[Arquivado] abnormal program termination

[Helolima 0]

Log do Avenger

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Folder "C:\32788R22FWJFW" deleted successfully.

Folder "C:\32788R22FWJFW.0.tmp" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

Log do Lop SD

 

 

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® Dual CPU E2160 @ 1.80GHz )

BIOS : BIOS Date: 08/01/07 09:47:33 Ver: 08.00.10

USER : HELOISA ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)

Firewall : COMODO Firewall 3.5 (Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:74 Go (Free:57 Go)

D:\ (CD or DVD)

 

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )

Option : [2] ( 19/05/2009|11:55 )

 

 

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ REMOVIDOS

 

Deletado! - C:\Arquivos de programas\Orbitdownloader\addons

Deletado! - C:\Arquivos de programas\Orbitdownloader\banurl.ini

Deletado! - C:\Arquivos de programas\Orbitdownloader\Cache

Deletado! - C:\Arquivos de programas\Orbitdownloader\changelog.txt

Falha ! - C:\Arquivos de programas\Orbitdownloader\download.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\Grab.exe

Deletado! - C:\Arquivos de programas\Orbitdownloader\GrabDll.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\GrabKernel.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll

Falha ! - C:\Arquivos de programas\Orbitdownloader\idht.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\Lang.ini

Deletado! - C:\Arquivos de programas\Orbitdownloader\language

Deletado! - C:\Arquivos de programas\Orbitdownloader\libeay32.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

Deletado! - C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll

Falha ! - C:\Arquivos de programas\Orbitdownloader\orbitnet.exe

Deletado! - C:\Arquivos de programas\Orbitdownloader\saction.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\siteinfo.ini

Deletado! - C:\Arquivos de programas\Orbitdownloader\ssleay32.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader\unins000.dat

Deletado! - C:\Arquivos de programas\Orbitdownloader\unins000.exe

Deletado! - C:\Arquivos de programas\Orbitdownloader\update

Deletado! - C:\Arquivos de programas\Orbitdownloader\winfile.dll

Deletado! - C:\Arquivos de programas\Orbitdownloader

 

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

 

 

--------------------\\ Lista de pastas em DADOSD~1

 

[03/07/2008|14:05] C:\DOCUME~1\ADMINI~1\DADOSD~1\Microsoft

 

[06/03/2008|11:41] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Adobe

[03/07/2008|14:11] C:\DOCUME~1\ALLUSE~1\DADOSD~1\avg8

[31/03/2008|09:06] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Microsoft

 

[12/12/2008|07:09] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\_comodo_

[11/08/2008|12:59] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\Adobe

[05/05/2009|13:30] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\avg8

[05/05/2009|13:54] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\Avira

[12/12/2008|08:11] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\comodo

[18/02/2009|12:49] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\Malwarebytes

[12/08/2008|16:46] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\Microsoft

[21/08/2008|08:11] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\Microsoft Help

[20/08/2008|16:23] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\NOS

[20/04/2009|08:36] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\Windows Genuine Advantage

[21/08/2008|12:37] C:\DOCUME~1\ALLUSE~1.WIN\DADOSD~1\WLInstaller

 

 

[18/02/2008|22:43] C:\DOCUME~1\DEFAUL~1\DADOSD~1\Microsoft

 

[20/08/2008|09:10] C:\DOCUME~1\DEFAUL~1.WIN\DADOSD~1\Microsoft

 

[20/08/2008|09:46] C:\DOCUME~1\HELOISA\DADOSD~1\Adobe

[18/05/2009|10:37] C:\DOCUME~1\HELOISA\DADOSD~1\AdobeUM

[02/12/2008|15:05] C:\DOCUME~1\HELOISA\DADOSD~1\Audacity

[29/04/2009|15:28] C:\DOCUME~1\HELOISA\DADOSD~1\AVGTOOLBAR

[05/05/2009|11:02] C:\DOCUME~1\HELOISA\DADOSD~1\Download Manager

[19/11/2008|12:37] C:\DOCUME~1\HELOISA\DADOSD~1\GrabPro

[20/08/2008|09:16] C:\DOCUME~1\HELOISA\DADOSD~1\Identities

[20/08/2008|09:46] C:\DOCUME~1\HELOISA\DADOSD~1\Macromedia

[18/02/2009|12:49] C:\DOCUME~1\HELOISA\DADOSD~1\Malwarebytes

[05/05/2009|13:29] C:\DOCUME~1\HELOISA\DADOSD~1\Microsoft

[19/05/2009|11:49] C:\DOCUME~1\HELOISA\DADOSD~1\Orbit

[06/05/2009|15:07] C:\DOCUME~1\HELOISA\DADOSD~1\Real

[07/11/2008|13:09] C:\DOCUME~1\HELOISA\DADOSD~1\Sun

[27/08/2008|12:27] C:\DOCUME~1\HELOISA\DADOSD~1\WinRAR

 

