15 replies to this topic

[JADSON CYBER]

Prezados


Arquivos como"Bloco Nota" são criados automaticamente no Desktop e em outras pastas como se fossem virus. Uso Windows XP.

O que é isso?
É virus?
Tem alguma forma de corrigir isso?

A imagem anexa mostra melhor os arquivos.


Att.

JADSON

PS.: O forum tem mim ajudado muito!! Valeu!!

Attached Files

•  erro_criando_arquivo_JADSON.JPG   106.91KB   25 downloads

Edição feita por: JADSON CYBER, 15/06/2008, 23:21.

[Mr. Xerife]

Olá amigos pode não ser virus. Faça o seguinte abra o bloco de notas e copie todo o contéudo aqui, ok?

Abraços

[JADSON CYBER]

Olá amigos pode não ser virus. Faça o seguinte abra o bloco de notas e copie todo o contéudo aqui, ok?

Abraços

Olá amigo...

Como você me pediu segue o conteudo escrito nos blocos de notas, copie 3 blocos.




(começa aqui)
************************ Application: Mobile Phone Manager
************************ Component : C:\Documents and Settings\Jardson\Desktop\PhoneExplorer_Default_3660.txt
************************ Generated : 15.06.2008 10:55:13.937
************************ Microsoft Windows XP - Version 5.1 (Build 2600) - Service Pack 02.00
*******************************************************************************************************

{09b8} 15.06.2008 10:55:13.937 [T9B8] new CActiveShellObject[this=0x5C73B20]
{09b8} 15.06.2008 10:55:13.937 [T9B8] new CFolderContent[this=0x5C73C10]
{09b8} 15.06.2008 10:55:13.937 [T9B8] new CActiveShellObject[this=0x5C73C80]
{09b8} 15.06.2008 10:55:13.937 [T9B8] new CClipboardObject[this=0x5C73F78]
{09b8} 15.06.2008 10:55:13.937 [T9B8] new CImportClipboardObject[this=0x5C73F78]
{09b8} 15.06.2008 10:55:13.937 [T9B8] del CImportClipboardObject
{09b8} 15.06.2008 10:55:13.937 [T9B8] del CClipboardObject
{09b8} 15.06.2008 10:55:13.937 [T9B8] del CActiveShellObject
{09b8} 15.06.2008 10:55:13.937 [T9B8] del CFolderContent
{09b8} 15.06.2008 10:55:13.937 [T9B8] del CActiveShellObject
{09b8} 15.06.2008 10:58:12.593 [T9B8]
------------------------------------------------------
{09b8} 15.06.2008 10:58:12.593 [T9B8]
------------------------------------------------------
{09b8} 15.06.2008 10:58:12.593 [T9B8] Shutdown Module(termina aqui)




(começa aqui)
************************ Application: Mobile Phone Manager
************************ Component : C:\Documents and Settings\Jardson\Desktop\PhoneExplorer_WinShellFolder_4080.txt
************************ Generated : 12.06.2008 20:14:41.500
************************ Microsoft Windows XP - Version 5.1 (Build 2600) - Service Pack 02.00
*******************************************************************************************************

