[Mohi212]

oi. Meu computador está definitivamente infectar pelo trojan, malware ou spyware. Sempre que abro o meu computador, aparece um balão a partir da barra de tarefas dizendo que meu computador está infectado e, de repente todos esses anúncios pop-up e continuar a abrir novas. e creio teses processos que eu vejo no Gerenciador de Tarefas são respnsible

algo como lssmon.exe, lssmgr.exe (pode não ser exactamente o mesmo) porque quando eu fechar-lhes o balão desaparece.

Anyways, aqui é o meu hijack log, assim plz help me out.


Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 1:52:14, em 9/6/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Executando processos:
D: \ WINDOWS \ System32 \ smss.exe
D: \ WINDOWS \ SYSTEM32 \ winlogon.exe
D: \ WINDOWS \ system32 \ Services.exe
D: \ WINDOWS \ system32 \ lsass.exe
D: \ WINDOWS \ system32 \ svchost.exe
D: \ WINDOWS \ System32 \ svchost.exe
D: \ WINDOWS \ explorer.exe
D: \ WINDOWS \ system32 \ svchost.exe
D: \ WINDOWS \ system32 \ slserv.exe
D: \ WINDOWS \ system32 \ wscntfy.exe
D: \ Program Files \ Opera \ opera.exe
E: \ TODAS AS Softwares \ HiJackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar =

http://us.rd.yahoo.com/customize/yco...search/ie.html
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page =

http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = about: em branco
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ SearchURL, (Default) =

http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
F2 - REG: system.ini: Shell = explorer.exe ssvichosst.exe
O2 - BHO: DAPHelper Class - (0000CC75-ACF3-4cac-A0A9-DD3868E06852) - D: \ Program

Files \ DAP \ DAPBHO.dll
O2 - BHO: IDM Helper - (0055C089-8582-441B-A0BF-17B458C2A3A8) - D: \ Arquivos de Programas \ Internet

Download Manager \ IDMIECC.dll
O2 - BHO: (no name) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (no arquivo)
O2 - BHO: Skype add-on (regente) - (22BF413B-C6D2-4d91-82A9-A0F997BA588C) - D: \ Program

Files \ Skype \ Toolbars \ Internet Explorer \ SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - d: \ program

files \ google \ googletoolbar2.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - d: \ program

files \ google \ googletoolbar2.dll
O4 - HKLM \ .. \ Run: [QuickTime Task] "D: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [PCSuiteTrayApplication] D: \ Program Files \ Nokia \ Nokia PC Suite

6 \ LaunchApplication.exe-startup
O4 - HKLM \ .. \ Run: [googletalk] D: \ Arquivos de Programas \ Google \ Google Talk \ googletalk.exe / Autostart
O4 - HKLM \ .. \ Run: [Layersecurity Servicemonitor] D: \ WINDOWS \ system32 \ LSSMON.EXE
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Nokia.PCSync] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe

/ NoDialog (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Nokia.PCSync] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe

/ NoDialog (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D: \ Program Files \ Microsoft Office \ Office10 \ Osa.exe
O8 - Extra context menu item: & Baixar com & DAP - D: \ PROGRA ~ 1 \ DAP \ dapextie.htm
O8 - Extra context menu item: Download & all with DAP - D: \ PROGRA ~ 1 \ DAP \ dapextie2.htm
O8 - Extra context menu item: Baixar todos os links com IDM - D: \ Arquivos de Programas \ Internet Download

Manager \ IEGetAll.htm
O8 - Extra context menu item: Download FLV vídeo com conteúdo IDM - D: \ Arquivos de Programas \ Internet Download

Manager \ IEGetVL.htm
O8 - Extra context menu item: Download com IDM - D: \ Arquivos de Programas \ Internet Download

Manager \ IEExt.htm
O8 - Extra context menu item: E & xportar para o Microsoft Excel --

res: / / D: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office10 \ EXCEL.EXE/3000
O9 - Extra button: Run DAP - (669695BC-A811-4A9D-8CDF-BA8C795F261C) --

D: \ PROGRA ~ 1 \ DAP \ DAP.EXE
O9 - Extra button: Skype - (77BF5300-1474-4EC7-9980-D32B190E9B07) - D: \ Program

Files \ Skype \ Toolbars \ Internet Explorer \ SkypeIEPlugin.dll
O9 - Extra button: AIM - (AC9E2541-2814-11d5-BC6D-00B0D0A1DE45) - D: \ Program Files \ AIM \ aim.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - D: \ Program

Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) --

D: \ Program Files \ Messenger \ msmsgs.exe
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) --

D: \ PROGRA ~ 1 \ common ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D: \ Program

Files \ Ares \ chatServer.exe
O23 - Service: avast! Antivírus avast! SamSs (avast! SamSs) - Unknown owner --

D: \ WINDOWS \ system32 \ dllcaches.exe
O23 - Service: Google Updater Service (gusvc) - Google - D: \ Arquivos de Programas \ Google \ Common \ Google

Updater \ GoogleUpdaterService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - D: \ Program Files \ Sunbelt

Software \ CounterSpy \ SBCSSvc.exe (arquivo ausente)
O23 - Service: ServiceLayer - Nokia. - D: \ Program Files \ PC Connectivity Solution \ ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D: \ WINDOWS \ SYSTEM32 \ slserv.exe

--
Fim do processo - 4603 bytes

[evilfantasy]

Olá Mohi212. Bem-vindo ao CJ.

