Malware no IE?

Question

Toda a vez que escaneio me computador com o a-squared, a procura de worms, trojans, etc.. ele encontra o arquivo abaixo como invasor.
Nem o Avast nem o MS Antispyware n&atilde;o detectam nada.
O que ser&aacute; isso?
Alguem pode ajudar? Ser&aacute; que posso remover do registro?

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\Internet --> UseRWHlinkNavigation  	Trace.Registry.SideStep IE SideBar

Answer

Ser&aacute; que n&atilde;o &eacute; aquele painel lateral dos aplicativos Office, que permite se conectar &agrave; Internet, para fazer pesquisas?

Answer

Se tiver mais d&uacute;vidas, utiliza o HijackThis pra passar um scan e analiza o log aqui:

:arrow: www.hijackthis.de

Answer

Passe um scan com o HijackThis, como recomendou o walteen. Na d&uacute;vida, gere um log com o programa e cole aqui que a gente te ajuda. Experimente tamb&eacute;m o Ewido: www.ewido.net

D&ecirc; uma conferida nos fixos da sala de seguran&ccedil;a. Tem muita coisa &uacute;til por l&aacute;. :wink:

Answer

[color=blue]Vai a&iacute; o log do HIJACKTHIS!
(isso pra mim &eacute; grego!)[/color]

Logfile of HijackThis v1.99.1
Scan saved at 10:16:28, on 19/4/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\khooker.exe
C:\WINDOWS\system32\pctspk.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Skype\Phone\Skype.exe
C:\Arquivos de programas\Microsoft AntiSpyware\gcasDtServ.exe
C:\Arquivos de programas\MagicLAN\MagicUtility\swlcu11.exe
C:\Documents and Settings\Dom&eacute;stico\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fdnet.com.br/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [alarmme.exe] C:\AlarmMe\Alarmme.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 EPSON Stylus C42 Series /O5 LPT1: /M Stylus C42
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /A C:\WINDOWS\system32\E_S6.tmp
O4 - HKCU\..\Run: [Skype] C:\Arquivos de programas\Skype\Phone\Skype.exe /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MagicLAN Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAE6727B-8564-4034-AA97-B33C3EC3414A}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\msgrapp.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe /service (file missing)

[color=blue]Porque a linha res://c:\ARQUIV~1\MICROS~2\office10\EXCEL.EXE\3000 se transforma em um link?
[color=blue]Agrade&ccedil;o muito a uem puder traduzir isso e me ajudar!
Abra&ccedil;os[/color][/color]

Answer

O log est&aacute; limpo... Deve ser um falso positivo... Qualquer coisa passa um scan online:

:arrow: www.pandasoftware.com/activescan/pt/activescan_principal.htm

Answer

Ai vai o link da an&aacute;lise do seu log: http://www.hijackthis.de/logfiles/6501c8bb5a817830adcc956465901aa0.html

Entradas suspeitas:
[color=red]C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE
C:\Arquivos de programas\MagicLAN\MagicUtility\swlcu11.exe
O4 - HKLM\..\Run: [alarmme.exe] C:\AlarmMe\Alarmme.exe[/color]
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 EPSON Stylus C42 Series /O5 LPT1: /M Stylus C42 ( esta deve ser da sua impressora. Se usar impressora Epson, mantenha esta entrada);
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /A C:\WINDOWS\system32\E_S6.tmp ( a mesma coisa do de cima);

As 3 entradas acima que est&atilde;o em vermelho aparentemente podem ser deletadas, mas verifique se n&atilde;o possui nenhum programa conhecido instalado no seu pc que as esteja utilizando.
As duas &uacute;ltimas parecem de impressora Epson. Se n&atilde;o usa esta impressora podem ser malwares tamb&eacute;m, e devem ser removidas.
Como remover usando o HijackThis? Veja aqui:
http://forumgdh.net/viewtopic.php?t=251559&start=20

Depois passe um scan com os programas indicados no link que passei, e com um bom antivirus. 8)

Answer

Esse Alarmme eu achei suspeito tamb&eacute;m, mas procurei na net e n&atilde;o vi nada a respeito...
Os outros parecem ser da impressora Epson.

Answer

O AlarME &eacute; um programinha que me avisa sobre datas importantes (anivers&aacute;rios, m&eacute;dico, pagto de contas, etc). Ele inicia com o Windows.
Eu baixei ele do site www.jacotei.com.br (brinde).
O Magic Lan &eacute; o utilit&aacute;rio de configura&ccedil;&atilde;o da minha conex&atilde;o com a internet, que &eacute; via r&aacute;dio.
Epson &eacute; realmente a minha impressora.
A &uacute;nica coisa que eu n&atilde;o sei &eacute; esse drive!.
N&atilde;o ser&aacute; de um scanner que eu tinha e desinstalei ou parte do programa da minha c&acirc;mra digital (que tamb&eacute;m &eacute; webcam?)
Ser&aacute; que eu posso remover?

Answer

[quote=Fisherman]N&atilde;o ser&aacute; de um scanner que eu tinha e desinstalei ou parte do programa da minha c&acirc;mra digital (que tamb&eacute;m &eacute; webcam?)
Ser&aacute; que eu posso remover?[/quote]
Pra mim isso &eacute; de impressora por causa do Spool.
Se n&atilde;o estiver utilizando, pode remov&ecirc;-las sim...

Answer

Baixa esse programinha free no link abaixo.

Limpa tudo que quer se integrar no IE.

Clica no FIX e marque a op&ccedil;&atilde;o enviar para a lixeira.

Trend Micro&trade; CWShredder&trade;

Answer

[quote=walteen]Pra mim isso &eacute; de impressora por causa do Spool.
Se n&atilde;o estiver utilizando, pode remov&ecirc;-las sim...[/quote]

T&aacute; certo Walteen!
O arquivo faz parte do programa que monitora o nivel de tinta da impressora
(Status Monitor).
Ent&atilde;o n&atilde;o vou remover.
Quanto &agrave;quela chave (do meu primeiro t&oacute;pico) voce acha que &eacute; um falso positivo?
Devo ignora-la?

Valeu pelas dicas!!!

Abra&ccedil;os

Ferramentas

Mover Tópico