Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
juniorsobreira

Analise de log HD com arquivos temporarios

Recommended Posts

Estou postando o log pois ja postei uma duvida sobre meu computador, sendo que toda vez que entro na pagina da internet, arquivos com tamanho de 34,7 MB sao gerados na minha pasta temp ou seja pra ser mais exato C:\Documents and Settings\Administrador\Configurações locais\temp logo entrando sempre na internet e consequentemente nas paginas da Web meu computador vai ficando com o HD lotado e consequentemente travando o por falta de espaço no HD

então desejo que alguem me apresente uma solução se existe algo errado com meu pc

Grato pela atençao abraços

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:24, on 2009-09-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Documents and Settings\Administrador\Meus documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBBC9850-CE79-46CE-B00D-47581A6C131C}: NameServer = 200.204.0.138 200.204.0.10

O20 - AppInit_DLLs:

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 5907 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites
diego_moicano    472

Caro juniorsobreira

Desculpe-nos pela demora, mas se ainda precisa de ajuda, por favor faça novos logs de acordo com este tópico:

Leia Antes de Postar - Criando um novo Tópico

ATENÇÃO: Não precisa abrir um novo tópico, coloque os novos logs neste mesmo tópico, obrigado!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
juniorsobreira    0
  • Autor do tópico
  • :wacko: então caro amigo aqui esta o log do topico atual, so abri outro topico porque havia recebido uma mensagem privada do seu amigo "RenadoMejias" dizendo que este topico havia sido excluido, mas estou fazendo como voce disse, afinal se tivesse sido excluido nao estaria mais aqui, desculpe e obrigado pela informação. Espero que voce solucione meu problema e veja se existe algum virus ou problema com a minha maquina haja vista que esse problema de arquivos temporarios sempre acontece quando entro em qualquer pagina da internet e com isso ele vai criando os arquivos que descrevo abaixo.

    (mensagem do topico atual)

    Já postei meu log anteriormente mas meu topico foi excluido haja vista nao esta de acordo com os programas por vocês recomendados apos ler o as intruçoes para postar os logs e abrir um novo topico aprendi como fazer e segue abaixo a minha duvida conjuntamente com os logs requeridos por vocês.

    Achei que na minha pasta temp cujo endereço é C:\Documents and Settings\Administrador\Configurações locais\temp

    varios arquivos ocultos com tamanhos de 34,7 MB, suponho eu ser um virus, ele vai criando e criando varios desses arquivos ate encher meu HD e praticamente travar a maquina e eu nao consigo pega-lo com o meu antivirus avast atualizadissimo, mas so resolvi o problema parcialente pois tenho que ficar apagando esses arquivos criados por esse virus cujos nomes sao BITDA.tmp, BIT4E.tmp, BIT2F.tmp, BIT6B.tmp

    Por favor alguem solucione meu problema com algum programa pra eliminar esse possivel virus ou praga

    Agradeço desde Já a colaboraçao de todos

    ABAIXO SEGUEM OS LOGS DETALHE O DDS GEROU DOIS LOGS ESTOU POSTANDO PORTANTO 2 LOGS DO DDS E UM DO GMER

    DDS (Ver_09-09-29.01) - FAT32x86

    Run by Administrador at 15:01:32.64 on 2009-09-29

    Internet Explorer: 8.0.6001.18702

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.311.57 [GMT -3:00]

    AV: avast! antivirus 4.8.1351 [VPS 090928-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch

    SVCHOST.EXE

    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SVCHOST.EXE

    SVCHOST.EXE

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\Explorer.EXE

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\slserv.exe

    C:\WINDOWS\System32\svchost.exe -k imgsvc

    C:\Documents and Settings\Administrador\Desktop\iexplore.exe

    C:\Documents and Settings\Administrador\Desktop\iexplore.exe

    C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

    C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

    C:\Documents and Settings\Administrador\Desktop\dds.scr

    ============== Pseudo HJT Report ===============

    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

    BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\adobe\acrobat 7.0\activex\AcroIEHelper.dll

    BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

    BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre1.6.0_06\bin\ssv.dll

    BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

    BHO: ST: {9394ede7-c8b5-483e-8773-474bf36af6e4} - c:\arquivos de programas\msn apps\st\01.03.0000.1005\en-xu\stmain.dll

    BHO: MSNToolBandBHO: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\msn apps\msn toolbar\01.02.5000.1021\pt-br\msntb.dll

    TB: MSN: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\msn apps\msn toolbar\01.02.5000.1021\pt-br\msntb.dll

    EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File

    uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

    uRun: [updateMgr] c:\arquivos de programas\adobe\acrobat 7.0\reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

    mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

    mRun: [uSRpdA] c:\windows\system32\usrmlnka.exe runservices \device\3cpipe-USRpdA

    mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre1.6.0_06\bin\jusched.exe"

    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

    mPolicies-system: EnableLUA = 0 (0x0)

    IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office10\EXCEL.EXE/3000

    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

    IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC} - c:\arquivos de programas\java\jre1.6.0_06\bin\ssv.dll

    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

    DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} - hxxp://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

    DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

    TCP: {BBBC9850-CE79-46CE-B00D-47581A6C131C} = 200.204.0.138 200.204.0.10

    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

    ============= SERVICES / DRIVERS ===============

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [2009-9-24 28544]