{0e68} 12.06.2008 20:14:41.500 [TE68] new CShellNamespaceFolder[this=0x5E64210]
{0e68} 12.06.2008 20:14:41.515 [TE68] --> CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:41.515 [TE68] IN CShellNamespaceFolder::Initialize pidl = [0x001c00a0]
{0e68} 12.06.2008 20:14:41.515 [TE68] new CActiveShellObject[this=0x12DFFC]
{0e68} 12.06.2008 20:14:41.515 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:41.515 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:41.515 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:41.515 [TE68] <-- CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:41.515 [TE68] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{0e68} 12.06.2008 20:14:41.515 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:41.515 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:41.515 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:41.515 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:41.515 [TE68] del CShellNamespaceFolder
{0e68} 12.06.2008 20:14:46.953 [TE68] new CShellNamespaceFolder[this=0x5E64210]
{0e68} 12.06.2008 20:14:46.953 [TE68] new CActiveShellObject[this=0x5E64260]
{0e68} 12.06.2008 20:14:46.953 [TE68] new CFolderContent[this=0x5E64350]
{0e68} 12.06.2008 20:14:46.953 [TE68] new CActiveShellObject[this=0x5E643C0]
{0e68} 12.06.2008 20:14:46.953 [TE68] new CClipboardObject[this=0x5E646B8]
{0e68} 12.06.2008 20:14:46.953 [TE68] new CImportClipboardObject[this=0x5E646B8]
{0e68} 12.06.2008 20:14:46.953 [TE68] --> CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:46.953 [TE68] IN CShellNamespaceFolder::Initialize pidl = [0x001c00a0]
{0e68} 12.06.2008 20:14:46.953 [TE68] new CActiveShellObject[this=0x12EA80]
{0e68} 12.06.2008 20:14:46.953 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:46.953 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:46.953 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:46.953 [TE68] <-- CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:46.953 [TE68] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{0e68} 12.06.2008 20:14:46.953 [TE68] del CImportClipboardObject
{0e68} 12.06.2008 20:14:46.953 [TE68] del CClipboardObject
{0e68} 12.06.2008 20:14:46.953 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:46.953 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:46.953 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:46.953 [TE68] del CFolderContent
{0e68} 12.06.2008 20:14:46.953 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:46.953 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:46.953 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:46.953 [TE68] del CShellNamespaceFolder
{0e68} 12.06.2008 20:14:48.312 [TE68] new CShellNamespaceFolder[this=0x5E64210]
{0e68} 12.06.2008 20:14:48.312 [TE68] new CActiveShellObject[this=0x5E64260]
{0e68} 12.06.2008 20:14:48.312 [TE68] new CFolderContent[this=0x5E64350]
{0e68} 12.06.2008 20:14:48.312 [TE68] new CActiveShellObject[this=0x5E643C0]
{0e68} 12.06.2008 20:14:48.312 [TE68] new CClipboardObject[this=0x5E646B8]
{0e68} 12.06.2008 20:14:48.312 [TE68] new CImportClipboardObject[this=0x5E646B8]
{0e68} 12.06.2008 20:14:48.312 [TE68] --> CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:48.312 [TE68] IN CShellNamespaceFolder::Initialize pidl = [0x001d20d8]
{0e68} 12.06.2008 20:14:48.312 [TE68] new CActiveShellObject[this=0x12F050]
{0e68} 12.06.2008 20:14:48.312 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:48.312 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:48.312 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:48.312 [TE68] <-- CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:48.312 [TE68] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{0e68} 12.06.2008 20:14:48.312 [TE68] del CImportClipboardObject
{0e68} 12.06.2008 20:14:48.312 [TE68] del CClipboardObject
{0e68} 12.06.2008 20:14:48.312 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:48.312 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:48.312 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:48.312 [TE68] del CFolderContent
{0e68} 12.06.2008 20:14:48.312 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:48.312 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:48.312 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:48.312 [TE68] del CShellNamespaceFolder
{0e68} 12.06.2008 20:14:55.312 [TE68] new CShellNamespaceFolder[this=0x5E64210]
{0e68} 12.06.2008 20:14:55.312 [TE68] new CActiveShellObject[this=0x5E64260]
{0e68} 12.06.2008 20:14:55.312 [TE68] new CFolderContent[this=0x5E64350]
{0e68} 12.06.2008 20:14:55.312 [TE68] new CActiveShellObject[this=0x5E643C0]
{0e68} 12.06.2008 20:14:55.312 [TE68] new CClipboardObject[this=0x5E646B8]
{0e68} 12.06.2008 20:14:55.312 [TE68] new CImportClipboardObject[this=0x5E646B8]
{0e68} 12.06.2008 20:14:55.312 [TE68] --> CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:55.312 [TE68] IN CShellNamespaceFolder::Initialize pidl = [0x001ad7a0]
{0e68} 12.06.2008 20:14:55.312 [TE68] new CActiveShellObject[this=0x12F050]
{0e68} 12.06.2008 20:14:55.312 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:55.312 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:55.312 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:55.312 [TE68] <-- CShellNamespaceFolder::Initialize
{0e68} 12.06.2008 20:14:55.312 [TE68] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{0e68} 12.06.2008 20:14:55.312 [TE68] del CImportClipboardObject
{0e68} 12.06.2008 20:14:55.312 [TE68] del CClipboardObject
{0e68} 12.06.2008 20:14:55.312 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:55.312 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:55.312 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:55.312 [TE68] del CFolderContent
{0e68} 12.06.2008 20:14:55.312 [TE68] --> CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:55.312 [TE68] <-- CActiveShellObject::UnsubscribeEvents
{0e68} 12.06.2008 20:14:55.312 [TE68] del CActiveShellObject
{0e68} 12.06.2008 20:14:55.312 [TE68] del CShellNamespaceFolder"
(termina aqui)