Desactivar Counterspy para que ele não bloqueie as correções que fazemos.

Direito clique no ícone da bandeja e desligue Counterspy.

----------

Abrir HijackThis e escolha Faça um sistema de verificação só.

Coloque uma marca de verificação ao lado dos seguintes entradas: (se houver)

• O2 - BHO: (no name) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (no arquivo)
• O4 - HKLM \ .. \ Run: [Layersecurity Servicemonitor] D: \ WINDOWS \ system32 \ LSSMON.EXE
• O23 - Service: avast! Antivírus avast! SamSs (avast! SamSs) - Unknown owner - D: \ WINDOWS \ system32 \ dllcaches.exe

Importante: Feche todas as janelas excepto no HijackThis e clique em Fix controlados.

Sair HijackThis.

----------

Ir para Iniciar> Executar e tipo Notepad.exe clique em OK.

Copie e cole o seguinte texto dentro da caixa para o novo código Bloco de notas arquivo.

Código:

@ Echo off sc stop avast! SamSs sc apagar avast! SamSs saída

No Bloco de notas, seleccione Arquivo e Salvar como
Escolha Guardar para a localização a ser o desktop e para o Nome do arquivo: tipo em fixme.bat certificando-se que o Salvar como tipo domínio diz Todos os arquivos.

Em seguida clique duas vezes fixservice.bat para executá-lo.
Uma caixa preta deve abrir e fechar após um curto período de tempo, isso é normal.
Não continue até que a caixa preta foi encerrada
Apagar fixservice.bat a partir do desktop.

----------

Nota: as instruções abaixo foram criados especificamente para este usuário. Se você não é esse usuário, NÃO siga estas instruções, uma vez que poderia danificar o funcionamento de seu sistema

Ir para Iniciar> Executar e tipo notepad.exe clique em OK

Copie o texto do Código caixa abaixo e cole-o no Bloco de notas.

Código:

REGEDIT4 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] "Layersecurity Servicemonitor" =-

No Bloco de notas vá para Arquivo> Salvar como ...

Próximo a Nome do arquivo: tipo fixme.reg Use a caixa suspensa ao lado de Salvar como tipo: e selecione Todos os arquivos. Guarde-o para o Desktop.

Deve existir agora um arquivo no desktop que se pareça com esta

Dê um duplo clique fixme.reg-lo e permitir-lhe fundir com a Secretaria.

Você não pode ver nada acontecer, mas dar-lhe alguns segundos ou mais para concluir.

Agora fixme.reg apagar o ficheiro a partir do desktop.

Reinicie o computador.

----------

Agora execute uma nova varredura HijackThis e postar o log.

Importante: Quando o log do HijackThis surge no Bloco de notas, antes de copiar-lo, vá para Formato e clique em Word Wrap. Em seguida, copie e cole o log aqui.

[Mohi212]

ei obrigado por sua ajuda. mas quando eu reiniciou o PC, o pop-up e que ainda estão a abertura balão dizendo spyware detectado. clique aqui para instalar anti-vírus ainda está aparecendo

De qualquer forma, aqui está o log hijack após o reinício.


Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 5:03:35, em 9/6/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Executando processos:
D: \ WINDOWS \ System32 \ smss.exe
D: \ WINDOWS \ SYSTEM32 \ winlogon.exe
D: \ WINDOWS \ system32 \ Services.exe
D: \ WINDOWS \ system32 \ lsass.exe
D: \ WINDOWS \ system32 \ svchost.exe
D: \ WINDOWS \ System32 \ svchost.exe
D: \ WINDOWS \ explorer.exe
D: \ WINDOWS \ system32 \ spoolsv.exe
D: \ WINDOWS \ system32 \ slserv.exe
D: \ WINDOWS \ system32 \ wscntfy.exe
E: \ TODAS AS Softwares \ HiJackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/yco...search/ie.html
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = about: em branco
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ SearchURL, (Default) = http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
F2 - REG: system.ini: Shell = explorer.exe ssvichosst.exe
O2 - BHO: DAPHelper Class - (0000CC75-ACF3-4cac-A0A9-DD3868E06852) - D: \ Program Files \ DAP \ DAPBHO.dll
O2 - BHO: IDM Helper - (0055C089-8582-441B-A0BF-17B458C2A3A8) - D: \ Arquivos de Programas \ Internet Download Manager \ IDMIECC.dll
O2 - BHO: Skype add-on (regente) - (22BF413B-C6D2-4d91-82A9-A0F997BA588C) - D: \ Program Files \ Skype \ Toolbars \ Internet Explorer \ SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - d: \ Arquivos de programas \ google \ googletoolbar2.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - d: \ Arquivos de programas \ google \ googletoolbar2.dll
O4 - HKLM \ .. \ Run: [QuickTime Task] "D: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [PCSuiteTrayApplication] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ LaunchApplication.exe-startup
O4 - HKLM \ .. \ Run: [googletalk] D: \ Arquivos de Programas \ Google \ Google Talk \ googletalk.exe / Autostart
O4 - HKLM \ .. \ Run: [Layersecurity Servicemonitor] D: \ WINDOWS \ system32 \ LSSMON.EXE
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Nokia.PCSync] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe / NoDialog (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Nokia.PCSync] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe / NoDialog (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D: \ Program Files \ Microsoft Office \ Office10 \ Osa.exe
O8 - Extra context menu item: & Baixar com & DAP - D: \ PROGRA ~ 1 \ DAP \ dapextie.htm
O8 - Extra context menu item: Download & all with DAP - D: \ PROGRA ~ 1 \ DAP \ dapextie2.htm
O8 - Extra context menu item: Baixar todos os links com IDM - D: \ Arquivos de Programas \ Internet Download Manager \ IEGetAll.htm
O8 - Extra context menu item: Download FLV vídeo com conteúdo IDM - D: \ Arquivos de Programas \ Internet Download Manager \ IEGetVL.htm
O8 - Extra context menu item: Download com IDM - D: \ Arquivos de Programas \ Internet Download Manager \ IEExt.htm
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / D: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office10 \ EXCEL.EXE/3000
O9 - Extra button: Run DAP - (669695BC-A811-4A9D-8CDF-BA8C795F261C) - D: \ PROGRA ~ 1 \ DAP \ DAP.EXE
O9 - Extra button: Skype - (77BF5300-1474-4EC7-9980-D32B190E9B07) - D: \ Program Files \ Skype \ Toolbars \ Internet Explorer \ SkypeIEPlugin.dll
O9 - Extra button: AIM - (AC9E2541-2814-11d5-BC6D-00B0D0A1DE45) - D: \ Program Files \ AIM \ aim.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - D: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - D: \ Program Files \ Messenger \ msmsgs.exe
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - D: \ PROGRA ~ 1 \ common ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D: \ Program Files \ Ares \ chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D: \ Arquivos de Programas \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - D: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSSvc.exe (arquivo ausente)
O23 - Service: ServiceLayer - Nokia. - D: \ Program Files \ PC Connectivity Solution \ ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D: \ WINDOWS \ SYSTEM32 \ slserv.exe

--
Fim do processo - 4384 bytes

[evilfantasy]

Baixar Malwarebytes' Anti-Malware (MBAM)

• Dê um clique duplo mbam-setup.exe e siga as instruções para instalar o programa.
• Ao final, certifique-se de uma marca de verificação é colocada ao lado da seguinte forma:
  • Actualizar Malwarebytes' Anti-Malware
  • Lançamento Malwarebytes' Anti-Malware
• Em seguida, clique em Concluir.
• Se uma atualização for encontrada, ela vai baixar e instalar a versão mais recente.
• Uma vez carregado o programa, selecione Execute verificação rápidaE, em seguida, clique em Scan.
• Quando a pesquisa estiver concluída, clique em OKE, em seguida, Mostrar resultados para ver os resultados.
• Tenha certeza de que tudo está marcada, e clique em Remover Selecionados.
• Desinfecção Quando estiver concluída, será aberto um log no Bloco de Notas e você pode ser solicitado a reiniciar. (Veja Nota Extra)
• O log é automaticamente salvo pelo MBAM e pode ser visualizada clicando no separador no MBAM Logs.
• Copie e cole todo o relatório em sua próxima resposta.

Nota adicional: Se MBAM encontrar um arquivo que é difícil de remover, você será presenteado com 1 de 2 solicitações, clique em OK para deixar MBAM e quer avançar com o processo de desinfecção, se solicitado para reiniciar o computador, faça-o imediatamente.

[Mohi212]

este resultado é de verificação completa. quando fiz o exame é rápido a detectar a um adware que i removido.

Malwarebytes' Anti-Malware 1/26
Database version: 1120
5/1/2600 Windows Service Pack 2

9/7/2008 2:21:54
mbam-log-2008-09-07 (02-21-54). txt

Scan type: Full Scan (D: \ |)
Objetos digitalizados: 92811
Tempo decorrido: 38 minuto (s), 35 segundo (s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Valores do Registro infectados: 0
Dados de Registro Items Infected: 0
Pastas infectadas: 0
Arquivos infectados: 0

Memory Processes Infected:
(N º itens maliciosos detectados)

Memory Modules Infected:
(N º itens maliciosos detectados)

Registry Keys Infected:
(N º itens maliciosos detectados)

Valores do Registro infectados:
(N º itens maliciosos detectados)

Dados de Registro Items Infected:
(N º itens maliciosos detectados)

Folders Infected:
(N º itens maliciosos detectados)

Arquivos Infectados:
(N º itens maliciosos detectados)

[evilfantasy]

Download ComboFix por subcategorias de um dos links abaixo. Certifique-se de guardá-lo para o topo Desktop.

Link # 1
Link # 2

** Nota: É importante que ele é guardado directamente para o seu desktop

Feche todos os browsers abertos. (Firefox, Internet Explorer, etc) antes de iniciar ComboFix.

Temporariamente desabilitar seu antivírus, E qualquer antispyware proteção em tempo real antes realizar uma varredura. Clique este link para ver uma lista de programas de segurança que devem ser desativados e como desativá-los.

Dê um clique duplo combofix.exe e siga as instruções.
Quando terminar ComboFix irá produzir um log para você.
Publicar a Log ComboFix e um novo HijackThis log na sua próxima resposta.

