Equipe kaspersky , boa tarde
Ontem efetuei a compra de uma licença do KAV 2009 a um cliente.
Depois de fazer vários scans somente o programa Malware Byte encontrou um adware sendo Adware.MyWebSearch.
Efetuei mais um Scan online no site do panda, pois não consegui realizar um scan online no site da Kaspersky, pois sempre quando ia completar o download a maquina reiniciava sozinha.
No site da panda não foi encontrado NENHUM VIRUS. Sendo assim, optei em entrar no forum o qual sou participante a anos e me disseram que necessitava passar o combofix para eliminar as demais infecções que os programas antivirus não removeram.
Segue o link do forum: http://www.babooforum.com.br/forum/Analis-...og-t684545.html
segue os dados do log do hijackthis e Malware byte.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:47, on 22/3/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.Microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.Microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.Microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.Microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GBPLUGIN\gbieh.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARQUIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Estatísticas de proteção de tráfego da web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.Microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.Microsoft.com/windowsupd...b?1201661035781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.Microsoft.com/microsoftupdat...b?1221937101515
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54F314F7-46D0-4602-8DA9-D9958D4B16C3}: NameServer = 200.204.0.10 200.204.0.138
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\ARQUIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARQUIV~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GBPLUGIN\gbieh.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe
--
End of file - 7256 bytes
*******************************
Malwarebytes' Anti-Malware 1.34
Versão do banco de dados: 1885
Windows 5.1.2600 Service Pack 3
22/3/2009 15:53:54
mbam-log-2009-03-22 (15-53-54).txt
Tipo de Verificação: Completa (C:\|D:\|E:\|F:\|G:\|)
Objetos verificados: 107502
Tempo decorrido: 14 minute(s), 44 second(s)
Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 1
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 0
Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)
Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)
Chaves do Registro infectadas:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{014da6c1-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Pastas infectadas:
(Nenhum ítem malicioso foi detectado)
Arquivos infectados:
(Nenhum ítem malicioso foi detectado)
Desde já agradeço pela atenção!
Aguardo o retorno de vocês para resolver o problema da infecção da maquina do meu cliente.
Se possível, gostaria que me enviassem o link para enviar sugestões, pois muitas infecções só são removidas atravéz de ferramentas como combofix e etc. Por que o antivirus da kaspersky não desenvolve esta tecnologia para tornar o softer de remoção de virus mais eficiente????
Full Version: KAV 2009 não removeu Virus apos Scan
Serial.com,
Não existe um programa que detecta 100%.
Na verdade não se trata de um vírus, e sim de um Adware.
Consultando a enciclopédia do Kaspersky, ele detecta várias variantes:
http://www.viruslist.com/en/find?search_mo...amp;x=0&y=0
Abra o KAV e vá em Settings>Threats and exclusions>Settings e verifique se a opção Other programs está marcada.
Você pode enviar as sugestões aqui.
Não existe um programa que detecta 100%.
Na verdade não se trata de um vírus, e sim de um Adware.
Consultando a enciclopédia do Kaspersky, ele detecta várias variantes:
http://www.viruslist.com/en/find?search_mo...amp;x=0&y=0
Abra o KAV e vá em Settings>Threats and exclusions>Settings e verifique se a opção Other programs está marcada.
Você pode enviar as sugestões aqui.
QUOTE(DonKid @ 23.03.2009 14:30) 
Serial.com,
Não existe um programa que detecta 100%.
Na verdade não se trata de um vírus, e sim de um Adware.
Consultando a enciclopédia do Kaspersky, ele detecta várias variantes:
http://www.viruslist.com/en/find?search_mo...amp;x=0&y=0
Abra o KAV e vá em Settings>Threats and exclusions>Settings e verifique se a opção Other programs está marcada.
Você pode enviar as sugestões aqui.
Não existe um programa que detecta 100%.
Na verdade não se trata de um vírus, e sim de um Adware.
Consultando a enciclopédia do Kaspersky, ele detecta várias variantes:
http://www.viruslist.com/en/find?search_mo...amp;x=0&y=0
Abra o KAV e vá em Settings>Threats and exclusions>Settings e verifique se a opção Other programs está marcada.
Você pode enviar as sugestões aqui.
Bom dia DonKid! Td bem?
Concordo que não existe antivirus 100% mas na atualidade incontestavelmente o Kaspersky vem se superando diante da concorrência cada vez mais. Mesmo assim, ferramentas especificas como combofix eliminam um maior numeros de infeccções seja adware, virus e etc... que os antivirus deveriam detectar. Isso é um fato real e não pode ser contestado.
Gostaria de saber se pelo log do hijachthis acima apresentado não há mais nenhuma infecção a ser removida ou seria interessante realmente executar o combofix?
Desde já agradeço pela atenção!
Serial.com
Eu não estou vendo nada de errado com o log.
Se você ainda tem os arquivos detectados pelo Malwarebytes, salve os arquivos da quarentena em uma pasta, e use um programa zip, coloque uma senha e envie esse arquivo para o e-mail: newvirus@kaspersky.com , detalhando o ocorrido e informando a senha deste arquivo.
Tão logo o pessoal do Kaspersky verifique esse arquivo, você receberá um e-mail informando o resultado da análise do arquivo.
Se você ainda tem os arquivos detectados pelo Malwarebytes, salve os arquivos da quarentena em uma pasta, e use um programa zip, coloque uma senha e envie esse arquivo para o e-mail: newvirus@kaspersky.com , detalhando o ocorrido e informando a senha deste arquivo.
Tão logo o pessoal do Kaspersky verifique esse arquivo, você receberá um e-mail informando o resultado da análise do arquivo.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.