Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
bertoluiz

virus de cmd

Recommended Posts

caros colegas,

vendo o forum não ecnontrei a resposta,

fiz uma lista de arquivos ocultos do sistema, utilizando o cmd do windows,

dir /s /ah >lista.txt e ele me mostrou todos os programas(arquivos também) ocultos, e verifiquei, que tem muito cmd, e pesquisando na net, vi que são virus, então peço que me ajudem.

aqui está a lista que foi feita do apenas C:\

O volume na unidade C nÆo tem nome.

O n£mero de s‚rie do volume ‚ C0DB-351E

Pasta de C:\

26/08/2008 08:14 <DIR> $VAULT$.AVG

16/08/2008 10:57 90.343 0.com

19/08/2008 18:36 91.498 2.cmd

19/08/2008 18:22 106.767 6jgup0b.cmd

29/08/2008 17:51 500 autorun.inf

12/08/2008 14:04 89.559 b3b9u.com08/08/2007 19:42 211 boot.ini

28/10/2001 11:06 4.952 Bootfont.bin

24/04/2008 17:14 244 C¢pia de sqmnoopt05.sqm

16/01/2008 16:26 244 C¢pia de sqmnoopt10.sqm

14/02/2008 17:27 244 C¢pia de sqmnoopt11.sqm

03/08/2010 04:21 172 C¢pia de sqmnoopt15.sqm

22/08/2008 17:08 <DIR> humberto 2

08/08/2007 19:48 0 IO.SYS

26/08/2008 08:09 106.573 li.cmd

29/08/2008 16:35 109.753 lyvs1bhu.com

23/08/2008 01:36 90.366 mnl6on3.com

08/08/2007 19:48 0 MSDOS.SYS

25/08/2008 08:19 90.120 n.com

03/08/2004 22:38 47.564 NTDETECT.COM

03/08/2004 22:59 251.168 ntldr

29/08/2008 16:34 805.306.368 pagefile.sys

29/08/2008 16:50 91.084 ph.com

27/08/2008 13:12 <DIR> RECYCLER

27/08/2008 13:56 109.786 s8ras60m.cmd

20/08/2008 14:49 148 sqmdata00.sqm

20/08/2008 14:49 136 sqmdata01.sqm

20/08/2008 14:49 148 sqmdata02.sqm

20/08/2008 15:37 268 sqmdata03.sqm

29/05/2090 01:11 268 sqmdata04.sqm

26/02/2004 00:50 232 sqmdata05.sqm

10/06/2008 11:04 232 sqmdata06.sqm

07/07/2008 16:06 268 sqmdata07.sqm

07/07/2008 16:07 268 sqmdata08.sqm

20/08/2008 14:49 136 sqmdata09.sqm

20/08/2008 14:49 148 sqmdata10.sqm

05/08/2008 14:51 136 sqmdata11.sqm

03/08/2010 04:21 232 sqmdata12.sqm

03/08/2010 04:21 148 sqmdata13.sqm

03/08/2010 04:21 172 sqmdata14.sqm

03/08/2010 04:21 172 sqmdata15.sqm

03/08/2010 04:22 232 sqmdata16.sqm

03/08/2010 04:23 232 sqmdata17.sqm

28/02/2009 01:31 268 sqmdata18.sqm

20/08/2008 14:49 148 sqmdata19.sqm

26/02/2004 00:50 244 sqmnoopt00.sqm

20/08/2008 14:49 136 sqmnoopt01.sqm

14/03/2008 11:35 244 sqmnoopt02.sqm

25/03/2008 01:51 244 sqmnoopt03.sqm

29/05/2090 01:11 244 sqmnoopt04.sqm

24/04/2008 17:14 244 sqmnoopt05.sqm

10/06/2008 11:04 244 sqmnoopt06.sqm

07/07/2008 16:06 244 sqmnoopt07.sqm

07/07/2008 16:07 244 sqmnoopt08.sqm

05/08/2008 14:51 136 sqmnoopt09.sqm

20/08/2008 15:37 244 sqmnoopt10.sqm

05/08/2008 14:51 136 sqmnoopt11.sqm

03/08/2010 04:21 244 sqmnoopt12.sqm

03/08/2010 04:21 136 sqmnoopt13.sqm

03/08/2010 04:21 172 sqmnoopt14.sqm

03/08/2010 04:21 172 sqmnoopt15.sqm

03/08/2010 04:22 244 sqmnoopt16.sqm

03/08/2010 04:23 244 sqmnoopt17.sqm

28/02/2009 01:31 244 sqmnoopt18.sqm

29/02/2008 08:22 244 sqmnoopt19.sqm

26/02/2004 00:04 107.714 swstd8ii.cmd

08/08/2007 19:52 <DIR> System Volume Information

27/08/2008 13:16 <DIR> teste

16/07/2008 16:11 16.384 Thumbs.db

26/08/2008 08:23 92.071 u9dyi.exe

26/02/2004 00:04 91.122 yssjnngm.cmd

os que estão de vermelho, apesar que as dadas são de 2004, é porque problema da cmos, mas esses são os danados.