Importante: Não mouseclick ComboFix da janela enquanto ele está sendo executado. Isso pode fazer com que a barraca.

Lembre-se de reativar a sua protecção antivírus e antispyware ComboFix quando estiver completa.

[Mohi212]

aqui está o combo fix log. Quando após reiniciar, ele estava fazendo o registro, a esses pop-ups e balão apareceu novamente.

aqui está.

ComboFix 08-09-05.02 - Burhan 2008-09-07 13:40:43.1 -- FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.24 [GMT 5:00] Executando de: D: \ Documents and Settings \ Burhan \ Desktop \ ComboFix.exe
* Criado um novo ponto restaurar

ATENÇÃO-ESTE NÃO TEM MÁQUINA DE RECUPERAÇÃO CONSOLE INSTALLED!
.

((((((((((((((((((((((((((((((((((((((( Outros Supressões ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

D: \ Documents and Settings \ Burhan \ Cookies \ burhan@ad.yieldmanager [1]. Txt
D: \ Documents and Settings \ Burhan \ Cookies \ Burhan @ antispywaremaster [2]. Txt
D: \ Documents and Settings \ Burhan \ Configurações locais \ Temporary Internet Files \ descript.ion
D: \ setup.exe
D: \ WINDOWS \ system32 \ autorun.ini
D: \ WINDOWS \ system32 \ avpo0.dll
D: \ WINDOWS \ system32 \ SCVHSOT.exe
D: \ WINDOWS \ system32 \ setting.ini
D: \ WINDOWS \ system32 \ spool.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers / Serviços )))))))) )))))))))))))))))))))))))))))))))))))))))
.

------- \ Legacy_CSNETMANAGERXP
------- \ Legacy_SYSREST.SYS


((((((((((((((((((((((((( Arquivos criados a partir de 2008/08/07 a 2008/09/07 ))))))))))) ))))))))))))))))))))
.