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-4-6 114768]

    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [2008-4-6 20560]

    R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2007-8-28 138680]

    R3 SiSV6306;SiSV6306;c:\windows\system32\drivers\SiS6 306p.sys [2006-7-2 68608]

    R3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.s ys [2001-11-29 1432836]

    S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2007-8-28 254040]

    S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2007-8-28 352920]

    S3 NtApm;NT Apm/Legacy Interface Driver;c:\windows\system32\drivers\NtApm.sys [2006-7-2 9472]

    S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2009-4-25 83496]

    S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2009-4-25 15016]

    S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2009-4-25 109992]

    S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2009-4-25 103976]

    S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2009-4-25 100008]

    =============== Created Last 30 ================

    2009-09-24 11:55 28,544 a------- c:\windows\system32\drivers\pavboot.sys

    2009-09-24 11:55 <DIR> --d----- c:\arquivos de programas\Panda Security

    2009-09-19 12:23 <DIR> --d----- c:\arquivos de programas\Microsoft

    2009-09-19 12:22 <DIR> --d----- c:\arquivos de programas\Windows Live SkyDrive

    2009-09-17 11:01 <DIR> --d----- c:\arquivos de programas\arquivos comuns\Windows Live

    2009-09-17 10:24 <DIR> --d----- c:\documents and settings\administrador\Tracing

    2009-09-17 09:41 <DIR> --dsh--- c:\documents and settings\administrador\PrivacIE

    2009-09-17 09:37 <DIR> --dsh--- c:\documents and settings\administrador\IETldCache

    2009-09-17 09:26 <DIR> --d-h--- c:\windows\ie8

    2009-09-16 15:40 200,704 a------- c:\windows\system32\vbalExpBar6.ocx

    2009-09-16 15:40 139,264 a------- c:\windows\system32\vbSendMail.dll

    2009-09-16 15:40 94,208 a------- c:\windows\system32\vbalIml6.ocx

    2009-09-16 15:40 86,016 a------- c:\windows\system32\CS.ocx

    2009-09-16 15:40 40,960 a------- c:\windows\system32\SSubTmr6.dll

    2009-09-16 15:40 115,016 a------- c:\windows\system32\MSINET.OCX

    2009-09-16 15:40 109,248 a------- c:\windows\system32\MSWINSCK.OCX

    2009-09-16 15:40 <DIR> --dsh--- c:\windows\system32\imgrdir

    ==================== Find3M ====================

    2009-07-26 16:44 48,448 a------- c:\windows\system32\sirenacm.dll

    1999-04-01 14:53 99,840 a------- c:\arquivos de programas\arquivos comuns\IRAABOUT.DLL

    1998-12-09 00:53 186,368 a------- c:\arquivos de programas\arquivos comuns\IRAREG.DLL

    1998-12-09 00:53 70,144 a------- c:\arquivos de programas\arquivos comuns\IRAMDMTR.DLL

    1998-12-09 00:53 48,640 a------- c:\arquivos de programas\arquivos comuns\IRALPTTR.DLL

    1998-12-09 00:53 31,744 a------- c:\arquivos de programas\arquivos comuns\IRAWEBTR.DLL

    1998-12-09 00:53 17,920 a------- c:\arquivos de programas\arquivos comuns\IRASRIAL.DLL

    ============= FINISH: 15:02:56.71 ===============

    UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

    IF REQUESTED, ZIP IT UP & ATTACH IT

    DDS (Ver_09-09-29.01)

    Microsoft Windows XP Professional

    Boot Device: \Device\HarddiskVolume1

    Install Date: 2006-07-02 05:09:43

    System Uptime: 2009-09-29 12:47:02 (3 hours ago)

    Motherboard: PCCHIPS | | M748LMRT

    Processor: Processador Intel Pentium III | Slot-1 | 551/100mhz

    ==== Disk Partitions =========================

    A: is Removable

    C: is FIXED (FAT32) - 10 GiB total, 2.199 GiB free.

    D: is CDROM (CDFS)

    ==== Disabled Device Manager Items =============

    Class GUID: {D45B1C18-C8FA-11D1-9F77-0000F805F530}

    Description: NT Apm/Legacy Interface Node

    Device ID: ROOT\NTAPM\0000

    Manufacturer: Microsoft

    Name: NT Apm/Legacy Interface Node

    PNP Device ID: ROOT\NTAPM\0000

    Service: NtApm

    ==== System Restore Points ===================

    RP31: 2009-09-17 09:29:44 - Windows Internet Explorer 8 Instalado.

    RP32: 2009-09-17 10:22:36 - Installed Windows Live Messenger

    RP33: 2009-09-17 10:56:54 - Windows Installer KB893803v2 instalado.

