Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Amigos, apos a execução de um arquivo suspeito, o usuário queixa-se de lentidão na maquina:
Boa noite DigRam,
Só darei continuidade ao tópico quinta-feira amigo, quando voltar a trabalhar, pois a maquina está na empresa, desde já agradeço pela pronta ajuda. :joia:
Pronto Logs abaixo:
Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
Fichier d'export Registre :
Run by Administrador at 14/02/2013 09:13:56
Windows XP Professional Service Pack 3 (Build 2600)
========== Registry Key ==========
DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
DELETED Key: HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
DELETED Key: HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
DELETED Key: HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
DELETED Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
DELETED Key: HKCU\Software\APN PIP
DELETED Key: HKLM\Software\PIP
DELETED Key: HKLM\Software\Classes\esriEditorExt.FeatureFromAreaContainsPointErrorCommand
DELETED Key: HKLM\Software\Classes\esriEditorExt.FeatureFromAreaContainsPointErrorCommand.1
DELETED Key: HKLM\Software\Swearware
========== Registry Value ==========
ProxyFix : Proxy killed successfully
DELETED ProxyServer Value
DELETED ProxyEnable Value
DELETED EnableHttp1_1 Value
DELETED ProxyHttp1.1 Value
DELETED ProxyOverride Value
DELETED FirewallRaz (SP) : %windir%\system32\sessmgr.exe
DELETED FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
DELETED FirewallRaz (DP) : %windir%\system32\sessmgr.exe
DELETED FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
No Value in Firewall Exception Register Key (FirewallRaz)
========== Repertory ==========
DELETED Window Temporary:
DELETED Flash Cookies:
========== File ==========
DELETED Window Temporary:
DELETED Flash Cookies:
========== Restoration ==========
Restore System Point created succefully
========== Summary ==========
12 : Registry Key
11 : Registry Value
2 : Repertory
2 : File
1 : Restoration
End of clean in 00mn 11s
========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 14/02/2013 09:14:00 [2223]
----------------------------xx--------------------------------
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Versão da Base de Dados: v2013.02.14.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrador :: FUN0034 [administrador]
14/02/2013 08:30:41
mbam-log-2013-02-14 (08-30-41).txt
Tipo de Verificação: Verificação Completa (C:\|)
Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opções de verificação desativadas: P2P
Objetos escaneados: 348947
Tempo decorrido: 42 minuto(s), 5 segundo(s)
Processos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)
Módulos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)
Chaves de Registro Detectadas: 0
(Não foram detectados ítens maliciosos)
Valores de Registro Detectadas: 0
(Não foram detectados ítens maliciosos)
Itens de Dados no Registro Detectadas: 0
(Não foram detectados ítens maliciosos)
Pastas Detectadas: 0
(Não foram detectados ítens maliciosos)
Arquivos Detectados: 0
(Não foram detectados ítens maliciosos)
(fim)
Bom Dia! Edvan
|- Consegui ter acesso à este Tópico,depois verei àquele que teve impedimento e que,também,não pude acessar.
-/-
|- Baixe: < /applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/adwcleaner_logo.jpg&key=e2bde0dd8c13fd52e18ca6fc88e8f2d73040a387059f8bc22a53202f0de6f95f" alt="adwcleaner_logo.jpg" /> > ( ... par Xplode )
|- Ao acessar,clique na imagem: < /applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/AdwCleaner_Tlcharger.jpg&key=2319bbcd35144166c25768473f26c7f193a7ab5036b9479bd1465d8257d6f6b2" alt="AdwCleaner_Tlcharger.jpg" /> >
|- Ps: Se utilizar o navegador IE9,desabilite o filtro "SmartScreen".
|- Salve-o no desktop!
|- Clique direito em adwcleaner.exe,e escolha sua execução como /applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/Executar_Administrador.jpg&key=29bbf2d3836c6859afe3923102565f782321b5a7a2787d5bb24cc9918d13e9bd" alt="Executar_Administrador.jpg" />
|- Ps: Dê início ao scan,clicando em "Delete" ou "Suppression".
/applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/AdwCleaner_Delete.jpg&key=75f446191cf36528cf6179827354e5d573f05557fda01df5a7ea91d29f5b7dee" alt="AdwCleaner_Delete.jpg" />
|- Ao concluir,poste o relatório: C:\AdwCleaner[S1].txt
A+
O Avast deu esse alerta, não agora, mais hoje pela manhã quando cheguei na empresa.
