Publicado em 7 de out.

[Resolvido!] Suspeita de LoP

#topicos-resolvidos-seguranca-malwares

Olá pessoal, estou com um problema muito chato.

É o seguinte, alguns tempos pra cá, começou a abrir o

Meu Computador do nada, a qualquer hora, e depois disso

começou a aumentar a Freqüência, e agora tem vez que

abre varias vezes sem parar, colocando a janela na frente,

naum deixando eu fazer nada, só para com a m**** depois

que eu fecho o explorer.exe.

O pior disso tudo, é que eu instalei o seven, e depois de 1

dia começou o problema também. O pior é que no Seven abre

varias janelas diferentes do "Meu Computador". Bom, num sei

se era alguma coisa que eu instalei, mas to achando mais é que

algumas pasta esteja infectado. Tentei ver se era o Autorun.inf

mas eu ja deletei todos do PC.

Ja tentei tirar com o Combofix, Malwarebytes, com o COMODO

(para ver se pelo menos achava o que estava acessando o explorer)

tentei ver se era um LoP e nada...

Fiz um log do HiJackThis.

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 21:43:27, on 6/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

E:\WINDOWS\Explorer.EXE

E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

E:\WINDOWS\system32\svchost.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

E:\Arquivos de programas\LClock\lclock.exe

E:\Arquivos de programas\Skype\Phone\Skype.exe

E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

E:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

E:\Arquivos de programas\JustVoip.com\JustVoip\JustVoip.exe

E:\Arquivos de programas\Styler\Styler.exe

E:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

E:\WINDOWS\System32\svchost.exe

E:\Arquivos de programas\WinRAR\WinRAR.exe

E:\DOCUME~1\Jonathan\IMPOST~2\Temp\Rar$EX00.734\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre6\bin\ssv.dll (file missing)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - E:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - E:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [avgnt] "E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [LClock] E:\Arquivos de programas\LClock\lclock.exe

O4 - HKCU\..\Run: [skype] "E:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "E:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: Styler.lnk = ?

O4 - Global Startup: Orbit.lnk = E:\Arquivos de programas\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - https://member.netmarble.net/kdefense/kdfense8237.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CiSvc - Unknown owner - E:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - E:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

Edit:

Bom, estive lembrando das ultimas coisas que havia feito, e lembrei que haviam aberto um email com o Virus Tim.scr, e eu tenho quase certeza que seja ele, porque quando vou tentar mudar de Protetor de tela, ele exclui o arquivo rundll32.exe, fazendo com que eu não edite. Quem quiser analizá-lo, eu mando ele em forma de texto (tim.scr > tim.txt). Procurei varias soluções e nada encontrado.

Acabei de ver, troquei o arquivo rundll32.exe e ta trocando o screensaver. Bom, só sei que ta dificil tirar esse virus :/

Discussão (13)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Carregando comentários...