    RP34: 2009-09-18 17:36:10 - Removed Windows Live Messenger

    RP35: 2009-09-21 16:12:44 - Ponto de verificação do sistema

    ==== Installed Programs ======================

    Adobe Flash Player 10 ActiveX

    Adobe Reader 7.0.5 - Português

    Arquivo do WinRAR

    Assistente de Conexão do Windows Live

    avast! Antivirus

    Barra de Ferramentas MSN

    Discador iTelefonica

    Ferramenta de Carregamento do Windows Live

    HijackThis 2.0.2

    Hotfix for Windows XP (KB915865)

    Hotfix for Windows XP (KB926239)

    HSP56 Modem Drivers

    Ink

    Java 6 Update 6

    Juris Síntese Millennium

    K-Lite Codec Pack 2.42 Full

    LimeWire 4.18.3

    Microsoft Application Error Reporting

    Microsoft Choice Guard

    Microsoft Internationalized Domain Names Mitigation APIs

    Microsoft National Language Support Downlevel APIs

    Microsoft Office 2000 Premium

    MSVCRT

    Nero 6 Ultra Edition

    NetoDragon 56K Voice Modem

    Panda ActiveScan 2.0

    PCI Audio Driver

    PowerDVD

    Segoe UI

    TuneUp Utilities 2006

    WebFldrs XP

    Windows Installer 3.1 (KB893803)

    Windows Internet Explorer 7

    Windows Internet Explorer 8

    Windows Live Call

    Windows Live Communications Platform

    Windows Live Essentials

    Windows Live Messenger

    Windows Media Format 11 runtime

    Windows Media Player 11

    Windows XP Service Pack 2

    ==== End Of File ===========================

    GMER 1.0.15.15087 - http://www.gmer.net

    Rootkit scan 2009-09-29 15:37:56

    Windows 5.1.2600 Service Pack 2

    Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\awpdiaow.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF40B36B8]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF40B3574]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF40B3A52]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF40B314C]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF40B364E]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF40B308C]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF40B30F0]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF40B376E]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF40B372E]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF40B38AE]

    ---- Kernel code sections - GMER 1.0.15 ----

    ? System32\Drivers\hiber_WMILIB.SYS O sistema não pode encontrar o caminho especificado. !

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[560] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002

    IAT C:\WINDOWS\system32\services.exe[560] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

    ---- EOF - GMER 1.0.15 ----

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    Etapa nº 1 #

    Abra o Bloco de Notas, copie (CTRL + C) e copie (CTRL + V) o texto que abaixo está no "CODE":

    @echo off
    dir /a c:\windows\system32\imgrdir > C:\dirlook.txt
    notepad C:\dirlook.txt
    del C:\dirlook.txt
    del dirlook.bat

    • Vá em arquivo e salvar como
    • Em salvar como tipo escolha todos os arquivos.
    • Dê o nome de dirlook.bat
    • Ficará um ícone como este 4qhg48p.jpg
    • Clique duas vezes em dirlook.bat e deixe ser executado.
    • Abrirá uma janela do prompt e logo em seguida um texto (dirlook.txt).
    • Copie todo conteúdo e poste em sua próxima resposta.

    Atenção: Se ao fechar o arquivo de texto (dirlook.txt) o dirlook.bat irá ser deletado automaticamente, por isso recomendo fazer este procedimento com este tópico já aberto.

    Etapa nº 2 #

    Leia as instruções contidas neste link:

    Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

    1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

    [*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

    • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
    • Clique em "OK" ao EULA.
    • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

    [*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

    NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

    NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

    • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
    • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
    • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • O volume na unidade C ‚ JUNIOR

    O n£mero de s‚rie do volume ‚ 1B2C-12E1

    Pasta de c:\windows\system32\imgrdir

    2009-09-16 15:40 <DIR> .

    2009-09-16 15:40 <DIR> ..

    2009-09-16 15:40 <DIR> iData

    2009-09-16 15:51 172 Config.ini

    1 arquivo(s) 172 bytes

    3 pasta(s) 3,796,926,464 bytes dispon¡veis

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • ComboFix 09-09-30.06 - Administrador 2009-10-01 12:15.2.1 - FAT32x86

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.311.50 [GMT -3:00]

    Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

    AV: avast! antivirus 4.8.1351 [VPS 090928-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    .

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Internet Explorer\Quick Launch\avast! Antivirus.lnk

    c:\windows\Fonts\acrsec.fon

    c:\windows\Installer\2a290f.msi

    c:\windows\system32\ahxZmBObo.SYS

    .

    (((((((((((((((( Arquivos/Ficheiros criados de 2009-09-01 to 2009-10-01 ))))))))))))))))))))))))))))

    .

    2009-09-24 14:55 . 2008-06-19 20:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

    2009-09-24 14:55 . 2009-09-24 14:55 -------- d-----w- c:\arquivos de programas\Panda Security

    2009-09-19 15:23 . 2009-09-19 15:23 -------- d-----w- c:\arquivos de programas\Microsoft

    2009-09-19 15:22 . 2009-09-19 15:22 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

    2009-09-19 15:20 . 2009-09-19 15:20 -------- d-----w- c:\arquivos de programas\Windows Live

    2009-09-17 14:01 . 2009-09-17 14:01 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

    2009-09-17 13:24 . 2009-09-17 13:24 -------- d-----w- c:\documents and settings\Administrador\Tracing

    2009-09-17 12:41 . 2009-09-17 12:41 -------- d-sh--w- c:\documents and settings\Administrador\PrivacIE

    2009-09-17 12:37 . 2009-09-17 12:37 -------- d-sh--w- c:\documents and settings\Administrador\IETldCache