[03/07/2008|14:05] C:\DOCUME~1\LOCALS~1\DADOSD~1\Microsoft

 

[05/05/2009|13:29] C:\DOCUME~1\LOCALS~1.AUT\DADOSD~1\Microsoft

 

[03/07/2008|14:05] C:\DOCUME~1\NETWOR~1\DADOSD~1\Microsoft

 

[05/05/2009|13:29] C:\DOCUME~1\NETWOR~1.AUT\DADOSD~1\Microsoft

 

[05/05/2009|13:29] C:\DOCUME~1\postgres\DADOSD~1\Microsoft

 

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Adobe

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\AVGTOOLBAR

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Babylon

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Google

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Identities

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Macromedia

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Microsoft

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Mozilla

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\Sun

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\TweakNow WinSecret

[29/07/2008|09:52] C:\DOCUME~1\Usuario\DADOSD~1\WinRAR

 

[30/07/2008|09:11] C:\DOCUME~1\USUARI~1.BIB\DADOSD~1\Identities

[30/07/2008|09:11] C:\DOCUME~1\USUARI~1.BIB\DADOSD~1\Microsoft

 

--------------------\\ Tarefas Agendadas na pasta C:\WINDOWS\Tasks

 

[19/05/2009 11:44][--ah-----] C:\WINDOWS\tasks\SA.DAT

[28/10/2001 12:07][-r-h-----] C:\WINDOWS\tasks\desktop.ini

 

--------------------\\ Lista de pastas em C:\Arquivos de programas

 

[11/08/2008|12:59] C:\Arquivos de programas\Adobe

[13/11/2008|09:55] C:\Arquivos de programas\Apache Software Foundation

[06/05/2009|14:52] C:\Arquivos de programas\Arquivos comuns

[03/07/2008|14:11] C:\Arquivos de programas\AVG

[05/05/2009|13:54] C:\Arquivos de programas\Avira

[18/05/2009|16:52] C:\Arquivos de programas\Biblioteca

[19/02/2009|09:34] C:\Arquivos de programas\Borland

[20/08/2008|15:59] C:\Arquivos de programas\CCleaner

[23/01/2009|12:51] C:\Arquivos de programas\COMODO

[18/02/2008|22:40] C:\Arquivos de programas\ComPlus Applications

[31/03/2009|11:31] C:\Arquivos de programas\Etoms

[03/12/2008|10:37] C:\Arquivos de programas\Google

[31/03/2009|11:31] C:\Arquivos de programas\InstallShield Installation Information

