Por favor me ajudem!
Hoje quando fui abrir o Mozilla Firefox, o avast detectou um virus chamado JS:Banker-K, e sempre que abro qualquer navegador, a mensagem de detecção aparece.
Eu acho que o vírus não infectou o computador, porque na mensagem fala que a conexão só foi cortada.
Limpe os arquivos temporários do Firefox e tente novamente.
Não adiantou, o aleta de vírus continua, e está falando que o objeto é:
http://69.95.58.96/user.dll?Usuario
Olá,
Tente executar um escaneamento completo do computador, é preferencial o “Escaneamento na Inicialização”. agende e reinicie o computador.
Os ítens que forem encontrados, mova-os para quarentena.
Após isso tente entrar no seu navegador, se a mensagem continuar, baixe o Malwarebytes’ Antimalware
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
E execute também a verificação completa, mova os itens para quarentena e reinicie o PC, e poste o log aqui
E se mesmo assim continuar o problema, baixe a ferramenta da linha defensiva “BankerFix”
http://www.superdownloads.com.br/download/143/bankerfix/
Está aqui, um log do Malwarebytes, e depois um do Hijackthis:
Malwarebytes’ Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versão da Base de Dados: 6414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
21/4/2011 15:54:43
mbam-log-2011-04-21 (15-54-43).txt
Tipo de Verificação: Verificação Rápida
Objetos escaneados: 1
Tempo decorrido: 8 segundo(s)
Processos de Memória Infectados: 0
Módulos de Memória Infectados: 0
Chaves de Registro Infectadas: 0
Valores de Registro Infectados: 0
Itens de Dados no Registro Infectados: 0
Pastas Infectadas: 0
Arquivos Infectados: 0
Processos de Memória Infectados:
(Não foram detectados ítens maliciosos)
Módulos de Memória Infectados:
(Não foram detectados ítens maliciosos)
Chaves de Registro Infectadas:
(Não foram detectados ítens maliciosos)
Valores de Registro Infectados:
(Não foram detectados ítens maliciosos)
Itens de Dados no Registro Infectados:
(Não foram detectados ítens maliciosos)
Pastas Infectadas:
(Não foram detectados ítens maliciosos)
Arquivos Infectados:
(Não foram detectados ítens maliciosos)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:08:25, on 21/4/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Malwarebytes’ Anti-Malware\mbam.exe
C:\Documents and Settings\Usuario\Meus documentos\Downloads\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [Instalador do ActiveX] C:\DOCUME~1\Usuario\CONFIG~1\Temp\AxInstMS.exe
O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [hfrdvvol] C:\Documents and Settings\Usuario\Configurações locais\Dados de aplicativos\gtetef.exe
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-19..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-20..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘SYSTEM’)
O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘Default user’)
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with &Shareaza - res://C:\Arquivos de programas\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O15 - Trusted Zone: www.bancobrasil.com.br
O15 - Trusted Zone: www14.bancobrasil.com.br
O15 - Trusted Zone: www2.bancobrasil.com.br
O15 - Trusted Zone: www.bb.com.br
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
–
End of file - 6239 bytes
O vírus não invadiu o meu computador, mas sempre que me conecto à internet aparece o aviso de que uma ameaça foi bloqueada, acho que é um vírus de instalação silenciosa e que ele é baixado automaticamente ao conectar a internet, e o objeto infectado é: http://69.95.58.96/user.dll?Usuario
Olá, Pedro,
No Malwarebytes, você deve escolher a opção “Verificação Completa”, e poste o log do malwarebytes no final da verificação.
Mesmo sendo um vírus de instalação silenciosa, ele tem algum objeto no seu PC que realisa esta modificação, eu suspeito de um Trojan-Banker ou Cavalo de Tróia Bancário, evite acessar o Internet Banking até que se tenha ceteza que o arquio maliciosos tenha sido removido completamente.
Obrigado pela ajuda até agora Paulo, mas como poderei remover este trojan?
Eu tenho muita experiencia com computadores, mas nunca tive um vírus como este, então não sei o que fazer.