    2009-09-17 12:26 . 2009-09-17 12:26 -------- d--h--w- c:\windows\ie8

    2009-09-16 18:40 . 2006-11-10 18:28 139264 ----a-w- c:\windows\system32\vbSendMail.dll

    2009-09-16 18:40 . 2003-01-26 17:41 40960 ----a-w- c:\windows\system32\SSubTmr6.dll

    2009-09-16 18:40 . 2009-09-16 18:40 -------- d-sh--w- c:\windows\system32\imgrdir

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2009-08-17 16:10 . 2007-08-28 22:28 1279456 ----a-w- c:\windows\system32\aswBoot.exe

    2009-08-17 16:06 . 2007-08-28 22:28 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys

    2009-08-17 16:06 . 2007-08-28 22:28 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

    2009-08-17 16:05 . 2008-04-06 20:04 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

    2009-08-17 16:05 . 2008-04-06 20:04 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

    2009-08-17 16:04 . 2007-08-28 22:28 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys

    2009-08-17 16:04 . 2007-08-28 22:28 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys

    2009-08-17 16:03 . 2007-08-28 22:28 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys

    2009-08-17 16:02 . 2007-08-28 22:28 97480 ----a-w- c:\windows\system32\AvastSS.scr

    2009-07-26 19:44 . 2009-07-26 19:44 48448 ----a-w- c:\windows\system32\sirenacm.dll

    1999-04-01 17:53 . 1999-04-01 17:53 99840 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAABOUT.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 70144 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAMDMTR.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 48640 ----a-w- c:\arquivos de programas\Arquivos comuns\IRALPTTR.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 31744 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAWEBTR.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 186368 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAREG.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 17920 ----a-w- c:\arquivos de programas\Arquivos comuns\IRASRIAL.DLL

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    *Nota* entradas vazias e legítimas por defeito não são mostradas.

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "updateMgr"="c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 307200]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

    "USRpdA"="c:\windows\SYSTEM32\USRmlnkA.exe" [2001-10-28 77891]

    "SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

    BootExecute REG_MULTI_SZ autocheck autochk *\0ahxZmBObo

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]

    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

    "c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

    "c:\\WINDOWS\\system32\\sessmgr.exe"=

    "c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-09-24 28544]

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-06 114768]

    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-06 20560]

    R3 SiSV6306;SiSV6306;c:\windows\system32\drivers\SiS6306p.sys [2006-07-02 68608]

    R3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2001-11-29 1432836]

    S3 NtApm;NT Apm/Legacy Interface Driver;c:\windows\system32\drivers\NtApm.sys [2006-07-02 9472]

    S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2009-04-25 83496]

    S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2009-04-25 15016]

    S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2009-04-25 109992]

    S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2009-04-25 103976]

    S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2009-04-25 100008]

    --- =Outros Serviços/Drivers Na Memória ---

    *NewlyCreated* - AWPDIAOW

    *Deregistered* - awpdiaow

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

    "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

    .

    Conteúdo da pasta 'Tarefas Agendadas'

    2009-09-25 c:\windows\Tasks\1-Click Maintenance.job

    - c:\arquivos de programas\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-22 01:35]

    .

    .

    ------- Scan Suplementar -------

    .

    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

    IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office10\EXCEL.EXE/3000

    TCP: {BBBC9850-CE79-46CE-B00D-47581A6C131C} = 200.204.0.138 200.204.0.10

    .

    - - - - ORFÃOS REMOVIDOS - - - -

    AddRemove-DiscadorCompitelefonica - c:\arquivos de programas\Discador itelefonica\DiscadorCompitelefonica u

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2009-10-01 12:30

    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    Procurando ficheiros/arquivos ocultos ...

    Varredura completada com sucesso

    arquivos/ficheiros ocultos: 0

    **************************************************************************

    .

    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Internet Explorer\User Preferences]

    @Denied: (2) (Administrator)

    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a9,1f,1d,4c,ee,ff,d0,43,90,a8,a9,\

    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a9,1f,1d,4c,ee,ff,d0,43,90,a8,a9,\

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*½*~*‘%\OpenWithList]

    @Class="Shell"

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%{*%]

    @Class="Shell"

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%{*%\OpenWithList]

    @Class="Shell"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

    @Denied: (A 2) (Everyone)

    @="FlashBroker"

    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

    @Denied: (A 2) (Everyone)

    @="IFlashBroker3"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]

    @Denied: (Full) (LocalSystem)

    "OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd

    .

    Tempo para conclusão: 2009-10-01 12:35

    ComboFix-quarantined-files.txt 2009-10-01 15:35

    ComboFix2.txt 2008-08-28 17:09

    Pré-execução: 2,921,652,224 bytes disponíveis

    Pós execução: 3,926,736,896 bytes disponíveis

    WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

    [boot loader]

    timeout=2

    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

    [operating systems]

    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

    C:\="Microsoft Windows"

