You are not logged in.

Monday, September 1st 2014, 9:28am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Wilian" started this thread

Date of registration:
Nov 30th 2010

Operating System:
windows vista

  • Send private message

1

Tuesday, November 1st 2011, 8:00am

Cavalo de Troia TR /Spy.Banker. IJO

O avira encontrou os seguintes virus:

TR/Spy.Banker.IJO

TR/Agent.78848.14

Segue o LOG do HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 04:30:07, on 01/11/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16869)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\DatacardService\DCSHelper.exe
C:\Program Files\Connect Manager\UIExec.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Wilian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ORFF72VX\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 88.80.5.185 www2.bancobrasil.com.br
O1 - Hosts: 88.80.5.186 aapj.bb.com.br
O1 - Hosts: 88.80.5.187 bankline.itau.com.br
O1 - Hosts: 88.80.5.188 www.santandernet.com.br
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [UIExec] "C:\Program Files\Connect Manager\UIExec.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Serviço de rede')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Serviço de rede')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh…ash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DCService.exe - Unknown owner - C:\ProgramData\DatacardService\DCService.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: UI Assistant Service - Unknown owner - C:\Program Files\Connect Manager\AssistantServices.exe

--
End of file - 4896 bytes


Aguardo instruções

Att

Wilian

marfabilis

Moderator

Date of registration:
May 14th 2010

Version:
Avira Free Antivirus
Avira Antivirus Suite
Avira Internet Security Suite
Avira Internet Security

Operating System:
System of a Down

  • Send private message

2

Tuesday, November 1st 2011, 10:00am

Olá Wilian,

Poderia postar o log completo da verificação com o Avira?

Atenciosamente,

Marco
| :: RU | EN | PT-BR | ZH-CN | ZH-TW ::

  • "Wilian" started this thread

Date of registration:
Nov 30th 2010

Operating System:
windows vista

  • Send private message

3

Tuesday, November 1st 2011, 5:04pm

Olá Marco boa tarde!

Como as Detecções foram em Setembro e os arquivos estao na quarentena do Avira, não está mais aparecendo os relatorios.

Tirei um printscreen da quarentena: http://img838.imageshack.us/img838/5831/viruspscreen.jpg

Tentei restaurar os arquivos mas o Avira diz que são Virus e que não é aconselhavel sua Restauração.

O que eu faço

marfabilis

Moderator

Date of registration:
May 14th 2010

Version:
Avira Free Antivirus
Avira Antivirus Suite
Avira Internet Security Suite
Avira Internet Security

Operating System:
System of a Down

  • Send private message

4

Tuesday, November 1st 2011, 5:19pm

Olá Wilian,

Por gentileza selecione todos os itens da Quarentena e clique no botão Exportar todas as propriedades (representado por uma seta circular).
Uma janela do Notepad será aberta. Copie e cole o conteúdo desta janela em sua próxima resposta.

Atenciosamente,

Marco
| :: RU | EN | PT-BR | ZH-CN | ZH-TW ::

  • "Wilian" started this thread

Date of registration:
Nov 30th 2010

Operating System:
windows vista

  • Send private message

5

Tuesday, November 1st 2011, 10:48pm

Beleza, taí as informações:

Tipo: Arquivo
Origem: C:\Windows\System32\1314029482\wininit.exe
Status: Infectado
Objeto em quarentena: 4a139b31.qua
Restaurado: NÃO
Enviado para Avira: NÃO
Sistema operacional: Estação de trabalho Windows 2000/XP/VISTA
Mecanismo de busca: 8.02.06.100
Arquivo de definição de vírus: 7.11.16.225
Detecções: É o cavalo de Troia TR/Dropper.Gen
Data/Hora: 01/11/2011, 13:10


Tipo: Arquivo
Origem: C:\Users\Wilian\AppData\Local\Temp\Java Auto Updater.exe
Status: Infectado
Objeto em quarentena: 533a87a0.qua
Restaurado: NÃO
Enviado para Avira: NÃO
Sistema operacional: Estação de trabalho Windows 2000/XP/VISTA
Mecanismo de busca: 8.02.06.100
Arquivo de definição de vírus: 7.11.16.225
Detecções: É o cavalo de Troia TR/Dropper.Gen
Data/Hora: 01/11/2011, 13:09


Tipo: Arquivo
Origem: C:\Windows\system32\drivers\KeyBoardUSB.sys
Status: Infectado
Objeto em quarentena: 00d0ee53.qua
Restaurado: NÃO
Enviado para Avira: NÃO
Sistema operacional: Estação de trabalho Windows 2000/XP/VISTA
Mecanismo de busca: 8.02.06.100
Arquivo de definição de vírus: 7.11.16.225
Detecções: É o cavalo de Troia TR/Spy.Banker.IJO
Data/Hora: 01/11/2011, 13:08

marfabilis

Moderator

Date of registration:
May 14th 2010

Version:
Avira Free Antivirus
Avira Antivirus Suite
Avira Internet Security Suite
Avira Internet Security

