Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Leandrometalzero

Vírus extremamente persistente

Recommended Posts

Boa Noite!

Estou com um vírus em meu PC à mais de 11 meses e, salvo melhor juízo, trata-se do $Recycle.Bin. Esta praga, está deixando meu PC lento, minha internet está cheia de propagandas e está muito lenta também... Já tentei vários procedimentos, já pelegei horrores, mas ainda não deu certo... Passei o anti-vírus Kaspersky Internet Security 2015 e também o 2016, passei o AVG protection, o Avira 2016, o Microsoft Security Essencials, o Malwarebytes (inclusive no modo de segurança), o SpyHunter, inclusive no modo de segurança (mais de 9 horas de escaneamento), o limpador e otimizador Glary Utilities 5, já fiz o escaneamento com o AdwCleaner, com o CCleaner, passei o ComboFix, o UsbFix, dentre outros; e, apesar de terem sido encontradas várias porcarias oriundas desse vírus, esse tormento ainda permanece enraizado em minha máquina.

Meu computador está demorando para iniciar, demorando pra desligar, o áudio do PC está prejudicado e, mais recentemente o relógio do PC está atrasando; ou seja, o relógio atrasa, eu o acerto, depois quando reinicio minha máquina, lá está ele atrasado novamente; À princípio, o relógio estava atrasando algumas horas e, nos últimos tempos, após eu tê-lo acertado, ele está atrasando apenas alguns minutos, mas, continua atrasando...

O logo do vírus, são duas flores lado a lado, uma vermelha e a outra amarela... E dessas referidas figuras, eu encontro em alguns arquivos do PC, por exemplo no local do arquivo dos navegadores...

Quando ligo meu computador, dá um barulho estranho, fica durante vários minutos e depois passa; já tem mais de um ano e meio que está assim. Com relação a isso, também já pelegei um bocado tentando resolver mas não consegui...

Já formatei minha máquina 4 vezes, ao longo desse tempo, com 3 mídias diferentes do Windows, mas essa praga ainda se encontra entranhada em meu Pc, atormentando minha vida!

Enfim, meu Google Chrome está com vários Default/Cache, que variam desde o data_0 até o f_000773...

Vira e mexe, os ícones da minha área de trabalho, se transformam(tipo ficam como se fosse um ícone de um arquivo do bloco de notas, branco) e algum tempo depois eles voltam ao normal.

Enfim, galera do Fórum Clube do Hardware, será que vocês podem me ajudar?

De antemão eu agradeço!!

 

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites
diego_moicano    472

Caro @Leandrometalzero

 

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

 

  1. Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  2. O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  3. Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  4. Sempre coloque suas respostas neste tópico... Não abra outro!
  5. Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  6. Respeite a ordem das instruções passadas.

 

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Clique duas vezes para executar o jrt.exe.
 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
Leandrometalzero    0
  • Autor do tópico
  • Olá diego_moicano!

    Em primeiro lugar, lhe agradeço por ter respondido ao meu post!

    Estou encaminhando os logs solicitados...

     

     # AdwCleaner v5.105 - Relatório criado 23/03/2016 às 17:55:22
    # Atualizado 21/03/2016 por Xplode
    # Banco de dados : 2016-03-23.1 [Servidor]
    # Sistema operacional : Windows 7 Ultimate Service Pack 1 (x86)
    # Usuário : Leandro - LEANDRO-PC
    # Executando de : C:\Users\Leandro\Desktop\adwcleaner_5.105.exe
    # Opção : Limpar
    # Apoio : http://toolslib.net/forum

    ***** [ Serviços ] *****


    ***** [ Pastas ] *****


    ***** [ Arquivos ] *****


    ***** [ DLLs ] *****


    ***** [ Atalhos ] *****


    ***** [ Tarefas agendadas ] *****


    ***** [ Registro ] *****


    ***** [ Navegadores ] *****

    [-] [C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Excluído : br.ask.com

    *************************

    :: Políticas do IE excluídas
    :: Políticas do Chrome excluídas

    *************************

    C:\AdwCleaner\AdwCleaner[C1].txt - [863 bytes] - [23/03/2016 17:55:22]
    C:\AdwCleaner\AdwCleaner[S1].txt - [913 bytes] - [23/03/2016 17:52:56]

    ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1007 bytes] ##########

     

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.0.4 (03.14.2016)
    Operating System: Windows 7 Ultimate x86 
    Ran by Leandro (Administrator) on 23/03/2016 at 18:09:25,53
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    File System: 19 