    Current=3 Default=3 Failed=1 LastKnownGood=2 Sets=1,2,3,4

    163

    *Detalhe caro amigo, deixei o combofix executar conforme as especificaçoes sem mexer no teclado ou no mouse ele gerou o log, mas o pc ficou mais de 30 minutos e nao reiniciou como estava dizendo, então eu mesmo reiniciei e outra entrei na internet e como ja havia exposto o meu problema se o combofix era pra remover tal virus, nao o fez porque como eu ia dizendo entrei na pasta C:\Documents and Settings\Administrador\Configurações locais\temp e ainda continuam a serem criados arquivos temporarios ocultos nessa pasta citada cujos nomes de arquivo ja citei e outro deltalhe meu pc ficou muito lento quando entro nas paginas da internet

    obrigado pela atençao e pela dedicaçao espero que resolva meu problema

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

    Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":

    Dirlook::
    c:\windows\system32\imgrdir\iData

    RegLock::
    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Internet Explorer\User Preferences]

    Salve este arquivo como: CFScript.txt

    2872959479_997d4500c4_o.gif

    Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe. Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • ComboFix 09-09-30.06 - Administrador 2009-10-01 16:21.3.1 - FAT32x86

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.311.59 [GMT -3:00]

    Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

    Comandos utilizados :: c:\documents and settings\Administrador\Desktop\CFScript.txt

    AV: avast! antivirus 4.8.1351 [VPS 090928-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    .

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    c:\documents and settings\Administrador\Meus documentos\iexplore.exe

    .

    (((((((((((((((( Arquivos/Ficheiros criados de 2009-09-01 to 2009-10-01 ))))))))))))))))))))))))))))

    .

    2009-09-24 14:55 . 2008-06-19 20:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

    2009-09-24 14:55 . 2009-09-24 14:55 -------- d-----w- c:\arquivos de programas\Panda Security

    2009-09-19 15:23 . 2009-09-19 15:23 -------- d-----w- c:\arquivos de programas\Microsoft

    2009-09-19 15:22 . 2009-09-19 15:22 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

    2009-09-19 15:20 . 2009-09-19 15:20 -------- d-----w- c:\arquivos de programas\Windows Live

    2009-09-17 14:01 . 2009-09-17 14:01 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

    2009-09-17 13:24 . 2009-09-17 13:24 -------- d-----w- c:\documents and settings\Administrador\Tracing

    2009-09-17 12:41 . 2009-09-17 12:41 -------- d-sh--w- c:\documents and settings\Administrador\PrivacIE

    2009-09-17 12:37 . 2009-09-17 12:37 -------- d-sh--w- c:\documents and settings\Administrador\IETldCache

    2009-09-17 12:26 . 2009-09-17 12:26 -------- d--h--w- c:\windows\ie8

    2009-09-16 18:40 . 2006-11-10 18:28 139264 ----a-w- c:\windows\system32\vbSendMail.dll

    2009-09-16 18:40 . 2003-01-26 17:41 40960 ----a-w- c:\windows\system32\SSubTmr6.dll

    2009-09-16 18:40 . 2009-09-16 18:40 -------- d-sh--w- c:\windows\system32\imgrdir

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2009-08-17 16:10 . 2007-08-28 22:28 1279456 ----a-w- c:\windows\system32\aswBoot.exe

    2009-08-17 16:06 . 2007-08-28 22:28 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys

    2009-08-17 16:06 . 2007-08-28 22:28 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

    2009-08-17 16:05 . 2008-04-06 20:04 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

    2009-08-17 16:05 . 2008-04-06 20:04 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

    2009-08-17 16:04 . 2007-08-28 22:28 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys

    2009-08-17 16:04 . 2007-08-28 22:28 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys

    2009-08-17 16:03 . 2007-08-28 22:28 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys

    2009-08-17 16:02 . 2007-08-28 22:28 97480 ----a-w- c:\windows\system32\AvastSS.scr

    2009-07-26 19:44 . 2009-07-26 19:44 48448 ----a-w- c:\windows\system32\sirenacm.dll

    1999-04-01 17:53 . 1999-04-01 17:53 99840 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAABOUT.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 70144 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAMDMTR.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 48640 ----a-w- c:\arquivos de programas\Arquivos comuns\IRALPTTR.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 31744 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAWEBTR.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 186368 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAREG.DLL

    1998-12-09 03:53 . 1998-12-09 03:53 17920 ----a-w- c:\arquivos de programas\Arquivos comuns\IRASRIAL.DLL

    .

    (((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    ---- Directory of c:\windows\system32\imgrdir\iData ----

    2009-09-16 18:43 . 2009-09-16 18:54 0 ----a-w- c:\windows\system32\imgrdir\iData\Data.msn

    2009-09-16 18:43 . 2009-09-16 18:45 0 ----a-w- c:\windows\system32\imgrdir\iData\sMail.mesmo

    2009-09-16 18:42 . 2009-09-16 18:54 876 ----a-w- c:\windows\system32\imgrdir\iData\Users.mesmo

    ((((((((((((((((((((((((((((( SnapShot@2009-10-01_15.30.51 )))))))))))))))))))))))))))))))))))))))))

    .

    + 2009-10-01 18:47 . 2009-10-01 18:47 16384 c:\windows\temp\Perflib_Perfdata_4d0.dat

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    *Nota* entradas vazias e legítimas por defeito não são mostradas.