Operating System:
System of a Down

  • Send private message

6

Tuesday, November 1st 2011, 11:26pm

Olá Wilian,

Por gentileza faça o download do Malwarebytes' Anti-Malware (MBAM)
  • Inicie a instalação do MBAM dando um duplo clique no instalador e siga normalmente as telas (existe a opção do idioma Português durante a instalação);
  • No final da instalação marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", então clique em Concluir;
  • Marque "Verificação Completa" e depois clique em Verificar;
  • Quando o scan terminar, clique em Ok e em seguida em "Mostrar Resultados" para visualizar o log;
  • Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  • O log é automaticamente gravado e pode ser consultado clicando em "Logs" no menu principal;
  • Copie e cole o conteúdo desse log em seu próximo post.
----------
Faça o download do OTL e salve na área de trabalho:
  • Execute o arquivo como Administrador (dê um clique com o botão direito no arquivo em OTL.exe e escolha como "Executar como Administrador");
  • Marque as opções Verificar Lop, Verificar Purity, Verificar todos os usuários;
  • Em "Exame Extra do Registro" deixe marcado como "Usar Safelist";
  • Em "Exame Padrão do Registro" deixe marcado como "Todos";
  • Em "Data de Criação" deixe marcado como 90 dias;
  • Deixe as outras opções como estão, não altere nada;
  • Selecione as seguintes linhas dentro do "quote", clique com o direito sobre a seleção, e escolha a opção copiar (não copie a palavra Quoted):

    Quoted

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    svchost.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.exe /s
    %APPDATA%\Adobe\Update\*.*
    %APPDATA%\Update\*.*
    %APPDATA%\Microsoft\*.*
    %ALLUSERSPROFILE%\Favorites\*.*
    %ALLUSERSPROFILE%\*.*
    %SYSTEMDRIVE%\*.*
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\Internet Explorer\*.*
    %USERPROFILE%\*.*
    %USERPROFILE%\Local Settings\Temp\*.exe
    %USERPROFILE%\Local Settings\Temp\*.dll
    %USERPROFILE%\Application Data\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\*.exe /90
    %systemroot%\system32\*.cer
    %systemroot%\system32\Cps956lsLk\*.*
    %systemroot%\system32\e06nR4fVZ7\*.*
    %systemroot%\system32\1314029482\*.*
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.dll /90
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\drivers\*.sys /90
    %systemroot%\system32\*.exe /90
    %systemroot%\system32\config\*.sav
    %systemroot%\system32\spool\prtprocs\w32x86\*.*
    %systemroot%\Tasks\*.job /lockedfiles
    CREATERESTOREPOINT
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify /S
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
  • Volte ao programa, clique com o botão direito em qualquer parte branca da sessão "Exames Personalizados/Correções" e escolha colar;
  • Feche todas as janelas abertas de programas e execute a ferramenta;
  • Clique no botão Verificar;
  • Cole os logs "OTL.txt" e "Extras.txt" do OTL no Pastebin.com em New paste;
  • Selecione "1 day" em Post Expiration e clique em "Submit";
  • Ao colar o texto no Pastebin.com e enviar ambos os arquivos, será gerado um endereço (URL);
  • Copie e cole essa URL gerada pelo Pastebin.com no seu próximo post.
----------
Atenciosamente,

Marco
| :: RU | EN | PT-BR | ZH-CN | ZH-TW ::

  • "Wilian" started this thread

Date of registration:
Nov 30th 2010

Operating System:
windows vista

  • Send private message

7

Friday, November 4th 2011, 5:36am

Olá Marco bom dia!

Segue o LOG:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Versão da base de dados: 8057

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01/11/2011 03:21:04
mbam-log-2011-11-01 (03-21-04).txt

Tipo de pesquisa: Completa (C:\|D:\|)
Objectos verificados: 245532
Tempo decorrido: 41 minuto(s), 45 segundo(s)

Processos de memória infectados: 0
módulos de Memória infectados: 0
Chaves do Registo Infectadas: 0
Valores do Registo infectados: 0
Itens de dados do Registo Infectados: 0
Pastas Infectadas: 0
Ficheiros Infectados: 1

Processos de memória infectados:
(Nenhum item malicioso detectado)

módulos de Memória infectados:
(Nenhum item malicioso detectado)

Chaves do Registo Infectadas:
(Nenhum item malicioso detectado)

Valores do Registo infectados:
(Nenhum item malicioso detectado)

Itens de dados do Registo Infectados:
(Nenhum item malicioso detectado)

Pastas Infectadas:
(Nenhum item malicioso detectado)

Ficheiros Infectados:
d:\MPs\garmin mobile xt for windows mobile v.5.00.20w + basemap + support files (no setup, just copy to card)\garmin_keygen_v1.5.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.


OTL pastebin: http://pastebin.com/WBWShUBF

Aguardo instruções.

marfabilis

Moderator

Date of registration:
May 14th 2010

Version:
Avira Free Antivirus
Avira Antivirus Suite
Avira Internet Security Suite
Avira Internet Security

Operating System:
System of a Down

  • Send private message

8

Friday, November 4th 2011, 11:13am

Olá Wilian,

Neste caso foi detectado um keygen na sua máquina e considerando as regras deste fórum, o suporte não poderá ser fornecido a você devido ao uso de softwares ilegais em seu computador.

Quoted

6.3.Uso ilegal do software
Os sistemas operacionais e aplicativos usados de forma ilegal não são permitidos neste Fórum. As cadeias correspondentes serão fechadas e movidas imediatamente.
As mensagem particulares também são proibidas para fornecer qualquer tipo de ajuda. A Avira também reserva-se o direito de tomar medidas legais.
Eu não vou fechar este tópico mas espero que compreenda :)

Atenciosamente,

Marco
| :: RU | EN | PT-BR | ZH-CN | ZH-TW ::