[18/02/2008|22:53] C:\Arquivos de programas\Intel

[17/04/2009|17:04] C:\Arquivos de programas\Internet Explorer

[07/11/2008|13:11] C:\Arquivos de programas\Java

[06/11/2008|16:03] C:\Arquivos de programas\Messenger

[18/02/2008|22:43] C:\Arquivos de programas\microsoft frontpage

[21/08/2008|08:15] C:\Arquivos de programas\Microsoft Office

[31/03/2008|09:09] C:\Arquivos de programas\Microsoft.NET

[18/02/2008|22:40] C:\Arquivos de programas\Movie Maker

[18/02/2008|22:39] C:\Arquivos de programas\MSN Gaming Zone

[21/08/2008|12:50] C:\Arquivos de programas\MSN Messenger

[18/02/2008|22:41] C:\Arquivos de programas\NetMeeting

[10/11/2008|16:02] C:\Arquivos de programas\Outlook Express

[11/11/2008|10:51] C:\Arquivos de programas\Real

[20/08/2008|09:23] C:\Arquivos de programas\Realtek

[18/02/2008|22:41] C:\Arquivos de programas\Serviços on-line

[17/04/2009|16:06] C:\Arquivos de programas\Sistema de Administração

[18/02/2008|22:48] C:\Arquivos de programas\Uninstall Information

[01/08/2008|13:39] C:\Arquivos de programas\v7000

[21/08/2008|12:49] C:\Arquivos de programas\Windows Live

[14/11/2008|12:25] C:\Arquivos de programas\Windows Media Player

[18/02/2008|22:39] C:\Arquivos de programas\Windows NT

[18/02/2008|22:41] C:\Arquivos de programas\WindowsUpdate

[27/08/2008|12:26] C:\Arquivos de programas\WinRAR

[18/02/2008|22:43] C:\Arquivos de programas\xerox

 

--------------------\\ Lista de pastas em C:\Arquivos de programas\Arquivos comuns

 

[11/08/2008|13:02] C:\Arquivos de programas\Arquivos comuns\Adobe

[10/03/2009|11:48] C:\Arquivos de programas\Arquivos comuns\Borland Shared

[21/08/2008|08:16] C:\Arquivos de programas\Arquivos comuns\designer

[23/09/2008|09:12] C:\Arquivos de programas\Arquivos comuns\InstallShield

[06/03/2008|11:29] C:\Arquivos de programas\Arquivos comuns\Java

[05/03/2009|17:07] C:\Arquivos de programas\Arquivos comuns\Microsoft Shared

[18/02/2008|22:41] C:\Arquivos de programas\Arquivos comuns\MSSoap

[05/11/2008|07:45] C:\Arquivos de programas\Arquivos comuns\Nullsoft

[18/02/2008|19:31] C:\Arquivos de programas\Arquivos comuns\ODBC

[06/05/2009|14:52] C:\Arquivos de programas\Arquivos comuns\Real

[18/02/2008|22:41] C:\Arquivos de programas\Arquivos comuns\Serviços

[18/02/2008|19:31] C:\Arquivos de programas\Arquivos comuns\SpeechEngines

[10/11/2008|16:02] C:\Arquivos de programas\Arquivos comuns\System

[21/08/2008|12:49] C:\Arquivos de programas\Arquivos comuns\WindowsLiveInstaller

[06/05/2009|14:52] C:\Arquivos de programas\Arquivos comuns\xing shared

 

--------------------\\ Process

 

( 33 Processes )

 

... OK !

 

--------------------\\ Procura pelo S_Lop

 

Não foram encontradas pastas com o Lop!

 

--------------------\\ Procura por Arquivos/Ficheiros e pastas do Lop

 

Não foram encontradas pastas com o Lop!

 

--------------------\\ Procura no Registro

 

..... OK !

 

--------------------\\ Verificando o Arquivos/Ficheiros Hosts

 

Arquivos/Ficheiros Hosts LIMPO

 

 

--------------------\\ Procurando Arquivos/Ficheiros ocultos com o Catchme

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-19 11:59:52

Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:

ZwClose

scanning hidden processes ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden files: 4

 

--------------------\\ Procurando por outras infecções

 

 

Não foram encontradas outras infecções.

 

[F:859][D:172]-> C:\DOCUME~1\HELOISA\CONFIG~1\Temp

[F:235][D:0]-> C:\DOCUME~1\HELOISA\Cookies

[F:19925][D:25]-> C:\DOCUME~1\HELOISA\CONFIG~1\TEMPOR~1\content.IE5

 

1 - "C:\Lop SD\LopR_1.txt" - 19/05/2009|12:02 - Option : [2]

 

--------------------\\ Verificação completa em 12:02:41

 

 

Gostaria de saber se eu posso deletar as pastas criadas em C: por esses aplicativos (pasta Avenger - dentro estao as pastas que tínhamos deletados e um arquivo de Backup; e pasta Lop SD - tem um monte de arquivos)

[Power Max 54]

Gostaria de saber se eu posso deletar as pastas criadas em C: por esses aplicativos (pasta Avenger - dentro estao as pastas que tínhamos deletados e um arquivo de Backup; e pasta Lop SD - tem um monte de arquivos)

:seta: Delete o programa Avenger, o arquivo C:\avenger.txt e a pasta C:\avenger

 

:seta: Delete também o programa Lop S&D, a pasta C:\Lop SD e o log dele que está em C:\lopR.txt

________________________________________________________________________________

 

Como está o seu PC atualmente?