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "updateMgr"="c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 307200]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

    "USRpdA"="c:\windows\SYSTEM32\USRmlnkA.exe" [2001-10-28 77891]

    "SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

    BootExecute REG_MULTI_SZ autocheck autochk *\0ahxZmBObo

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]

    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

    "c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

    "c:\\WINDOWS\\system32\\sessmgr.exe"=

    "c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-09-24 28544]

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-06 114768]

    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-06 20560]

    R3 SiSV6306;SiSV6306;c:\windows\system32\drivers\SiS6306p.sys [2006-07-02 68608]

    S3 NtApm;NT Apm/Legacy Interface Driver;c:\windows\system32\drivers\NtApm.sys [2006-07-02 9472]

    S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2009-04-25 83496]

    S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2009-04-25 15016]

    S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2009-04-25 109992]

    S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2009-04-25 103976]

    S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2009-04-25 100008]

    S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2001-11-29 1432836]

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

    "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

    .

    Conteúdo da pasta 'Tarefas Agendadas'

    2009-09-25 c:\windows\Tasks\1-Click Maintenance.job

    - c:\arquivos de programas\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-22 01:35]

    .

    .

    ------- Scan Suplementar -------

    .

    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

    IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office10\EXCEL.EXE/3000

    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2009-10-01 16:34

    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    Procurando ficheiros/arquivos ocultos ...

    Varredura completada com sucesso

    arquivos/ficheiros ocultos: 0

    **************************************************************************

    .

    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*½*~*‘%\OpenWithList]

    @Class="Shell"

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%{*%]

    @Class="Shell"

    [HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%{*%\OpenWithList]

    @Class="Shell"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

    @Denied: (A 2) (Everyone)

    @="FlashBroker"

    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

    @Denied: (A 2) (Everyone)

    @="IFlashBroker3"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]

    @Denied: (Full) (LocalSystem)

    "OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd

    .

    Tempo para conclusão: 2009-10-01 16:39

    ComboFix-quarantined-files.txt 2009-10-01 19:39

    ComboFix2.txt 2009-10-01 15:35

    ComboFix3.txt 2008-08-28 17:09

    Pré-execução: 3,638,534,144 bytes disponíveis

    Pós execução: 3,900,932,096 bytes disponíveis

    Current=3 Default=3 Failed=1 LastKnownGood=2 Sets=1,2,3,4

    152

    :wacko:Caro amigo nao sei se é importante mas notei que os arquivos temporarios sao criados nao quando entro nas paginas da internet, mas assim que me conecto e devo lembrar que minha internet é discada (rede dial up) isso claro se essa ressalva tiver alguma coisa relevante, Já que voce analisa os logs e nao o que eu constato, assim penso eu, e desculpe a demora nas respostas, agradeço muito pela colaboraçao e o tempo dedicado, mas ainda meu problema persiste.... espero que você me encontre uma solução...abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    Já que voce analisa os logs e nao o que eu constato, assim penso eu
    Sempre é bom o usuário nos manter informado :)

    Abra o Bloco de Notas, copie (CTRL + C) e copie (CTRL + V) o texto que abaixo está no "CODE":

    @echo off
    dir /a C:\Documents and Settings\Administrador\Configurações locais\temp > C:\dirlook.txt
    notepad C:\dirlook.txt
    del C:\dirlook.txt
    del dirlook.bat

    • Vá em arquivo e salvar como
    • Em salvar como tipo escolha todos os arquivos.
    • Dê o nome de dirlook.bat
    • Ficará um ícone como este 4qhg48p.jpg
    • Clique duas vezes em dirlook.bat e deixe ser executado.
    • Abrirá uma janela do prompt e logo em seguida um texto (dirlook.txt).
    • Copie todo conteúdo e poste em sua próxima resposta.

    Atenção: Se ao fechar o arquivo de texto (dirlook.txt) o dirlook.bat irá ser deletado automaticamente, por isso recomendo fazer este procedimento com este tópico já aberto.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • Caro amigo desculpe qualquer coisa nao sabia que o que dizia tambem fazia muita diferença achei que somente os logs que tinham mais valor

    Caro amigo nao consegui fazer o que você me disse fiz o procedimentos do dirlook e tal como você disse e outra eu ja tinha feito da outra vez mas com comandos diferentes ocorre que apareceu o seguinte (observe a figura anexa dirlook nao aparece)

    Outra coisa que constatei foi que em meu pc existem duas pastas configurações Locais (1. Configurações locais, 2. Configuraþ§es locais) (figura também em anexo)

    Vi que a finalidade do dirlook serve pra ver o que tem nas pastas então tb estou anexando o que tem na pasta temp sendo que é a pasta que estão aparecendo os arquivos temporarios e as pastas avast 4 e wpdnse estão vazias, espero que tenha ajudado a esclarecer algo e voce possa me ajudar a solucionar esse problemao obrigado e desculpe de novo qualquer coisa

    post-613546-13884953200281_thumb.jpg

    post-613546-13884953200771_thumb.jpg

    post-613546-1388495320125_thumb.jpg

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    Outra coisa que constatei foi que em meu pc existem duas pastas configurações Locais (1. Configurações locais, 2. Configuraþ§es locais) (figura também em anexo)
    Normal...
    Vi que a finalidade do dirlook serve pra ver o que tem nas pastas então tb estou anexando o que tem na pasta temp sendo que é a pasta que estão aparecendo os arquivos temporarios e as pastas avast 4 e wpdnse estão vazias, espero que tenha ajudado a esclarecer algo e voce possa me ajudar a solucionar esse problemao obrigado e desculpe de novo qualquer coisa
    Também é normal, no final estarei passando um programa de limpeza que sempre irá limpar esta pasta...

