Author Topic: JS:Banker-K Ajuda por favor!!  (Read 26220 times)

0 Members and 1 Guest are viewing this topic.

pedrosd

  • Guest
JS:Banker-K Ajuda por favor!!
« on: April 21, 2011, 07:15:12 PM »
Por favor me ajudem!
Hoje quando fui abrir o Mozilla Firefox, o avast detectou um virus chamado JS:Banker-K, e sempre que abro qualquer navegador, a mensagem de detecção aparece.
Eu acho que o vírus não infectou o computador, porque na mensagem fala que a conexão só foi cortada.

Offline Lisandro

  • Avast team
  • Certainly Bot
  • *
  • Posts: 67194
Re: JS:Banker-K Ajuda por favor!!
« Reply #1 on: April 21, 2011, 07:55:23 PM »
Limpe os arquivos temporários do Firefox e tente novamente.
The best things in life are free.

pedrosd

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #2 on: April 21, 2011, 08:29:36 PM »
Não adiantou, o aleta de vírus continua, e está falando que o objeto é:
http://69.95.58.96/user.dll?Usuario

Pablo Jakelaitis

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #3 on: April 21, 2011, 09:02:32 PM »
Olá,

Tente executar um escaneamento completo do computador, é preferencial o "Escaneamento na Inicialização". agende e reinicie o computador.
Os ítens que forem encontrados, mova-os para quarentena.

Após isso tente entrar no seu navegador, se a mensagem continuar, baixe o Malwarebytes' Antimalware
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

E execute também a verificação completa, mova os itens para quarentena e reinicie o PC, e poste o log aqui

E se mesmo assim continuar o problema, baixe a ferramenta da linha defensiva "BankerFix"
http://www.superdownloads.com.br/download/143/bankerfix/


pedrosd

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #4 on: April 21, 2011, 09:10:58 PM »
Está aqui, um log do Malwarebytes, e depois um do Hijackthis:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versão da Base de Dados:  6414

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/4/2011 15:54:43
mbam-log-2011-04-21 (15-54-43).txt

Tipo de Verificação:  Verificação Rápida
Objetos escaneados:  1
Tempo decorrido: 8 segundo(s)

Processos de Memória Infectados:  0
Módulos de Memória Infectados:  0
Chaves de Registro Infectadas: 0
Valores de Registro Infectados: 0
Itens de Dados no Registro Infectados:  0
Pastas Infectadas:  0
Arquivos Infectados: 0

Processos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:
(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:
(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:
(Não foram detectados ítens maliciosos)

Pastas Infectadas:
(Não foram detectados ítens maliciosos)

Arquivos Infectados:
(Não foram detectados ítens maliciosos)




Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:08:25, on 21/4/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Usuario\Meus documentos\Downloads\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Instalador do ActiveX] C:\DOCUME~1\Usuario\CONFIG~1\Temp\AxInstMS.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [hfrdvvol] C:\Documents and Settings\Usuario\Configurações locais\Dados de aplicativos\gtetef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with &Shareaza - res://C:\Arquivos de programas\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O15 - Trusted Zone: www.bancobrasil.com.br
O15 - Trusted Zone: www14.bancobrasil.com.br
O15 - Trusted Zone: www2.bancobrasil.com.br
O15 - Trusted Zone: www.bb.com.br
O20 - Winlogon Notify:  GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Gbp Service (GbpSv) -   - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6239 bytes

O vírus não invadiu o meu computador, mas sempre que me conecto à internet aparece o aviso de que uma ameaça foi bloqueada, acho que é um vírus de instalação silenciosa e que ele é baixado automaticamente ao conectar a internet, e o objeto infectado é:  http://69.95.58.96/user.dll?Usuario

Pablo Jakelaitis

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #5 on: April 21, 2011, 09:15:45 PM »
Olá, Pedro,

No Malwarebytes, você deve escolher a opção "Verificação Completa", e poste o log do malwarebytes no final da verificação.

Mesmo sendo um vírus de instalação silenciosa, ele tem algum objeto no seu PC que realisa esta modificação, eu suspeito de um Trojan-Banker ou Cavalo de Tróia Bancário, evite acessar o Internet Banking até que se tenha ceteza que o arquio maliciosos tenha sido removido completamente.

pedrosd

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #6 on: April 21, 2011, 09:18:56 PM »
Obrigado pela ajuda até agora Paulo, mas como poderei remover este trojan?
Eu tenho muita experiencia com computadores, mas nunca tive um vírus como este, então não sei o que fazer.