(começa aqui)
************************ Application: Mobile Phone Manager
************************ Component : C:\Documents and Settings\Jardson\Desktop\PhoneExplorer_WinShellFolder_3200.txt
************************ Generated : 12.06.2008 16:20:02.031
************************ Microsoft Windows XP - Version 5.1 (Build 2600) - Service Pack 02.00
*******************************************************************************************************

{03bc} 12.06.2008 16:20:02.031 [T3BC] new CShellNamespaceFolder[this=0x5C73E48]
{03bc} 12.06.2008 16:20:02.031 [T3BC] --> CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:02.031 [T3BC] IN CShellNamespaceFolder::Initialize pidl = [0x001cb838]
{03bc} 12.06.2008 16:20:02.031 [T3BC] new CActiveShellObject[this=0x12DFFC]
{03bc} 12.06.2008 16:20:02.031 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:02.031 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:02.031 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:02.031 [T3BC] <-- CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:02.031 [T3BC] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{03bc} 12.06.2008 16:20:02.031 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:02.031 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:02.031 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:02.031 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:02.031 [T3BC] del CShellNamespaceFolder
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CShellNamespaceFolder[this=0x5C73E48]
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CActiveShellObject[this=0x5C73E98]
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CFolderContent[this=0x5C73F88]
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CActiveShellObject[this=0x5C73FF8]
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CClipboardObject[this=0x5C742F0]
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CImportClipboardObject[this=0x5C742F0]
{03bc} 12.06.2008 16:20:05.781 [T3BC] --> CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:05.781 [T3BC] IN CShellNamespaceFolder::Initialize pidl = [0x001cb838]
{03bc} 12.06.2008 16:20:05.781 [T3BC] new CActiveShellObject[this=0x12EA80]
{03bc} 12.06.2008 16:20:05.781 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:05.781 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:05.781 [T3BC] <-- CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:05.781 [T3BC] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CImportClipboardObject
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CClipboardObject
{03bc} 12.06.2008 16:20:05.781 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:05.781 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CFolderContent
{03bc} 12.06.2008 16:20:05.781 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:05.781 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:05.781 [T3BC] del CShellNamespaceFolder
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CShellNamespaceFolder[this=0x5C73E48]
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CActiveShellObject[this=0x5C73E98]
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CFolderContent[this=0x5C73F88]
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CActiveShellObject[this=0x5C73FF8]
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CClipboardObject[this=0x5C742F0]
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CImportClipboardObject[this=0x5C742F0]
{03bc} 12.06.2008 16:20:08.437 [T3BC] --> CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:08.437 [T3BC] IN CShellNamespaceFolder::Initialize pidl = [0x001c9870]
{03bc} 12.06.2008 16:20:08.437 [T3BC] new CActiveShellObject[this=0x12F050]
{03bc} 12.06.2008 16:20:08.437 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:08.437 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:08.437 [T3BC] <-- CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:08.437 [T3BC] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CImportClipboardObject
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CClipboardObject
{03bc} 12.06.2008 16:20:08.437 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:08.437 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CFolderContent
{03bc} 12.06.2008 16:20:08.437 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:08.437 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:08.437 [T3BC] del CShellNamespaceFolder
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CShellNamespaceFolder[this=0x5C73E48]
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CActiveShellObject[this=0x5C73E98]
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CFolderContent[this=0x5C73F88]
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CActiveShellObject[this=0x5C73FF8]
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CClipboardObject[this=0x5C742F0]
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CImportClipboardObject[this=0x5C742F0]
{03bc} 12.06.2008 16:20:10.921 [T3BC] --> CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:10.921 [T3BC] IN CShellNamespaceFolder::Initialize pidl = [0x001b59c8]
{03bc} 12.06.2008 16:20:10.921 [T3BC] new CActiveShellObject[this=0x12F050]
{03bc} 12.06.2008 16:20:10.921 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:10.921 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:10.921 [T3BC] <-- CShellNamespaceFolder::Initialize
{03bc} 12.06.2008 16:20:10.921 [T3BC] OUT CShellNamespaceFolder::Initialize hres = 0x00000000
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CImportClipboardObject
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CClipboardObject
{03bc} 12.06.2008 16:20:10.921 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:10.921 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CFolderContent
{03bc} 12.06.2008 16:20:10.921 [T3BC] --> CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:10.921 [T3BC] <-- CActiveShellObject::UnsubscribeEvents
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CActiveShellObject
{03bc} 12.06.2008 16:20:10.921 [T3BC] del CShellNamespaceFolder"
(termina aqui)





JADSON

[Mr. Xerife]

Olá Jadson, esse arquivos são salvados no seu desktop por causa do seguinte caminho.