    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6SG6TCSF (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8GKXYR8F (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IFR5SV58 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KJX1X6BD (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LH1QDUX0 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4CG5D2N (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TTFAWUPE (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Leandro\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WR416NNS (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\prefetch\WRCFREE.EXE-78E666D6.pf (File) 
    Successfully deleted: C:\Windows\prefetch\WRCFREE.TMP-60D56298.pf (File) 
    Successfully deleted: C:\Windows\prefetch\WRCFREE.TMP-B13E2B4A.pf (File) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6SG6TCSF (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8GKXYR8F (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IFR5SV58 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KJX1X6BD (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LH1QDUX0 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4CG5D2N (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TTFAWUPE (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WR416NNS (Temporary Internet Files Folder) 

    Deleted the following from C:\Users\Leandro\AppData\Roaming\Mozilla\Firefox\Profiles\g1wyfnah.default\prefs.js
    user_pref(extensions.xpiState, {\app-profile\:{\abs@avira.com\:{\d\:\C:\\\\Users\\\\Leandro\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\g1wyfnah.defau

    Registry: 0 

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 23/03/2016 at 18:11:29,78
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
     

    ~ ZHPCleaner v2016.3.22.44 by Nicolas Coolman (2016/03/22)
    ~ Run by Leandro (Administrator)  (23/03/2016 18:33:29)
    ~ Site : http://www.nicolascoolman.com
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version OK
    ~ Type : Scanner
    ~ Report : C:\Users\Leandro\Desktop\ZHPCleaner.txt
    ~ Quarantine : C:\Users\Leandro\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
    ~ UAC : Deactivate
    ~ Boot Mode : Normal (Normal boot)
    Windows 7 Ultimate, 32-bit Service Pack 1 (Build 7601)


    ---\\  Serviços (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Navegadores de Internet (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Arquivo hosts (1)
    ~ O arquivo hosts é legítimo (21)


    ---\\  Tarefas automáticas agendadas. (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Explorer ( Arquivos, Pastas) (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Registro ( Chaves, Valores, Dados ) (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\ Resultado de reparação
    ~ Eventuais reparações feita
    ~ Este navegador está faltando ! (Opera Software)


    ---\\ Estatísticas
    ~ Items scan : 53923
    ~ Items encontrado : 0
    ~ items cancelados : 0
    ~ Items réparo : 0


    ~ End of search in 00h09mn56s
    ===================
    ZHPCleaner--23032016-18_43_25.txt

     

    Gostaria apenas de ressaltar que, eu pude perceber que alguns certificados digitais em meu PC, estão com o prazo de validade expirado e, alguns outros eu tenho uma séria desconfiança, que não são legítimos... Como eu não sou nenhum expert no assunto, achei por bem não mexer para não causar mais problemas... Mas se for possível, gostaria de orientações e ajuda neste sentido também.

    De plano, eu agradeço muito! 
     

     

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Sobre certificados digitais: https://sac.uol.com.br/info/cartilha/fraudes/sec2.jhtm#subsec2.6

     

    Leia as instruções contidas neste link: "Como usar o ComboFix"
     
    Faça o download do ComboFix e salve em sua Área de Trabalho (Desktop).

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    • Clique duas vezes em ComboFix.exe salvo em sua Área de Trabalho (Desktop).
      • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
    • Leia e aceite as condições, teclando ENTER.
    • Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.
    • Poderá surgir o aviso que é necessário reiniciar o computador.  
    • NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.
    • Quando a ferramenta terminar, será gerado um log (o arquivo C:\ComboFix.txt).
    • Copie e cole o conteúdo desse arquivo em sua próxima resposta.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Olá diego_moicano, tudo bem?
    Peço desculpas pela demora em responder...
    Estou postando o log do ComboFix...
    Obs: Após o término do escaneamento do ComboFix, surgiu uma pasta, muito suspeita, de nome Qoobox, no meu C:/; dentro dela, tem outras pastas, quais sejam: BackEnv (quando eu tento abrí-la, aparece a msg dizendo que no momento eu não tenho pemissão para acessar esta pasta e, que eu devo clicar em continuar para obter acesso permanente a esta pasta, mas quando eu clico em continuar, surge uma outra msg dizendo que eu não obtive permissão para acessar a referida pasta); Quarantine (essa eu consigo abrir e tem algumas subpastas dentro), e os arquivos: Add-Remove Programs.txt e ComboFix-quarantined-files.txt  

     

     