    Faça download do Kaspersky Removal Tool. Salve em seu desktop (área de trabalho).

    • Instale o programa normalmente, seguindo todas as instruções.
    • Uma pasta chamada Virus Removal Tool será criada no desktop.
    • Na tela principal do programa clique na opção Meu computador, Startup objects, Disk boot sectors e depois clique no botão Scan.
    • Seja paciente, o scan pode demorar
    • Se ele encontrar alguma infecção abrirá uma janela de alerta clique em skip.
    • Após completar tudo, clique no botão Reports... e clique em Save to file.
    • Dê um nome para o arquivo e salve numa pasta de sua preferência.
    • Feche o resultado clicando no X da janela.
    • Logo em seguida feche o programa também clicando no X da janela. Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em No. Poste o conteúdo desse arquivo em sua próxima resposta e aguarde.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • Caro amigo obrigado pela paciencia e dedicaçao, ocorre que agora você vai ter que ter um pouco mais de paciencia na minha resposta que você pediu uma vez que meu computador tem internet discada logo para baixar esse programa indicado levaria mais de 6 horas pelo tamanho do arquivo, então vou ter que procurar um computador pra baixar e depois passar aqui pro meu PC, somente então depois de feito isso fazer o que pediu, desde ja agradeço a paciencia e a dedicação e espero que com esse programa meu problema seja resolvido...

    abraços:(

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • :eek:Caro amigo, desculpe a demora em responder, desde ja adianto que tentei postar o log por aqui mas o tamanho e muito grande mesmo e nao deu chegou a travar o internet explorer, então peguei e compactei o arquivo e tentei anexar junto aqui, pois o arquivo tinha mais de 12 MB, e foi compactado para 800 kb, mas esse forum tb nao aceita esse tipo de arquivo foi o que apareceu (arquivo invalido, uma vez que so aceita de imagem) espero que me ajude, e lembrando pegou um virus sim e fiz como você disse, porém, ainda continua a serem criados arquivos temporarios na pasta que ja citei desde o inicio. E como faço pra lhe mandar o log agora????

    Abraços e obrigado pela paciencia e ajuda e realmente desculpe pela demora e espero que me ajude

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    Vou te passar meu e-mail por MP, e aí faça:

    • Nomeie o log com seu nick;
    • Coloque o log numa pasta;
    • Comapcte-a (.zip);
    • Anexe em seu e-mail e me envie;
    • Aguarde.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • :oola caro colega como solicitado enviei o log do kaspersky por e mail em anexo e em formato zip obrigado pela paciencia e pela dedicaçao mas como ja disse meu problema ainda persiste e ainda estão sendo criados arquivos temporarios espero que me ajude a solucionar.

    abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    O log do Kaspersky está limpo :)

    e ainda estão sendo criados arquivos temporarios
    Leia aqui: http://wnews.uol.com.br/site/noticias/materia_especial.php?id_secao=17&id_conteudo=819

    # Etapa nº 1 #

    Vamos desinstalar o ComboFix:

    Vá em,

    iniciar > executar e digite Combofix /u e clique OK, na janela que aparecer clique em executar e aguarde o programa ser removido!

    # Etapa nº 2 #

    Faça download do OTCleanIt by OldTimer

    • Salve no seu desktop (área/ambiente de trabalho).
    • Duplo-clique no icone otcleanitdesktopicon.png
    • Clique no botão "Cleanup" 8gehxg0.gif
    • Permita que o seu computador seja reiniciado.

    # Etapa nº 3 #

    1) Atualize o Service Pack (SP) do windows XP, o seu está com SP2 coloque o SP;

    Service Pack 3

    Download Aqui

    2) Atualize o Internet Explorer (IE), o seu está com o IE6 coloque o IE7;

    Internet Explorer 7

    Download Aqui

    # Etapa nº 4 #

    <<@>> Instale o CCleaner

    O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador.

    Faça o download dele aqui CCleaner


    • IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!
    • Abra o programa e clique em Executar Limpeza;
    • clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
      Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

    <<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • :(Caro amigo, parece que você nao encontrou nda em meu pc, ocorre o seguinte, sou leigo sim porém conheço algo de informatica, e esclareço que sei que o windows cria arquivos temporarios a medida que entra em programas, na internet etc, li seu artigo e em anexo você vai verificar que os arquivos temporarios e ocultos que cito nao tem nada a ver com arquivos comuns e necessarios que sao criados normalmente pelo sistema. Se você verifcar logo no inicio da minha explicaçao ao abrir esse topico e você me explicar como se faz um log eu explico o meu problema e coloco ele novamente em pauta aqui (arquivos com tamanhos de 34,7 MB na pasta C:\Documents and Settings\Administrador\Configurações locais\temp e nao consigo pegalo com o meu antivirus avast atualizadissimo, mas so resolvi o problema parcialente pois tenho que ficar apagando esses arquivos criados por esse virus cujos nomes sao BITDA.tmp, BIT4E.tmp, BIT2F.tmp, BIT6B.tmp e assim continua ate lotar o HD....)