C:\Documents and Settings\Jardson\Desktop\PhoneExplorer_WinShellFolder_3200.txt

Os arquivos não se trata de malware. Você pode excluir todos os txt do seu Desktop, siga também os meus procidementos abaixo.

Acesse o scan online da Kaspersky
Só funciona com o Internet Explorer!

Clique no botão

Clique em I Accept. Vai aparecer na barra de informações que o site está pedindo para instalar o controle ActiveX. Confirme.

Aguarde a instalação e a atualização (demora um pouco), então clique em Scan Settings.

Em Scan Settings, deixe as opções abaixo marcadas:

Scan using the following Anti-Virus database:

Extended (if available otherwise Standard)

Scan Options:

Scan Archives
Scan Mail Bases

e clique em OK.

Na próxima página, clique em My Computer para inicie o scan. O scan é demorado, tenha paciência.

Ao final do scan, clique em Save as text para salvar o log.

Poste o log do Sacan na sua resposta.

Abraços

[JADSON CYBER]

Olá Jadson, esse arquivos são salvados no seu desktop por causa do seguinte caminho.

C:\Documents and Settings\Jardson\Desktop\PhoneExplorer_WinShellFolder_3200.txt

Os arquivos não se trata de malware. Você pode excluir todos os txt do seu Desktop, siga também os meus procidementos abaixo.

Acesse o scan online da Kaspersky
Só funciona com o Internet Explorer!

Clique no botão

Clique em I Accept. Vai aparecer na barra de informações que o site está pedindo para instalar o controle ActiveX. Confirme.

Aguarde a instalação e a atualização (demora um pouco), então clique em Scan Settings.

Em Scan Settings, deixe as opções abaixo marcadas:

Scan using the following Anti-Virus database:

Extended (if available otherwise Standard)

Scan Options:

Scan Archives
Scan Mail Bases

e clique em OK.

Na próxima página, clique em My Computer para inicie o scan. O scan é demorado, tenha paciência.

Ao final do scan, clique em Save as text para salvar o log.

Poste o log do Sacan na sua resposta.

Abraços

Beleza Amigo...

Fiz como me pediu e segue a tela da respota do scan, não encotrei o escrito "Save as text" mas copiei a tela do pc.


Aguardo vosso retorno.



JADSON

Attached Files

•  tela_server_scan_jadson.JPG   115.55KB   4 downloads

[Mr. Xerife]

Temos um objeto infectado no seu micro mais sem o o log do scan não temos como vê qual é o arquivo.

Faça o download do HijackThis

Abra o HijackThis e clique em Do a system scan and save a logfile.

O seu editor de texto abrirá com o log. Copie o conteúdo dele usando Editar » Copiar. Volte para o post no fórum e use o menu Editar » Colar para colocar o log.

Abraços

[beto]

movido para Remoção de Malwares

[JADSON CYBER]

movido para Remoção de Malwares

Olá...

Segue aqui o conteudo conforme vosso solicitação.

Aguardo vosso retorno.


(começa aqui)
Logfile of HijackThis v1.99.1
Scan saved at 18:30:17, on 17/06/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
C:\ARQUIV~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe
C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe
C:\Arquivos de programas\keyboard Driver\Hotkey.exe
C:\Arquivos de programas\Ares\Ares.exe
C:\ViteSoft\Admin\VSCyberAdmin.exe
C:\Arquivos de programas\Corel\CorelDRAW Graphics Suite 13\PROGRAMS\CORELDRW.EXE
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jardson\Meus documentos\Meus arquivos recebidos\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsof...ss/allinone.asp
R3 - URLSearchHook: Yahoo! Barra de Ferramentas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar1.02.5000.1021\pt-br\msntb.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O2 - BHO: GbIehObj Class - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\Downloaded Program Files\gbiehCef.dll (file missing)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll (file missing)
O3 - Toolbar: Yahoo! Barra de Ferramentas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Hotkey] C:\Arquivos de programas\keyboard Driver\Hotkey.exe
O4 - HKCU\..\Run: [CS Update] copy /Y "C:\Arquivos de programas\ActivationManager\ActivationManager.dll.upd" "C:\Arquivos de programas\ActivationManager\ActivationManager.dll"
O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Arquivos de programas\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Arquivos de programas\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zon...kr.cab56986.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.co...otouploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail....es/MSNPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://vivianasantos...ad/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zon...nt.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancob...gin/GbpDist.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.atrativa....opcaploader.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa...GbPluginCef.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsec...GbPluginABN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B23B1D4A-93F7-42E1-820B-47FF22AA4B7C}: NameServer = 192.168.1.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\arquiv~1\bandoo\bndhook.dll
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Symantec System Center Discovery Service (NSCTOP) - Symantec Corporation - C:\ARQUIV~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
(termina aqui)

