Trojans so7, x3 e db2 Resolvido!

Question

Ei galera nesse dois ultimos dias estou tendo problemas com esse dois trojans basicamente. At&eacute; consigo removelos com Avira, mais logo eles retornam aparecendo umas cinco ou seis janelas detectando os trojans como (so7,so7[1],so7[2],x3,x3[1],x3[2]) em cada janela respectivamente e em pasta diferentes... 
 
Enfim o que eu queria saber o mesmo como se alojou no pc[COLOR=red] pra que possa me precave[/COLOR].[COLOR=red]Todos os programas instalados foram scaneados e sem ter tido acesso a internet[/COLOR]... isso com um pc formatado agora pouco!
 
Apenas o so7 est&aacute; no arquivos inializaveis do windowsxp... deselecionou e nada!!! enfim... um hora ou outra aparece as janelas do avira detectando os trojans. Sempre que reinicia o pc logo aparece!
 
at&eacute; onde eu sei n&atilde;o comprometeram em nada o desempenho da m&aacute;quina mais o que &eacute; chato s&atilde;o as janelas de detectando-os.
 
algu&eacute;m????

Answer

Ol&aacute; Felipe!

Se os trojans est&atilde;o sendo removidos e voltando depois, voc&ecirc; pode fazer o seguinte para que eles sejam eliminados definitivamente:

V&aacute; no menu: Iniciar - Painel de Controle - Sistema - Clique na aba: Restaura&ccedil;&atilde;o do Sistema - Marque a caixinha: Desativar restaura&ccedil;&atilde;o do sistema - Clique no bot&atilde;o: Aplicar e no bot&atilde;o: Ok.

Depois disso, fa&ccedil;a um escaneamento completo com o seu antivirus atualizado e elimine todos os virus que ele encontrar.

E depois volte no mesmo local: Iniciar - Painel de Controle - Sistema - Clique na aba: Restaura&ccedil;&atilde;o do Sistema - Desmarque a caixinha: Desativar restaura&ccedil;&atilde;o do sistema - Clique no bot&atilde;o: Aplicar e no bot&atilde;o: Ok.
  Depois nos diga se o problema foi resolvido agindo dessa forma, ficamos no aguardo.

Answer

na verdade j&aacute; &eacute; desativada!

Answer

Seria bom ent&atilde;o postar um log do Hijackthis para darmos uma verificada:

1) Fa&ccedil;a o download do Hijackthis no link abaixo:
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe 

Crie uma pasta pr&oacute;pria (como por exemplo C:/HijackThis) e descompacte o hijackthis.zip dentro dela.

Ap&oacute;s concluir o download, execute-o.
Clique no bot&atilde;o: Do a system scan and save a logfile. Depois ser&aacute; aberta uma tela com o log, ent&atilde;o &eacute; s&oacute; selecionar este Log (Clique no menu: Editar &raquo; Selecionar Tudo), depois disso volte novamente no menu: Editar &raquo; e clique na op&ccedil;&atilde;o: Copiar).

Depois disso &eacute; s&oacute; voltar aqui no f&oacute;rum e postar este log do Hijackthis para que ele possa ser analizado. 

Ficamos no aguardo de sua resposta.

Mas voc&ecirc; perguntou sobre como se deve fazer para prevenir que isto aconte&ccedil;a. 

Para configurar e usar corretamente o Avira antivir &eacute; s&oacute; seguir as dicas destes tutoriais:

[COLOR=Blue]Tutorial do Avira Antivir (instala&ccedil;&atilde;o e configura&ccedil;&atilde;o)[/COLOR]

[COLOR=Blue]Tutorial do Avira Antivir (como us&aacute;-lo corretamente)[/COLOR]

Mas atualmente n&atilde;o basta apenas o antiv&iacute;rus, para manter o seu computador seguro e eficiente sugiro que voc&ecirc; siga todas as dicas gratuitas destes tutoriais:

[COLOR=Blue]Dicas para complementar a seguran&ccedil;a do seu antiv&iacute;rus[/COLOR]

[COLOR=Blue]Tutorial do Mcafee SiteAdvisor[/COLOR]

[COLOR=Blue]Como desativar servi&ccedil;os perigosos do Windows e procedimentos que o tornam mais seguro[/COLOR]

Answer

num forum americano observei um cara com o mesmo problemas e utilizando o avira tb... o por dele n&atilde;o foi resolvido...