pedrosd

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #7 on: April 21, 2011, 09:27:22 PM »
Eu fiz o seguinte procedimento para saber como o vírus estava se "auto baixando" para meu PC.Eu abri o bloco de notas e digitei:
Quote
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" > C:\look.txt
notepad C:\look.txt
e salvei como FixServices.bat.
O resultado que obti foi:
Quote
! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    User Agent   REG_SZ   Mozilla/4.0 (compatible; MSIE 8.0; Win32)
    IE5_UA_Backup_Flag   REG_SZ   5.0
    NoNetAutodial   REG_DWORD   0x0
    MigrateProxy   REG_DWORD   0x1
    EmailName   REG_SZ   IEUser@
    AutoConfigProxy   REG_SZ   
    MimeExclusionListForCache   REG_SZ   multipart/mixed multipart/x-mixed-replace multipart/x-byteranges
    WarnOnPost   REG_BINARY   01000000
    UseSchannelDirectly   REG_BINARY   01000000
    EnableHttp1_1   REG_DWORD   0x1
    PrivacyAdvanced   REG_DWORD   0x0
    EnableNegotiate   REG_DWORD   0x1
    GlobalUserOffline   REG_DWORD   0x0
    ProxyEnable   REG_DWORD   0x0
    UrlEncoding   REG_DWORD   0x0
    AutoUrl   REG_DWORD   http://69.95.58.96/user.dll?Usuario
    SecureProtocols   REG_DWORD   0xa0
    PrivDiscUiShown   REG_DWORD   0x1
    ZonesSecurityUpgrade   REG_BINARY   A0E59CD54AEACB01
    DisableCachingOfSSLPages   REG_DWORD   0x0
    WarnonZoneCrossing   REG_DWORD   0x0
    ProxyHttp1.1   REG_DWORD   0x0
    WarnonBadCertRecving   REG_DWORD   0x0
    WarnOnIntranet   REG_DWORD   0x0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Passport

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\TemplatePolicies

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

Na AutoUrl eu deletei o valor que era o link, mas o virus continua a se "auto baixar", mas com uma frequencia muito menor.
« Last Edit: April 21, 2011, 09:29:06 PM by pedrosd »

Silk0

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #8 on: April 21, 2011, 09:58:31 PM »
Pedro, sugiro visitar e a criar um tópico em inglês nesta borda: http://forum.avast.com/index.php?board=4.0

De certeza que irá resolver o seu problema lá, já que temos pelo menos 3 especialistas em remoção de malware.

Pablo Jakelaitis

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #9 on: April 21, 2011, 11:01:58 PM »
Olá,

Tente executar a ferramenta BankerFix, da linha defensiva, uma ferramenta criada especialmente para remover trojans bankers.

Baixe e siga as instruções neste link

http://www.linhadefensiva.org/bankerfix/

Qualquer duvida, poste abaixo

IRAN FM

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #10 on: April 23, 2011, 04:58:31 AM »
Tive o mesmo problema no Firefox.
Se a conexão cortada for: (http://windowsproxy.org/win.lac), faça o seguinte:

vá em: Ferramentas/opções/avançado/rede/configurar conexão
e marque a opção: Usar as configurações de proxy do sistema.

Espero que resolva o seu caso!

Cako

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #11 on: June 12, 2011, 11:14:51 PM »
use o spybot search end destroy (anti spyware),avast anti virus e o hijackthis
meu pc estava lotado de virus e as dicas desse blog me ajudaram muito.
http://comosaberfazer.blogspot.com/2008/04/como-retirar-virus-malwares-e-spywares.html
use o hijackthis,é facil de usar.
leia este artigo nesse blog.acho que vai te ajudar .
o hijackthis da uma lista de todos os procesos e o site dele diz quais são virus ou não...
http://comosaberfazer.blogspot.com/2008/04/como-utilizar-o-hijackthis.html
instale o avast antivirus e escanei o boot,assim ele retira o virus da memoria.
para aprender a afazer isso usando o avast leia este artigo.
http://comosaberfazer.blogspot.com/2008/08/como-usar-o-escaner-de-boot-do-avast.html
para usar as opções avançadas do spybot search end destroy leia este artigo.
http://comosaberfazer.blogspot.com/2008/07/como-utilizar-as-opes-avanadas-do.html
procure por mais dicas e informações no blog.
espero ter ajudado!!
« Last Edit: June 12, 2011, 11:33:53 PM by Cako »

portella1988

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #12 on: September 19, 2011, 04:07:47 PM »
Gente a soução é fácil basta fazer uma RESTAURAÇÃO DO SISTEMA pra uma data antes do vírus ter infectado seu pc que sai aqui em casa tava assim toda vez q eu abria o msn o avast alertava desse virus so ocorria isso quando eu tentava entrar no msn depois q restaurei o sistema consigo acessar o msn normal e fazer tudo sem ser alertado pelo avast do JS BANKER foi a unica solução q encontrei

armosfreldon

  • Guest
Re: JS:Banker-K Ajuda por favor!!
« Reply #13 on: September 22, 2011, 01:58:09 PM »
Tive o mesmo problema no Firefox.
Se a conexão cortada for: (http://windowsproxy.org/win.lac), faça o seguinte:

vá em: Ferramentas/opções/avançado/rede/configurar conexão
e marque a opção: Usar as configurações de proxy do sistema.

Espero que resolva o seu caso!

Valeu!!!!!!!!!!!;D , obrigado por compartilhar a informação,o vírus tinha sido removido mas tinha deixado a http dele nas configurações de proxy, eu tava levando em banho maria, já tinha desinstalado e limpado o registro de 1 milhão de coisas mas tava relutante em formatar esse HD, me livrou de ficar acordado por algumas madrugadas e ficar bitolado ao Opera e ao Netscape,  8, muito obrigado mesmo, aqui resolveu 100% :D

Offline Lisandro

  • Avast team
  • Certainly Bot
  • *
  • Posts: 67194
Re: JS:Banker-K Ajuda por favor!!
« Reply #14 on: September 22, 2011, 02:13:21 PM »
This shown that avast cleaning capabilities should increase a lot. Detection is not enough in these cases, we need the final solution.

Isto mostra que as capacidades de limpeza do avast devem melhorar muito. A detecção não é suficiente nestes casos, nós necessitamos de uma solução completa.
The best things in life are free.