    Apos esta explicaçao então me diz sei que a pasta que citei é la que justamente sao criados arquivos temporarios do sistema, continuando me resposta então que programa cria justamente quando entro na internet, ou seja me conecto, cria arquivos com o tamanho que citei 34,7 MB e desde ja te mostro em anexo a figura e outra em apenas poucas horas de conecçao o HD acusa que esta com pouco espaço justamente porque esses arquivos vão sendo criados ate lotar completamente o HD, mesmo eu apagando eles posteriormente entro de novo na internet e em menos de 10 minutos ja ta lotado de novo, e se eu nao ficar apagando o HD acusa que precisa liberar espaço então isso nao e normal, logo com certeza tem algum programa malicioso

    Caro amigo devo lhe dizer que desde o incio se você ver no log do dns vera que meu internet explorer é 8 e nao 6 ou 7 e so você verificar e se consta no kaspersky e muito estranho mas no log o primeiro que você disse ta la certinho internet 8 porque é justamente esse desde o inicio que esta instalado aqui, e nobre colega antes mesmo de ver essa sua citaçao e depois de passar o kaspersky eu instalei o cclear e passei ele e ele detectou muitos erros e fui alem tb instalei um antimalwere muito bom que vi em uma das sitaçoes de um de seus amigos dai e cito ele aqui e o dowload esta disponivel no baixaki nome do programa e eu recomendo porque no meu pc achou uns 5 e no de minha namorada uns 50, e achou cinco depois de ter passado o combofix (nome do programa Malwarebytes' Anti-Malware)

    caro amigo tb ja realizei a primeira etapa como você disse na sua utlima resposta e ainda continuou criando arquivos ocultos e temporarios na pasta temp que eu ja citei ali em cima e ja expliquei

    caro amigo so nao atualizei a minha versao do windows porque do resto eu tinha feito antes de você dizer, ou você verificar como foi que disse que meu internet explorer e o 6 porém é o 8 como você pode bem ver no inicio desse topico no primeiro log feito pelo DNS

    então caro colega, sei que você entende mais do que eu, por isso peço ajuda, mas vejo que você parece nao ter entendido bem minha colocaçao porque tenho certeza que os arquvos que estão sendo criados alem de serem de tamanho exorbitante 34,7 mb (ele em pouco tempo de conexao lota o HD o que me obriga a entrar na pasta manualmente e deleta los a e ja ia esquecendo o cclear nao pega esse arquivo porque penso eles estarem sendo criados de forma oculta como você vera na figura anexa aqui) nao sao arquivos comuns que sao criados normalmente bom basta você verificar seu proprio pc e vera que nao existe arquivo algum desse jeito

    Espero que tenha entendido minha colocaçao desta vez e me ajude, porque como ja disse em pouco tempo que estou conectado esses arquivos temporarios vão sendo criados ate lotar meu HD e dizer que o espaço no HD deve ser liberado

    abraços caro amigo e desculpe qualquer coisa, mas tenho certeza que algo de errado tem sim com meu pc, porque esses arquivos temporarios e ainda ocultos com tamanho 34,7 MB e sendo criados ate lotar o HD nao sao normais

    Logo ainda em meu pc mesmo passando esse ultimo recurso que você me disse no primeiro passo assim como o cclear como ja disse que ja tinha instalado e passei tb nao resolveu nda meu problema persiste...

    post-613546-13884953312465_thumb.jpg

    post-613546-13884953312999_thumb.jpg

    Editado por juniorsobreira

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro juniorsobreira

    Quanto ao IE pode desconsiderar. São tantos casos que alguns nos escapam no final :hehehe:

    Bom agora que vi tais arquivos posso dizer que seu problema não está relacionado à malwares e sim a um serviço do Windows chamado Serviço de transferência inteligente de plano de fundo: http://technet.microsoft.com/pt-br/library/cc779136(WS.10).aspx

    Então vamos mudar a configuração deste serviço, para isso clique em:

    iniciar > executar> digite services.msc

    Na janela que abrir localize o serviço Serviço de transferência inteligente de plano de fundo.. Clique duas vezes nele. Em Tipo de inicialização escolha Manual. Abaixo, em Status de serviço clique no botão Parar. Depois aplicar > ok

    Certo?

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    juniorsobreira    0
  • Autor do tópico
  • :DOlá caro amigo, depois de tantas etapas e o problema era so isso... rs.... realmente confirmei que o que digo é estão importante ou ate mais do que os log gerados e por você analisados..... Obrigado mesmo caro amigo como eu ja disse e repito ao invés de utilizar suas habilidades para fazer o mal você utiliza para o bem e vai alem pois faz tudo isso sem qualquer recompensa financeira, a unica recompensa que conta é com os varios obrigados que recebe, valeu mesmo obrigado caro amigo desejo te muito sucesso em sua vida.... e mesmo que demorou um pouco e o problema era apenas esse valeu a pena pois aprendi muito com você e ainda de quebra eliminei algumas pragas. E esse pequeno detalhe do windows alem de prejudicar meu pc pois criava isso tudo ainda o deixava lento porque meu pc ficou muito bom, mesmo sendo uma maquina meio antiga.

    Abraços amigo e sucesso e de novo muito obrigado

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×