Eu fiz o seguinte procedimento para saber como o vírus estava se “auto baixando” para meu PC.Eu abri o bloco de notas e digitei:
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" > C:\look.txt notepad C:\look.txte salvei como FixServices.bat. O resultado que obti foi:
! REG.EXE VERSION 3.0HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
User Agent REG_SZ Mozilla/4.0 (compatible; MSIE 8.0; Win32)
IE5_UA_Backup_Flag REG_SZ 5.0
NoNetAutodial REG_DWORD 0x0
MigrateProxy REG_DWORD 0x1
EmailName REG_SZ IEUser@
AutoConfigProxy REG_SZ
MimeExclusionListForCache REG_SZ multipart/mixed multipart/x-mixed-replace multipart/x-byteranges
WarnOnPost REG_BINARY 01000000
UseSchannelDirectly REG_BINARY 01000000
EnableHttp1_1 REG_DWORD 0x1
PrivacyAdvanced REG_DWORD 0x0
EnableNegotiate REG_DWORD 0x1
GlobalUserOffline REG_DWORD 0x0
ProxyEnable REG_DWORD 0x0
UrlEncoding REG_DWORD 0x0
AutoUrl REG_DWORD http://69.95.58.96/user.dll?Usuario
SecureProtocols REG_DWORD 0xa0
PrivDiscUiShown REG_DWORD 0x1
ZonesSecurityUpgrade REG_BINARY A0E59CD54AEACB01
DisableCachingOfSSLPages REG_DWORD 0x0
WarnonZoneCrossing REG_DWORD 0x0
ProxyHttp1.1 REG_DWORD 0x0
WarnonBadCertRecving REG_DWORD 0x0
WarnOnIntranet REG_DWORD 0x0HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Passport
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\TemplatePolicies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
Na AutoUrl eu deletei o valor que era o link, mas o virus continua a se “auto baixar”, mas com uma frequencia muito menor.
Pedro, sugiro visitar e a criar um tópico em inglês nesta borda: http://forum.avast.com/index.php?board=4.0
De certeza que irá resolver o seu problema lá, já que temos pelo menos 3 especialistas em remoção de malware.
Olá,
Tente executar a ferramenta BankerFix, da linha defensiva, uma ferramenta criada especialmente para remover trojans bankers.
Baixe e siga as instruções neste link
http://www.linhadefensiva.org/bankerfix/
Qualquer duvida, poste abaixo
Tive o mesmo problema no Firefox.
Se a conexão cortada for: (http://windowsproxy.org/win.lac), faça o seguinte:
vá em: Ferramentas/opções/avançado/rede/configurar conexão
e marque a opção: Usar as configurações de proxy do sistema.
Espero que resolva o seu caso!
use o spybot search end destroy (anti spyware),avast anti virus e o hijackthis
meu pc estava lotado de virus e as dicas desse blog me ajudaram muito.
http://comosaberfazer.blogspot.com/2008/04/como-retirar-virus-malwares-e-spywares.html
use o hijackthis,é facil de usar.
leia este artigo nesse blog.acho que vai te ajudar .
o hijackthis da uma lista de todos os procesos e o site dele diz quais são virus ou não…
http://comosaberfazer.blogspot.com/2008/04/como-utilizar-o-hijackthis.html
instale o avast antivirus e escanei o boot,assim ele retira o virus da memoria.
para aprender a afazer isso usando o avast leia este artigo.
http://comosaberfazer.blogspot.com/2008/08/como-usar-o-escaner-de-boot-do-avast.html
para usar as opções avançadas do spybot search end destroy leia este artigo.
http://comosaberfazer.blogspot.com/2008/07/como-utilizar-as-opes-avanadas-do.html
procure por mais dicas e informações no blog.
espero ter ajudado!!
Gente a soução é fácil basta fazer uma RESTAURAÇÃO DO SISTEMA pra uma data antes do vírus ter infectado seu pc que sai aqui em casa tava assim toda vez q eu abria o msn o avast alertava desse virus so ocorria isso quando eu tentava entrar no msn depois q restaurei o sistema consigo acessar o msn normal e fazer tudo sem ser alertado pelo avast do JS BANKER foi a unica solução q encontrei
Valeu!!!;D , obrigado por compartilhar a informação,o vírus tinha sido removido mas tinha deixado a http dele nas configurações de proxy, eu tava levando em banho maria, já tinha desinstalado e limpado o registro de 1 milhão de coisas mas tava relutante em formatar esse HD, me livrou de ficar acordado por algumas madrugadas e ficar bitolado ao Opera e ao Netscape, 8, muito obrigado mesmo, aqui resolveu 100%
This shown that avast cleaning capabilities should increase a lot. Detection is not enough in these cases, we need the final solution.
Isto mostra que as capacidades de limpeza do avast devem melhorar muito. A detecção não é suficiente nestes casos, nós necessitamos de uma solução completa.
Só pra constar, o vírus era js:banker-w e a url maliciosa infelizmente esquecí de anotar, mas era com terminação .pac e além de retornar às configurações de proxy do sistema, eu apaguei manualmente o endereço maldito.
De qualquer modo, agradeço mais uma vez, parabéns por compartilhar o seu conhecimento, porque essa informação eu não encontrei em lugar nenhum da net e tenho certeza que vai ajudar muita gente, IRAN FM, valeu cara!!!