[Mr. Xerife]

Iniciar > Painel de Controle > Adicionar ou remover programa, Desinstale o:

ActivationManager

- Faça o download do Combofix

• Desative, temporariamente, o antivírus;
• Feche todas as janelas abertas;
• Dê um duplo-clique no combofix.exe e tecle "1" para prosseguir o Fix. Pode demorar algum tempo.
• O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.
• Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
• Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
• Para parar ou sair do ComboFix, tecle "N".
• Cole o ComboFix.txt na sua resposta.
- Gere novo log do HijackThis e cole na sua resposta.

[JADSON CYBER]

Iniciar > Painel de Controle > Adicionar ou remover programa, Desinstale o:

ActivationManager

- Faça o download do Combofix

• Desative, temporariamente, o antivírus;
• Feche todas as janelas abertas;
• Dê um duplo-clique no combofix.exe e tecle "1" para prosseguir o Fix. Pode demorar algum tempo.
• O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.
• Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
• Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
• Para parar ou sair do ComboFix, tecle "N".
• Cole o ComboFix.txt na sua resposta.
- Gere novo log do HijackThis e cole na sua resposta.

Olá...

Fiz como me pediu segue arquivo.

Iniciar > Painel de Controle > Adicionar ou remover programa, Desinstale o:

ActivationManager

- Faça o download do Combofix

• Desative, temporariamente, o antivírus;
• Feche todas as janelas abertas;
• Dê um duplo-clique no combofix.exe e tecle "1" para prosseguir o Fix. Pode demorar algum tempo.
• O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.
• Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
• Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
• Para parar ou sair do ComboFix, tecle "N".
• Cole o ComboFix.txt na sua resposta.
- Gere novo log do HijackThis e cole na sua resposta.

Segue o outro arquivo conforme solicitação.





Olá...

Fiz como me pediu segue arquivo.

Attached Files

•  hijackthis.log_NOVO.txt   9.41KB   0 downloads
•  ComboFix.txt   383bytes   2 downloads

[Mr. Xerife]

Olá amigo, Vá em inciar > Executar > Digite combofix /u e depois aperte em "ok"

Faça o download do combofix novamente, mais não execute ainda.

Reinicie o micro em Modo Seguro, veja no link abaixo como:

http://linhadefensiv...l.com.br/ajuda/

Em modo de segurança execute o combofix, reinicie o micro em modo normal e poste um novo log do combofix junto com o do hijackthis, ok ?

Abraços

[JADSON CYBER]

Olá amigo...


Fiz como me pediu... segue os anexos.


Aguardo retorno!


JADSON

Attached Files

•  hijackthisNOVO1906.txt   9.48KB   5 downloads
•  log1906.txt   32.01KB   2 downloads

[Mr. Xerife]

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

Folder::
C:\WINDOWS\win32get.ini
File::
C:\WINDOWS\Prefetch\winlogo.exe
C:\WINDOWS\system32\autoorkut.exe
C:\WINDOWS\system32\win32k.sys
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CS Update"="

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.



O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

Poste-o junto com o novo log do hijackthis

Obs: Faça esse processo em modo seguro

Edição feita por: Mr. Xerife, 19/06/2008, 02:35.
Erros nas tagas

[JADSON CYBER]

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

Folder::
C:\WINDOWS\win32get.ini
File::
C:\WINDOWS\Prefetch\winlogo.exe
C:\WINDOWS\system32\autoorkut.exe
C:\WINDOWS\system32\win32k.sys
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CS Update"="

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.



O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

Poste-o junto com o novo log do hijackthis

Obs: Faça esse processo em modo seguro

URGENTE!!!!!!!!!

Mr...Xerife...!!!!!!!!!!!


Fiz como me pediu QDO TERMINOU FUI SAIR DO MODO DE SEGURANÇA DANDO CTRRL+ALT+DEL, fui na barra acima em "Desligar" e reinicie e o PC (O SERVIDOR das maquinas)ficou reiniciando direto, sempre.

tentei reiniar em modo de segurança e nada POR FAVOR o que faço.



JADSON

[Mr. Xerife]

Dicas foi enviadas via MP. Aguardando os procedimentos do usuário JADSON