Seria bom ent&atilde;o postar um log do Hijackthis para darmos uma verificada:

andei observando aqui mais n&atilde;o encontrei nada supeito...

mais enfim ai vai...

Logfile of HijackThis v1.99.1
Scan saved at 20:49:05, on 19/9/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Arquivos de programas\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
D:\PROGRAMAS PARA MEU PC\Spy&bot 1.60.exe
C:\DOCUME~1\Pessoal\CONFIG~1\Temp\is-3FM6I.tmp\Spy&bot 1.60.tmp
C:\Documents and Settings\Pessoal\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{338372F2-5AA9-4453-BBD4-FDB40AD1FFBE}: NameServer = 200.149.55.140,200.165.132.147
O17 - HKLM\System\CS1\Services\Tcpip\..\{338372F2-5AA9-4453-BBD4-FDB40AD1FFBE}: NameServer = 200.149.55.140,200.165.132.147
O17 - HKLM\System\CS2\Services\Tcpip\..\{338372F2-5AA9-4453-BBD4-FDB40AD1FFBE}: NameServer = 200.149.55.140,200.165.132.147
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Answer

Mas atualmente os virus est&atilde;o se manifestando ou n&atilde;o?

1. Fa&ccedil;a o download da ferramenta BankerFix clicando no link abaixo:
http://www.linhadefensiva.org/bankerfix/v3/bankerfix.exe
2. Salve a ferramenta no seu disco r&iacute;gido.
3. Caso seu antiv&iacute;rus possua algum bloqueio de scripts, &eacute; poss&iacute;vel que ele alerte que a ferramenta &eacute; insegura. Este bloqueio existe porque, durante um tempo, muitos v&iacute;rus eram programados em linguagens de &ldquo;script&rdquo;. O BankerFix tamb&eacute;m &eacute; criado nessa linguagem, mas n&atilde;o se trata de um v&iacute;rus. De qualquer forma, o antiv&iacute;rus poder&aacute; alert&aacute;-lo com uma mensagem perguntando se voc&ecirc; quer executar o script ou n&atilde;o. Certifique-se de permitir sua execu&ccedil;&atilde;o ou a ferramenta n&atilde;o ir&aacute; funcionar.
4. D&ecirc; um duplo-clique no bankerfix.exe
5. Se voc&ecirc; est&aacute; executando ela pela primeira vez, uma mensagem pedindo para confirmar a exist&ecirc;ncia de conex&atilde;o com a Internet ser&aacute; exibida. Clique em OK.
6. Quando o BankerFix estiver instalado, uma mensagem de confirma&ccedil;&atilde;o ir&aacute; aparecer. Clique em OK para execut&aacute;-lo ou Cancelar para sair
7. Se voc&ecirc; execut&aacute;-lo, uma janela de texto simples ir&aacute; aparecer na tela.
8. Feche todas as janelas e programas, com exce&ccedil;&atilde;o do Banker Fix
9. Clique na janela do BankerFix e aperte qualquer tecla. O BankerFix faz o resto sozinho
10. Voc&ecirc; ir&aacute; receber uma mensagem informando se nenhum problema foi encontrado, se algum problema foi encontrado e solucionado ou se alguns arquivos infectados n&atilde;o puderam ser removidos
11. Feche a janela
12. Troque qualquer senha de banco, Orkut e MSN caso a ferramenta tenha detectado problemas no seu computador

Notas

* Se a ferramenta n&atilde;o conseguir remover algum arquivo, tente usar o Modo de Seguran&ccedil;a (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a op&ccedil;&atilde;o Modo Seguro ou Modo de Seguran&ccedil;a). A&iacute; quando o computador tiver reiniciado, voc&ecirc; escaneia o computador com o BankerFix novamente ou apenas reinicie e execute novamente o BankerFix.
Na sua pr&oacute;xima resposta poste o Relatorio.txt que encontrar&aacute; em C:\LinhaDefensiva juntamente com um novo log do Hijackthis. Ficamos no aguardo de sua resposta.

