe

PSHOST.EXE [Panda Software International] : C:\Arquivos de programas\panda software\panda platinum 2006 internet security\firewall\PSHOST.EXE

psimsvc.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\psimsvc.exe

SnMgrSvc.exe [Open Communications Security S/A] : C:\WINDOWS\system32\SnMgrSvc.exe

SnLiveUp.exe : C:\WINDOWS\system32\SnLiveUp.exe

APVXDWIN.EXE [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE

SRVLOAD.EXE [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE

WebProxy.exe [Panda Security International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe

PavBckPT.exe [Panda Software International, S.L.] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\PavBckPT.exe

SnEngine.EXE [Open Communications Security S/A] : C:\WINDOWS\system32\SnEngine.EXE

psimreal.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\psimreal.exe

Internet Settings

R - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar = http://www.google.com/ie

R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = http://www.google.com/ie

R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain =

R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName =

BHO

02 - BHO: - {3868b584-4dbb-450f-a0dd-623cf90d7b94} - : C:\WINDOWS\system32\cxgsel.dll

02 - BHO: - {3F0E0DCD-278B-4799-88CF-02F200E58A57} - : C:\WINDOWS\system32\efcCvVnN.dll

02 - BHO: - {498414B2-E755-4161-AA98-25A74CC17679} - : C:\WINDOWS\system32\wvUmljkI.dll

02 - BHO: GbIehObj Class - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - [Caixa Economica Federal] : C:\Arquivos de programas\GbPlugin\gbiehcef.dll

StartUps

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, APVXDWIN : [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SCANINICIO : [Panda Software International] : C:\Arquivos de programas\PANDA SOFTWARE\PANDA PLATINUM 2006 INTERNET SECURITY\INICIO.EXE

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 104b576e : : C:\WINDOWS\system32\blojqkom.dll

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, BM137864f2 : : C:\WINDOWS\system32\nxuidlln.dll

04 - Startup: : C:\Documents and Settings\user\Menu Iniciar\Programas\Inicializar\desktop.ini

04 - Startup: : C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\desktop.ini

Shell Extensions

KodakShellExtension - {acb4a560-3606-11d3-aef4-00104bd0f92d} - [Eastman Kodak Company] : C:\Arquivos de programas\Arquivos comuns\KODAK\IFSCore\kodakshx.dll

WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - : C:\Arquivos de programas\WinRAR\rarext.dll

WinZip - {E0D79304-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

WinZip - {E0D79305-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

WinZip - {E0D79306-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

WinZip - {E0D79307-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

Extensão de ícone de arquivo do Outlook - {0006F045-0000-0000-C000-000000000046} - [Microsoft Corporation] : C:\Arquivos de programas\Microsoft Office\Office10\OLKFSTUB.DLL

Panda Antivirus

Compartilhar este post


Link para o post
Compartilhar em outros sites

agora deletei duas chaves no resgistro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\104b576e

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BM137864f2

onde tinha as duas .dll (blojqkom.dll e nxuidlln.dll) que (acho eu) q o virtumonde criou

pelo menos agora nao aparece mais duas .dll novas no msconfig sendo inicialiazada, nem 2 rundll32 sendo exutado no gerenciador de tarefas

importante lembrar q essas duas .dll ainda existem na pasta system32

pelo menos agora o pc ta rodando direitinho

o problema é q o pc fica tentando abrir uma janela da internet sozinhu

temo eu q seja aquela porcaria d GLADIATUS q ajuda a rodar o virtumonde

por equanto ela ta sendo bloqueada pelo spyware terminator...dae td bm

so q nao consigo parar d fazer ela abrir...

penso eu q se resolver isso... fica 100% o pc

se alguem puder ajudar

OBRIGADO!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

no meu ele tateh deletou varias coisas

agora nao sei bm

mas foi parte do registro

umas .dll

no fim quando reiniciei foram criadas outras duas .dll

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×