2008/09/07 13:47. 2008/09/07 13:47 <dir> d - hs ---- D: \ FOUND.145
2008/09/06 13:10. 2008/09/06 13:10 <dir> d -------- D: \ Program Files \ XoftSpySE
2008/09/06 00:19. 2008/09/06 00:19 <dir> d - hs ---- D: \ FOUND.144
2008/09/05 23:07. 2008/09/05 23:37 741,376 - a ------ D: \ WINDOWS \ system32 \ msupd32.exe
2008/09/05 22:29. 2008/09/05 23:37 741,376 - a ------ D: \ WINDOWS \ system32 \ LSSMON.EXE
2008/09/05 22:29. 2008/09/04 17:49 17,920 - a ------ D: \ WINDOWS \ system32 \ LSASSMGR.EXE
2008/09/05 17:04. 2008/09/05 22:41 54,156 - ah ----- D: \ WINDOWS \ QTFont.qfn
2008/09/05 17:04. 2008/09/05 17:04 1409 - a ------ D: \ WINDOWS \ QTFont.for
2008/09/05 15:15. 2008-09-07 13:48 0 - a ------ D: \ WINDOWS \ system32 \ bsc32.dll
2008/09/05 15:14. 2008/09/05 15:14 <dir> d - hs ---- D: \ FOUND.143
2008/09/05 13:25. 2008/09/05 13:25 <dir> d - hs ---- D: \ FOUND.142
2008/09/05 00:39. 2008/09/05 00:39 <dir> d - hs ---- D: \ FOUND.141
2008/09/04 18:19. 2008/09/04 18:19 <dir> d -------- D: \ Documents and Settings \ LocalService \ Application Data \ Yahoo!
2008/09/04 17:49. 2008/09/05 23:37 741,376 - a ------ D: \ WINDOWS \ divx32.dll
2008/09/04 17:49. 2008/09/04 17:49 17,920 - a ------ D: \ WINDOWS \ system32 \ srtsrv32.exe
2008/09/04 17:48. 2008/09/05 12:40 741,376 - a ------ D: \ WINDOWS \ system32 \ upd01.exe
2008/09/04 17:45. 2008/09/04 17:45 <dir> d - hs ---- D: \ FOUND.140
2008/09/04 07:11. 2008/09/04 07:11 <dir> d -------- D: \ Documents and Settings \ Burhan \ Application Data \ Yahoo!
2008/09/03 12:21. 2008/09/03 12:21 <dir> d - hs ---- D: \ FOUND.139
2008/09/01 20:51. 2008/09/01 20:51 <dir> d - hs ---- D: \ FOUND.138
2008/08/31 13:53. 2008/08/31 13:53 <dir> d - hs ---- D: \ FOUND.137
2008/08/28 23:04. 2008/08/28 23:04 <dir> d - hs ---- D: \ FOUND.136
2008/08/27 08:13. 2008/08/27 08:13 <dir> d - hs ---- D: \ FOUND.135
2008/08/27 00:54. 2008/08/27 00:54 4096 - a ------ D: \ WINDOWS \ d3dx.dat
2008/08/26 10:33. 2008/08/26 10:33 <dir> d - hs ---- D: \ FOUND.134
2008/08/26 02:27. 2008/08/26 02:27 <dir> d - hs ---- D: \ FOUND.133
2008/08/26 01:07. 2008/08/26 01:07 <dir> d - hs ---- D: \ FOUND.132
2008/08/26 00:15. 2008/08/26 00:15 <dir> d - hs ---- D: \ FOUND.131
2008/08/25 23:13. 2008/08/25 23:13 <dir> d -------- D: \ Program Files \ Microsoft Encarta
2008/08/25 18:41. 2008/08/25 18:41 <dir> d - hs ---- D: \ FOUND.130
2008/08/25 17:09. 2008/08/25 17:09 <dir> d - hs ---- D: \ FOUND.129
2008/08/25 08:14. 2008/08/25 08:14 <dir> d - hs ---- D: \ FOUND.128
2008/08/25 06:09. 2008/08/25 06:09 23,552 - a ------ D: \ Documents and Settings \ Burhan \ S87ekhV.exe
2008/08/25 06:00. 2008/08/25 06:00 <dir> d - hs ---- D: \ FOUND.127
2008/08/25 05:36. 2008/08/25 05:36 <dir> d - hs ---- D: \ FOUND.126
2008/08/24 23:36. 2008/08/24 23:36 <dir> d - hs ---- D: \ FOUND.125
2008/08/24 03:11. 2008/08/24 03:11 <dir> d - hs ---- D: \ FOUND.124
2008/08/23 12:06. 2008/08/23 12:06 <dir> d - hs ---- D: \ FOUND.123
2008/08/23 10:55. 2008/08/23 10:55 <dir> d - hs ---- D: \ FOUND.122
2008/08/23 08:38. 2008/08/23 08:38 <dir> d - hs ---- D: \ FOUND.121
2008/08/23 01:49. 2008/08/23 01:49 <dir> d - hs ---- D: \ FOUND.120
2008/08/22 18:20. 2008/08/22 18:20 <dir> d - hs ---- D: \ FOUND.119
2008/08/20 21:05. 2008/08/20 21:05 <dir> d -------- D: \ spoolerlogs
2008/08/19 22:32. 2008/08/19 22:32 <dir> d - hs ---- D: \ FOUND.118
2008/08/19 22:12. 2008/08/19 22:12 <dir> d - hs ---- D: \ FOUND.117
2008/08/19 16:13. 2008/08/19 16:13 <dir> d - hs ---- D: \ FOUND.116
2008/08/18 03:50. 2008-08-18 03:51 108 - a ------ D: \ Documents and Settings \ Burhan \ Application Data \ netstat.bat
2008/08/17 09:54. 2008/08/17 09:54 <dir> d - hs ---- D: \ FOUND.115
2008/08/13 02:42. 2008/08/13 02:42 <dir> d - hs ---- D: \ FOUND.114
2008/08/12 16:17. 2008/08/12 16:17 <dir> d - hs ---- D: \ FOUND.113
2008/08/11 13:37. 2008-09-05 22:31 0 - a ------ D: \ WINDOWS \ system32 \ sc02.sc
2008/08/11 13:33. 2008/08/11 13:33 <dir> d - hs ---- D: \ FOUND.112
2008/08/11 10:55. 2008/08/11 10:55 857,037 - a ------ D: \ WINDOWS \ system32 \ CSRLT.EXE
2008/08/11 10:55. 2008/08/11 10:55 857,037 - a ------ D: \ WINDOWS \ MSBLT.EXE
2008/08/09 02:36. 2008/08/09 02:36 <dir> d - hs ---- D: \ FOUND.111
2008/08/08 21:17. 2008/08/08 21:17 <dir> d - hs ---- D: \ FOUND.110
2008/08/08 16:54. 2008/08/08 16:54 <dir> d - hs ---- D: \ FOUND.109
2008/08/08 02:35. 2008/08/08 02:35 <dir> d -------- D: \ Documents and Settings \ Burhan \ Application Data \ GlarySoft
2008/08/08 02:20. 2008/08/08 02:20 <dir> d -------- D: \ Program Files \ Glary Registry Repair
2008/08/08 00:18. 2008/08/08 00:18 <dir> d -------- D: \ Documents and Settings \ All Users \ Application Data \ Lavasoft
2008/08/07 20:27. 2008/08/07 20:27 <dir> d -------- D: \ Arquivos de Programas \ Internet Download Manager
2008/08/07 20:27. 2008/08/07 20:27 <dir> d -------- D: \ Documents and Settings \ Burhan \ Dados de aplicativos \ IDM
2008/08/07 14:01. 2008/08/07 14:01 <dir> d - hs ---- D: \ FOUND.108
2008/08/07 01:26. 2008/08/07 01:26 <dir> d -------- D: \ Documents and Settings \ All Users \ Application Data \ TEMP