Answer

bem j&aacute; havia tentado tb o bankerfix antes nada foi encontrado foi da uma olhada executando em modo seguro...

//nada tamb&eacute;m

como j&aacute; havia dito pra resolver me bastaria formatar... pois tanto arquivos que jugo importantes e programas que jugo necess&aacute;rio... est&aacute; em parti&ccedil;&otilde;es de backups.

pelo dificil situa&ccedil;&atilde;o quis tentar resolver de outra forma!

parece mais complicado do que parece!!!
vou tentar algo vou logo 21:24 enquanto isso se algu&eacute;m tiver mais um dicas ai resolviveis(rsrs) ai seria pedir de mais. n&eacute; galera!!

aguardo.....

Answer

Fa&ccedil;a um scan com o kaspersky, ele tem a maior database de antiv-virus.

Fa&ccedil;a um scan com o kaspersky online.
http://www.kaspersky.com/virusscanner e poste o resultado aqui.

Instru&ccedil;&otilde;es: http://linhadefensiva.uol.com.br/forum/ind...showtopic=74159

http://img227.imageshack.us/img227/1954/kasperskyag3.gif

Answer

bem kaspery tenho a quest&atilde;o n&atilde;o &eacute; encontralo mais sim removelo de um vez por todas....

na pasta
C:\Documents and Settings\Pessoal
cont&eacute;m tr&ecirc;s arquivos os .DAT n&atilde;o s&atilde;o removiveis.. e .ini que mesmo apagando ele retorna... os virus mesmo apagados retonarnam a pasta
C:\Documents and Settings\Pessoal\Configura&ccedil;&otilde;es locais\Temporary Internet Files

o pro &eacute; removelos definitivo...

teria que apagar... os arquivos .DAT primeiro que recria os tronjans

Answer

Opa, &bull; Fa&ccedil;a um scan com o eset Nod32
◘http://www.eset.com/onlinescan/index.php

&bull; Apos o termino do scan, o log podera ser visto em c:\arquivos de programas\Eset online scanner\log

Answer

observe a imagens e como eles se encontra!

lembrando que o dat.LOG e nativo do sistema

nem sei mais como esse trojan executar pois o arquivos de inicializa&ccedil;&atilde;o est&atilde;o todos deseativados!
s&oacute; n&atilde;o esse que, n&atilde;o sei bem qual &eacute; 
C:\WINDOWS\system32\NvCpl.dll,NvStartup
talvez a barra de volume...

&eacute; galera acho que todas minha alternativas esgotaram terei que formatar realmente...
:tadin::choramingando::tchau:

Answer

*Fa&ccedil;a o download do VundoFix
http://linhadefensiva.uol.com.br/dl/vundofix
*Salve-o em sua &aacute;rea de trabalho.
*Rode o VundoFix.exe.
*Quando o VundoFix abrir novamente, clique em Scan for Vundo
*Quando ele terminar, clique em Remove Vundo
*Voc&ecirc; receber&aacute; um prompt perguntando se voc&ecirc; quer remover os arquivos. Confirme. Sua &aacute;rea de trabalho vai sumir.
*Voc&ecirc; receber&aacute; um aviso dizendo que seu computador deve ser desligado. Clique em OK e depois ligue o computador novamente.
*&Eacute; poss&iacute;vel que o VundoFix encontre um arquivo, mas n&atilde;o consiga remov&ecirc;-lo. Se isso acontecer, a ferramenta rodar&aacute; ao reiniciar.
*Quando o VundoFix aparecer, clique no bot&atilde;o Scan for Vundo para repetir o processo.
*Cole os relat&oacute;rios encontrados em C:\Vundofix.txt

Answer

gustavo m.m link com falha

tinha uns cara da linhadefensiva que postava poraqui...
todas a tentativas do linha utilizei quase todas

Answer

Novo link.
http://www.atribune.org/ccount/click.php?id=4

Answer

C:\WINDOWS\system32\NvCpl.dll,NvStartup - isso e o driver da Nvidia.

Envie os arquivos para o virustotal, as vezes e fal&ccedil;o positivo.

POST EDITADO:
Da uma olhada aqui
http://www.babooforum.com.br/forum/index.php?showtopic=86803

Ferramentas

Mover Tópico