/applications/core/interface/imageproxy/imageproxy.php?img=http://img600.imageshack.us/img600/9433/virusnd.jpg&key=d2c80b68841a511e70ad9b026e695ddec64ee32391841051ad3a0a731ef64f7b" alt="virusnd.jpg" />
*** [serviços] ***
*** [Arquivos/Pastas] ***
Arquivo Removido : C:\Documents and Settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\o48o609a.default\searchplugins\Askcom.xml
Pasta Removido : C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\APN
Pasta Removido : C:\Documents and Settings\All Users\Dados de aplicativos\Ask
*** [Registro] ***
Chave Removida : HKCU\Software\Headlight
*** [Navegadores] ***
-\\ Internet Explorer v8.0.6001.18702
[OK] Registro está limpo.
-\\ Mozilla Firefox v18.0.2 (pt-BR)
Arquivo : C:\Documents and Settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\o48o609a.default\prefs.js
Removida : user_pref("browser.search.order.1", "Ask.com");
Arquivo : C:\Documents and Settings\f003300\Dados de aplicativos\Mozilla\Firefox\Profiles\hx7kz89w.default\prefs.js
[OK] Arquivo está limpo.
-\\ Google Chrome v23.0.1271.64
Arquivo : C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\User Data\Default\Preferences
[OK] Arquivo está limpo.
*************************
AdwCleaner[s1].txt - [1510 octets] - [14/02/2013 11:25:08]
########## EOF - C:\AdwCleaner[s1].txt - [1570 octets] ##########
Se quiser pode fechar o tópico aqui!..
Olá! Edvan
< http://secsecurity.forumbrasil.net/t56-log-para-analise#147 >
|- Já que estamos seguindo pelo meu Fórum,não fecharei o daqui até concluir-mos o caso.
|- Ps: Ao ser solucionado,este será encaminhado à sala "Tópicos Resolvidos".
A+
... editando!
< http://secsecurity.forumbrasil.net/t56-log-para-analise#152 >
|- Ok! Segundo esta informação,o Tópico será enviado à "Tópicos Resolvidos".
A+
PROBLEMA RESOLVIDO
Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.
Boa Tarde! Edvan
|- Instale o MBAM: < /applications/core/interface/imageproxy/imageproxy.php?img=http://i.imgbox.com/adeWcUUs.jpg&key=2b84877bb02cb88643f333b1980d4a7bcd96dcc05b797948dd550d0ba608cfe3" alt="adeWcUUs.jpg" /> >
|- Atualize o programa!
/applications/core/interface/imageproxy/imageproxy.php?img=http://t.imgbox.com/adtCRpOM.jpg&key=c30f687a6b20dcf274015a4b89d3221cfa939a6acc1eb2db4cd11a697b2f6363" alt="adtCRpOM.jpg" />
|- Desmarque a caixa: "Ativar trial gratuito do Malwarebytes Anti-Malware PRO"
|- Clique "Concluir".
|- Escolha o escaneamento Rápido! >> Verificar!
|- Desabilite programas de proteção,ao executar o malwarebytes.
|- Para Windows Vista ou 7,clique direito no arquivo e execute-o como administrador.
|- Ps: Para determinadas infecções,a ferramenta pedirá reboot. << Confirme!
/applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/MBAN_Remover.jpg&key=769077ac5b55019d1aad55c2d0b07156ebc821f3ed8336181e0d7fc80b826bd1" alt="MBAN_Remover.jpg" />
|- Ao concluir,clique em "Ok" >> "Ver Resultados" >> "Remover Selecionados".
|- Poste,o relatório: mbam-log-2013-xx-xx (00-00-00).txt
|- Indo à janela principal do MBAM,clique na aba Logs para obter o relatório.
-/-
|- Feche programas/pastas que estejam abertos.
|- Feche,também,o navegador!
|- Para Windows Vista,desabilite a UAC.
/applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/ZHPFix_Logo.jpg&key=e1490e388cb3365073cd3d8484ad299330f9c980ec992ca5e2d4b57fd46b5d7b" alt="ZHPFix_Logo.jpg" />
|- Dê um duplo clique em ZHPFix.
[HKLM\Software\Swearware]|- Selecione e copie estas informações,que estão no Code,para o "Bloco de Notas".
proxyfix
emptytemp
emptyflash
firewallraz
sysrestore
|- Estando com o Bloco de Notas aberto,acione os atalhos: "Ctrl+A" -> "Ctrl+C"
|- Minimize o Bloco de Notas.
/applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/ZHPDiag_PasteClipboard.jpg&key=e48613cfa6f79756d0d3087d1f9470f91a4d063f3d1285295d93d87cacbfb63d" alt="ZHPDiag_PasteClipboard.jpg" />
|- Clique no menu,"Paste ClipBoard".
|- Clique em "GO" -> Oui.
/applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/ZHPFix_GO.jpg&key=558fe81face1e694faa61f1e0c3985db203e8ad910d59aa68f5da5f2fd114f02" alt="ZHPFix_GO.jpg" />
|- Ps: Temos,àcima,sequência de imagens para maior exclarecimento.
|- Poste o relatório: C:\ZHP\ZHPFix[R1].txt
A+