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008/09/01 19:16 38,528 ---- aw D: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys
2008/09/01 19:16 17,200 ---- aw D: \ WINDOWS \ system32 \ drivers \ mbam.sys
2008/08/04 22:08 109,150 ---- aw D: \ WINDOWS \ system32 \ drivers \ b88b9e8e.sys
2008/08/04 16:05 --------- d ----- w D: \ Program Files \ Malwarebytes' Anti-Malware
2008/08/04 16:05 --------- d ----- w D: \ Documents and Settings \ Burhan \ Application Data \ Malwarebytes
2008/08/04 16:05 --------- d ----- w D: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2008/07/30 16:24 499,712 ---- aw D: \ WINDOWS \ system32 \ msvcp71.dll
2008/07/30 16:24 348,160 ---- aw D: \ WINDOWS \ system32 \ msvcr71.dll
2008/07/29 22:43 --------- d ----- w D: \ Documents and Settings \ All Users \ Dados de aplicativos \ ACD Systems
2008/07/29 22:42 --------- d ----- w D: \ Program Files \ Common Files \ ACD Systems
2008/07/29 22:42 --------- d ----- w D: \ Program Files \ ACD Systems
2008/07/21 16:50 --------- d ----- w D: \ Documents and Settings \ Burhan \ Application Data \ uTorrent
2008/07/21 11:05 --------- d ----- w D: \ Program Files \ uTorrent
2008/07/19 19:28 --------- d ----- w D: \ Documents and Settings \ Burhan \ Application Data \ DMCache
2008/07/19 10:00 --------- d ----- w D: \ Program Files \ Common Files \ L & H
2008/07/17 13:32 --------- d ----- w D: \ Documents and Settings \ All Users \ Application Data \ Kaspersky Lab Setup Files
2008/07/17 01:11 --------- d ----- w D: \ Program Files \ Ares
2008/07/16 23:15 --------- d ----- w D: \ Program Files \ Advantage
2008/07/09 22:08 41,984 - sh - r D: \ WINDOWS \ system32 \ dllcaches.exe
2008/06/27 21:05 33,576 ---- aw D: \ Documents and Settings \ Burhan \ Application Data \ GDIPFONTCACHEV1.DAT
2008/06/22 15:33 7,680 ---- aw D: \ WINDOWS \ system32 \ ff_vfw.dll
2008/06/22 15:33 60,273 ---- aw D: \ WINDOWS \ system32 \ pthreadGC2.dll
.

------- ------- Sigcheck

2004/08/03 21:14 359,040 1745b00fc1141404b28f4b94f69a8871 D: \ WINDOWS \ system32 \ drivers \ tcpip.sys
2004/08/03 21:14 359,040 1745b00fc1141404b28f4b94f69a8871 D: \ WINDOWS \ system32 \ dllcache \ tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Nota * entradas vazias & legit entradas padrão não são mostrados
REGEDIT4

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"QuickTime Task" = "D: \ Program Files \ QuickTime \ qttask.exe" [2006-09-01 282624]
"PCSuiteTrayApplication" = "D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ LaunchApplication.exe" [2007-06-18 271360]
"googletalk" = "D: \ Arquivos de Programas \ Google \ Google Talk \ googletalk.exe" [2007-01-02 3739648]
"Layersecurity Servicemonitor" = "D: \ WINDOWS \ system32 \ LSSMON.EXE" [2008-09-05 741376]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"Nokia.PCSync" = "D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe" [2007-06-19 1241088]

D: \ Documents and Settings \ All Users \ Menu Iniciar \ Programas \ Startup \
Microsoft Office.lnk - D: \ Program Files \ Microsoft Office \ Office10 \ Osa.exe [2001-02-13 83360]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = sockspy.dll

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ drivers32]
"VIDC.D263" = xl_x263dec.dll
"VIDC.YV12" = xl_yv12.dll

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ imagem execução opções \ firefox.exe]
"Debugger" = D: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ imagem execução opções \ iexplore.exe]
"Debugger" = D: \ Arquivos de Programas \ Internet Explorer \ iexplor.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ imagem execução opções \ spoolsv.exe]
"Debugger" = D: \ WINDOWS \ system32 \ spool.exe

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ Sessmgr.exe" =
"D: \ \ Arquivos de Programas \ \ Ares \ \ Ares.exe" =
"D: \ \ Arquivos de Programas \ \ AIM \ \ aim.exe" =
"D: \ \ Arquivos de Programas \ \ Messenger \ \ msmsgs.exe" =
"D: \ \ Arquivos de Programas \ \ MSN Messenger \ \ msnmsgr.exe" =
"D: \ \ Arquivos de Programas \ \ MSN Messenger \ \ livecall.exe" =
"D: \ \ Arquivos de Programas \ \ NetMeeting \ \ conf.exe" =
"D: \ \ Arquivos de Programas \ \ Opera \ \ Opera.exe" =
"D: \ \ Arquivos de Programas \ \ uTorrent \ \ uTorrent.exe" =
"D: \ \ Arquivos de Programas \ \ Google \ \ Google Talk \ \ googletalk.exe" =
"D: \ \ Arquivos de Programas \ \ Skype \ \ Phone \ \ Skype.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"5000: TCP" = 5000: TCP: AresChatServer

R2 dmsmbios; dmsmbios, D: \ WINDOWS \ system32 \ dmsmbios.sys [2001-05-31 16480]
R3 XIRLINK; IBM PC Camera; D: \ WINDOWS \ system32 \ DRIVERS \ C-itnt.sys [1999-10-19 435655]
S0 SBHR; SBHR, D: \ WINDOWS \ system32 \ drivers \ sbhr.sys []
S1 b88b9e8e; b88b9e8e, D: \ WINDOWS \ system32 \ drivers \ b88b 9e8e.sys [2008/08/05 109150]
S3 AvFlt; Antivirus Filter Driver; D: \ WINDOWS \ system32 \ drivers \ av5flt.sys []
S3 SBRE; SBRE, D: \ WINDOWS \ system32 \ drivers \ SBREdrv.sys []