Se alguém sabe como retira-los, por favor ensina-me xD...

e também tem o kavo.exe, ckvo.exe que apareceram no proximo log utilizando o hijackthis.

OBS: já tenho experiencia e conhecimento em remoção de virus, mas desde tipo, ainda não sei.

Desde já, obrigado.

desculpe,

mas utilizar o hijack this agora,

e aqui está o log:

Logfile of HijackThis v1.99.1

Scan saved at 00:37:18, on 30/8/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\rnamfler\naofsvc.exe

C:\WINDOWS\System32\RDPSSW32.EXE

C:\WINDOWS\System32\BeTwinServiceXP.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Buddy\BeTwinAssistant.exe

C:\Arquivos de programas\Java\jre1.6.0_02\bin\jusched.exe

C:\Arquivos de programas\Buddy\BeTwinMessages.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Documents and Settings\Admin\Meus documentos\Minhas imagens\drivers das placas EMAX BRUNO\hijackthis\HijackThis.exe

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Documents and Settings\Default User\Local Settings\Temp\bsasee3y5d\IDMIECC.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [beTwinAssistant] "C:\Arquivos de programas\Buddy\BeTwinAssistant.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - HKLM\..\Run: [beTwinMessages] "C:\Arquivos de programas\Buddy\BeTwinMessages.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: Baixar com o FDM - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o FDM - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selecionado pelo FDM - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://correio.sestsenat.org.br/iNotes.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193146360889

O17 - HKLM\System\CCS\Services\Tcpip\..\{20A211FE-9F29-4A9C-B1CA-E99508967A34}: NameServer = 201.10.1.2,201.10.128.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{401C63BA-EDA5-4EAC-82D9-6457963C23CF}: NameServer = 201.10.1.2,201.10.128.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{20A211FE-9F29-4A9C-B1CA-E99508967A34}: NameServer = 201.10.1.2,201.10.128.2

O17 - HKLM\System\CS2\Services\Tcpip\..\{20A211FE-9F29-4A9C-B1CA-E99508967A34}: NameServer = 201.10.1.2,201.10.128.2

O17 - HKLM\System\CS3\Services\Tcpip\..\{20A211FE-9F29-4A9C-B1CA-E99508967A34}: NameServer = 201.10.1.2,201.10.128.2

O17 - HKLM\System\CS4\Services\Tcpip\..\{20A211FE-9F29-4A9C-B1CA-E99508967A34}: NameServer = 201.10.1.2,201.10.128.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: BeTwinNotify - C:\WINDOWS\SYSTEM32\BeTwinNotify.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Arquivos de programas\rnamfler\naofsvc.exe

O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE

O23 - Service: Servidor de Terminal Buddy (TermService) - ThinSoft Pte Ltd. - C:\WINDOWS\System32\BeTwinServiceXP.exe

so que ele não mostrou os outros que foi identificado pelo DOS.

mas mesmo assim está aqui os dois tipos de log.

analisando outros topicos, vi que precisa do log dos antivirus on-line,

no meu caso usei o da symantec, não conclui, pois não deu tempo.

mas ele concluiu o seguinte:

C:\0.com está infectado com Trojan Horse

C:\2.cmd está infectado com Trojan Horse

C:\6jgup0b.cmd está infectado com Trojan.Packed.NsAnti

C:\b3b9u.com está infectado com W32.Gammima.AG

C:\li.cmd está infectado com Trojan.Packed.NsAnti

C:\mnl6on3.com está infectado com Trojan.Packed.NsAnti

C:\n.com está infectado com Trojan.Packed.NsAnti

C:\swstd8ii.cmd está infectado com Trojan.Packed.NsAnti

C:\u9dyi.exe está infectado com Infostealer.Gampass

C:\yssjnngm.cmd está infectado com Infostealer.Gampass

para alguns pode parecer flood ou algo do tipo, mas é preocupação, pois a maquina não é minha e sim da empresa.

E antes que alguém pergunte como foi adquerido esse virus, foi atraves de pen-drives, pois aqui utiliza-se muito, ainda mais quando vai buscar algo em outras empresas ou organizações, por exemplo detran, sejus etc.

Editado por RenatoMejias
Motivo explicado aqui: http://forum.clubedohardware.com.br/nao-responda-seu/386252

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caros colegas,

o problema já foi ajustado,

pois vi em um topico daqui do forum "como tirar kavo, ckvo.exe e tavo.exe", utilizando os programas:

Ccleaner Slim (baixado do baixaki, é gratuito),

Regrunner (baixado do baixaki, é gratuito),

Malwarebytes' Anti-Malware,

com o Cclenaer, vrifiquei tudo e pus para limpar,

regrunner, vi quais os programas que estavam sendo utilizados,

e com o Malwarebytes' Anti-Malware, veirifquei o pc e pus também para limpar tudo,

foi 15 virus, verifiquei tudo de novo, ate com o do dos e agora está limpo.

pode fechar o topico se quiser.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×