[Helolima 0]

Não consegui deletar a pasta do Avenger.. lembra que falei que a pasta que eu tinha deletado pelo software tava dentro da pasta do Avenger? os arquivos sumiram de dentro da pasta, apenas tem um que é o que impede que eu delete a pasta. O arquivo se chama psexec.cfexe

fora isso ele ta tranquilo. consigo atualizar o avira manualmente apenas.. continuo não conseguindo fazer update, como nao conseguia com o AVG. :)

[Power Max 54]

:seta: Exclua o log do Avenger que está em C:\avenger.txt

_______________________________________________________________________

 

:seta: Selecione e copie (Ctrl+C) todo o texto dentro do CODE (caixa branca) abaixo:

 

Folders to delete:C:\32788R22FWJFWC:\32788R22FWJFW.0.tmp

 

*Execute o programa Avenger

*Clique em [Load Script] > [Paste from Clipboard]

*Clique em [Execute] > [OK]

*O PC será reiniciado

__________________________________________________________________________

 

:seta: Rode o Pocket KillBox e marque a opção Delete on Reboot.

 

3º- Clique na pastinha amarela como mostra esta imagem abaixo, selecione este arquivo psexec.cfexe e clique no botão Ok:

 

 

4º- Clique no [ X ] e responda Sim para que o computador seja reiniciado para a exclusão do arquivo. Caso o PC não reinicie automaticamente, reinicie-o manualmente.

__________________________________________________________________________

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do SDFix:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

 

Salve-o em sua Área de Trabalho (desktop).

 

Dê um duplo clique no SDFix.exe e a Ferramenta será instalada geralmente em C:\SDFix

 

Reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e selecione a opção de Modo Seguro ou Modo de Segurança;

 

Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat

 

Tecle Y para que a Ferramenta inicie o processo de remoção.

 

Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar.

 

Ao pressionar qualquer tecla, o computador será reiniciado automaticamente.

 

Após reiniciar, a Ferramenta ainda será executada novamente e irá terminar o seu trabalho, e ao surgir "The FixTool has finished", pressione qualquer tecla, uma janela com o Relatório do SDFix irá aparecer.

 

Caso você tenha fechado a janela, uma cópia do Relatório estará na pasta SDFix com o nome Report.txt.

 

Poste este relatório do SDFix na sua próxima resposta juntamente com o log do Avenger que estará em C:\avenger.txt e um novo log do Hijackthis e nos diga como está o seu computador depois de seguir estes procedimentos. Ficamos no aguardo.

 

Depois de usar o SDFix, delete a ferramenta SDFix e a pasta C:\SDFix.

[Helolima 0]

Oi

 

duas pastas que nao estava conseguindo deletar, depois que usei o Avenger, mudaram de diretório

 

C:\Avenger\32788R22FWJFW

C:\Avenger\32788R22FWJFW.0.tmp

 

Então, ao usar o KillBox

Tentei deletar os arquivos que estavam dentro dessas pastas, titulados de: psexec.cfexe

 

Ao deletar, pediu p/ reiniciar, dei OK, mas logo após apareceu a seguinte mensagem:

 

"Pending File rename operations Registry Data has been Removed by external Process!"

 

Log do KillBox:

 

Pocket Killbox version 2.0.0.978

Running on Windows XP as HELOISA(Administrator)

was started @ terça-feira, maio 26, 2009, 8:47 AM

 

# 1 [Delete on Reboot]

Path = C:\Avenger\32788R22FWJFW\psexec.cfexe

 

 

# 2 [Delete on Reboot]

Path = C:\Avenger\32788R22FWJFW.0.tmp\psexec.cfexe

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 8:50:25 AM

Killbox Closed(Exit) @ 8:50:28 AM

[Power Max 54]

duas pastas que nao estava conseguindo deletar, depois que usei o Avenger, mudaram de diretório

:thumbsup: Tudo bem, mas siga as dicas que te passei para executar o Sdfix e poste o log dele.

________________________________________________________________________________

 

:seta: Siga também as dicas deste tutorial:

 

Tutorial do Kaspersky Virus Removal Tool

 

Na sua próxima resposta poste este log do Kaspersky Virus Removal Tool juntamente com um novo log do Hijackthis e com o log do Sdfix e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.