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ actuais ntversion \ explorer \ mountpoints2 \ (7bd71c60-e76a-11dc-a790-00065b298742)]
\ Shell \ AutoRun \ command - ntde1ect.com
\ Shell \ explore \ Command - ntde1ect.com
\ Shell \ open \ Command - ntde1ect.com

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ actuais ntversion \ explorer \ mountpoints2 \ (9dd929e0-69d0-11dd-a9b5-00065b298742)]
\ Shell \ AutoRun \ command - H: \ ntde1ect.com
\ Shell \ explore \ Command - H: \ ntde1ect.com
\ Shell \ open \ Command - H: \ ntde1ect.com

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ actuais ntversion \ explorer \ mountpoints2 \ (def7f600-a9a1-11dc-a733-00065b298742)]
\ Shell \ AutoRun \ command - H: \ ntde1ect.com
\ Shell \ explore \ Command - H: \ ntde1ect.com
\ Shell \ open \ Command - H: \ ntde1ect.com
.
Conteúdo da 'Tarefas agendadas' pasta
.
.
Scan Suplementar ------- -------
.
FireFox -: Profile - D: \ Documents and Settings \ Burhan \ Application Data \ Mozilla \ Firefox \ Profiles \ 419o3i2e.default \
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp: / / www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q =
FireFox -: prefs.js - STARTUP.HOMEPAGE - cerca de: em branco
FF -: plugin - D: \ Program Files \ Yahoo! \ Shared \ npYState.dll
.
.
------- File Associations (Beta) -------
.
.

************************************************** ************************

CatchMe 0.3.1361 W2K/XP/Vista - rootkit / stealth malware detector por Gmer, http://www.gmer.net
Rootkit scan 2008-09-07 13:48:19
5/1/2600 Windows Service Pack 2 FAT NTAPI

digitalizar processos escondidos ...

D: \ Arquivos de Programas \ Internet Explorer \ iexplor.exe [492] 0xFF7A8620
D: \ WINDOWS \ system32 \ LSASSMGR.EXE [1872] 0xFF832D60
D: \ WINDOWS \ system32 \ LSASSMGR.EXE [524] 0xFF8FD600

escaneamento automático entradas escondidas ...

digitalizar os arquivos ocultos ...

varredura foi concluída com êxito
ficheiros ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ----------------------- --
.
D: \ WINDOWS \ system32 \ Wdfmgr.exe
D: \ Program Files \ PC Connectivity Solution \ ServiceLayer.exe
D: \ WINDOWS \ system32 \ wscntfy.exe
D: \ Arquivos de Programas \ Internet Explorer \ iexplore.exe
.
************************************************** ************************
.
Conclusão time: 2008-09-07 13:52:17 - máquina foi reinicializada
ComboFix-quarantined-files.txt 2008-09-07 08:51:54

Pré-Run: 253.583.360 bytes livres
Post-Run: 537.141.248 bytes livres

216


aqui está o log hijack


Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 12:59:52, em 9/7/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Executando processos:
D: \ WINDOWS \ System32 \ smss.exe
D: \ WINDOWS \ system32 \ winlogon.exe
D: \ WINDOWS \ system32 \ Services.exe
D: \ WINDOWS \ system32 \ lsass.exe
D: \ WINDOWS \ system32 \ svchost.exe
D: \ WINDOWS \ System32 \ svchost.exe
D: \ WINDOWS \ system32 \ wscntfy.exe
D: \ WINDOWS \ explorer.exe
D: \ WINDOWS \ system32 \ taskmgr.exe
E: \ TODAS AS Softwares \ HiJackThis.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = about: em branco
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ SearchURL, (Default) = http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
O2 - BHO: DAPHelper Class - (0000CC75-ACF3-4cac-A0A9-DD3868E06852) - D: \ Program Files \ DAP \ DAPBHO.dll
O2 - BHO: IDM Helper - (0055C089-8582-441B-A0BF-17B458C2A3A8) - D: \ Arquivos de Programas \ Internet Download Manager \ IDMIECC.dll
O2 - BHO: Skype add-on (regente) - (22BF413B-C6D2-4d91-82A9-A0F997BA588C) - D: \ Program Files \ Skype \ Toolbars \ Internet Explorer \ SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - d: \ Arquivos de programas \ google \ googletoolbar2.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - d: \ Arquivos de programas \ google \ googletoolbar2.dll
O4 - HKLM \ .. \ Run: [QuickTime Task] "D: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [PCSuiteTrayApplication] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ LaunchApplication.exe-startup
O4 - HKLM \ .. \ Run: [googletalk] D: \ Arquivos de Programas \ Google \ Google Talk \ googletalk.exe / Autostart
O4 - HKLM \ .. \ Run: [Layersecurity Servicemonitor] D: \ WINDOWS \ system32 \ LSSMON.EXE
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Nokia.PCSync] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe / NoDialog (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Nokia.PCSync] D: \ Program Files \ Nokia \ Nokia PC Suite 6 \ PcSync2.exe / NoDialog (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D: \ Program Files \ Microsoft Office \ Office10 \ Osa.exe
O8 - Extra context menu item: & Baixar com & DAP - D: \ PROGRA ~ 1 \ DAP \ dapextie.htm
O8 - Extra context menu item: Download & all with DAP - D: \ PROGRA ~ 1 \ DAP \ dapextie2.htm
O8 - Extra context menu item: Baixar todos os links com IDM - D: \ Arquivos de Programas \ Internet Download Manager \ IEGetAll.htm
O8 - Extra context menu item: Download FLV vídeo com conteúdo IDM - D: \ Arquivos de Programas \ Internet Download Manager \ IEGetVL.htm
O8 - Extra context menu item: Download com IDM - D: \ Arquivos de Programas \ Internet Download Manager \ IEExt.htm
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / D: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office10 \ EXCEL.EXE/3000
O9 - Extra button: Run DAP - (669695BC-A811-4A9D-8CDF-BA8C795F261C) - D: \ PROGRA ~ 1 \ DAP \ DAP.EXE
O9 - Extra button: Skype - (77BF5300-1474-4EC7-9980-D32B190E9B07) - D: \ Program Files \ Skype \ Toolbars \ Internet Explorer \ SkypeIEPlugin.dll
O9 - Extra button: AIM - (AC9E2541-2814-11d5-BC6D-00B0D0A1DE45) - D: \ Program Files \ AIM \ aim.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - D: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - D: \ Program Files \ Messenger \ msmsgs.exe
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - D: \ PROGRA ~ 1 \ common ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D: \ Program Files \ Ares \ chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - D: \ Arquivos de Programas \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - D: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSSvc.exe (arquivo ausente)
O23 - Service: ServiceLayer - Nokia. - D: \ Program Files \ PC Connectivity Solution \ ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D: \ WINDOWS \ SYSTEM32 \ slserv.exe

--
Fim do processo - 4350 bytes

[evilfantasy]

Nota: as instruções abaixo foram criados especificamente para este usuário. Se você não é esse usuário, NÃO siga estas instruções, uma vez que poderia danificar o funcionamento de seu sistema

Excluir esses arquivos / pastas, como se segue:

1. Ir para Iniciar > Correr > Tipo Notepad.exe e clique em OK para abrir o Bloco de Notas.
Ele deve ser Notepad, Wordpad não.
2. Copie o código abaixo o texto na caixa de realce todo o texto e pressionar Ctrl + C

Código:

3. Vá até a janela e clique em Bloco de notas Editar > Colar
4. Em seguida, clique em Arquivo > Salvar
5. Nome do arquivo CFScript.txt - Salve o arquivo para o seu desktop
6. Em seguida, arraste o CFScript (mantenha o botão esquerdo do mouse ao arrastar o arquivo) e largá-la (liberar o botão esquerdo do mouse) em ComboFix.exe como você vê na imagem abaixo. Importante: Realize estas instruções cuidadosamente!



ComboFix irá começar a executar, basta seguir as instruções na tela.
Após o reboot (no caso ele pede para reiniciar), que irá produzir um log para você.
Post que log (Combofix.txt) em sua próxima resposta.

Nota: Não mouseclick ComboFix da janela enquanto ele está sendo executado. Isso pode fazer com que seu sistema de congelar

[Mohi212]

Lamento homem, mas o resultado Combofix arquivo foi 725 kb tão wasnt poder colá-lo por aqui e por isso teve de carregá-lo no formato. Zip. Esperamos thats ok.

[evilfantasy]

Baixar OTMoveIt2 por OldTimer

• Salvar -lo ao seu desktop.

Nota: Se você estiver executando em Vista, clique com o botão direito sobre OTMoveIt2.exe e escolha Executar como administrador.

• Dê um clique duplo OTMoveIt2.exe para executá-lo.
• Copie as linhas no codebox abaixo.

Código:

[matar explorer] D: \ FOUND.145 D: \ FOUND.144 D: \ FOUND.143 D: \ FOUND.142 D: \ FOUND.141 D: \ FOUND.140 D: \ FOUND.139 D: \ FOUND ,138 D: \ FOUND.137 D: \ FOUND.136 D: \ FOUND.135 D: \ FOUND.134 D: \ FOUND.133 D: \ FOUND.132 D: \ FOUND.131 D: \ FOUND.130 D: \ FOUND.129 D: \ FOUND.128 D: \ FOUND.127 D: \ FOUND.126 D: \ FOUND.125 D: \ FOUND.124 D: \ FOUND.123 D: \ FOUND.122 D: \ FOUND.121 D: \ FOUND.120 D: \ FOUND.119 D: \ spoolerlogs D: \ FOUND.118 D: \ FOUND.117 D: \ FOUND.116 D: \ FOUND.115 D: \ FOUND.114 D: \ FOUND.113 D: \ FOUND.112 D: \ FOUND.111 D: \ FOUND.110 D: \ FOUND.109 D: \ FOUND.108 EmptyTemp [start explorer]

• Retornar para OTMoveIt2, clique direito no Colar lista de arquivos / pastas a Mover janela (sob a barra amarela) e escolha Colar

• Clique no vermelho Moveit! botão.
• Copie tudo na janela de resultados (sob a barra verde) e colá-lo na sua próxima resposta.
• Fechar OTMoveIt2

----------

Também deixe-me saber como as coisas estão agora.