     ComboFix 16-03-19.01 - Leandro 25/03/2016  19:01:34.1.1 - x86
    Microsoft Windows 7 Ultimate   6.1.7601.1.1252.55.1046.18.2239.1496 [GMT -3:00]
    Executando de: c:\users\Leandro\Desktop\ComboFix.exe
    AV: Avira Antivirus *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
    SP: Avira Antivirus *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
     * Criado um novo ponto de restauração
    .
    .
    (((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\ar\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\bg\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\ca\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\cs\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\da\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\de\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\el\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\en\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\es\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\fi\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\fr\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\gu\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\he\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\hr\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\hu\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\id\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\it\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\ja\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\ko\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\nb\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\nl\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\pl\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\pt_BR\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\pt_PT\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\ro\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\ru\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\sk\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\sl\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\sr\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\sv\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\tr\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\uk\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\vi\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\zh_CN\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_locales\zh_TW\messages.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_metadata\computed_hashes.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\_metadata\verified_contents.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\adblock_safari_beforeload.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\adblock_safari_contentblocking.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\adblock_start_chrome.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\adblock_start_common.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\background.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\bandaids.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\button\popup.css
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\button\popup.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\button\popup.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\CHANGELOG.txt
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\checkupdates.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\datacollection.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\declarativewebrequest.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\domainset.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\filternormalizer.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\filteroptions.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\filterset.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\filtertypes.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\filtering\myfilters.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\functions.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\gab_question.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\idlehandler.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\delete.gif
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\dropbox1.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\dropbox2.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\dropbox3.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\facebook-sprite.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\gplus-sprite.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon128.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon16.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon16_grayscale.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon16_grayscale@2x.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon19-grayscale.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon19-whitelisted.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon19.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon24.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon32.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon38-grayscale.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon38-whitelisted.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon38.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\icon48.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\loader.gif
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\logo.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\search\check.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\search\magnifying_glass.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\search\search-engine-card_no-shadow.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\search\search-engine-icons.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\search\search-omnibox-card_no-shadow.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\search\search_engine_select_arrow.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\img\twitter-sprite.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_flat_55_999999_40x100.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_flat_75_aaaaaa_40x100.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_glass_45_0078ae_1x400.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_glass_55_f8da4e_1x400.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_glass_75_79c9ec_1x400.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_gloss-wave_50_38cfff_500x100.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_gloss-wave_75_2191c0_500x100.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-bg_inset-hard_100_fcfdfd_1x100.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-icons_056b93_256x240.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\images\ui-icons_d8e7f3_256x240.png
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\jquery-ui.custom.css
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\css\override-page.css
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\jquery-ui.custom.min.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\jquery.cookie.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\jquery\jquery.min.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\LICENSE
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\manifest.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\notificationoverlay.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\bug-report.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\bug-report.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\customize.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\customize.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\filters.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\filters.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\general.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\general.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\index.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\index.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\options.css
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\support.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\options\support.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\adreport.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\adreport.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\resourceblock.css
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\resourceblock.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\resourceblock.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\subscribe.css
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\subscribe.html
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\pages\subscribe.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\port.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\punycode.min.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\README.markdown
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\stats.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\survey.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\translators.json
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\blacklisting\blacklistui.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\blacklisting\clickwatcher.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\blacklisting\elementchain.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\blacklisting\overlay.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\blacklisting\rightclick_hook.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\load_jquery_ui.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\send_content_to_back.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\top_open_blacklist_ui.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\uiscripts\top_open_whitelist_ui.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.53_0\ytchannel.js
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_gighmmpiobklfepjocnamgkkbiglidom_0.localstorage-journal
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_gighmmpiobklfepjocnamgkkbiglidom_0.localstorage
    c:\users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Preferences
    c:\users\Leandro\AppData\Local\Temp\avgnt.exe\Avira.OE.ExtApi.dll
    .
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2016-02-25 to 2016-03-25  ))))))))))))))))))))))))))))
    .
    .
    2016-03-23 21:33 . 2016-03-23 21:43    --------    d-----w-    c:\users\Leandro\AppData\Roaming\ZHP
    2016-03-23 20:50 . 2016-03-23 20:55    --------    d-----w-    C:\AdwCleaner
    2016-03-18 02:58 . 2016-03-18 02:59    --------    d-----w-    c:\users\Leandro\AppData\Roaming\WiseUpdate
    2016-03-09 20:31 . 2016-03-09 20:31    19912    ----a-w-    c:\program files\Mozilla Firefox\AccessibleMarshal.dll
    2016-03-09 20:31 . 2016-03-09 20:31    2106216    ----a-w-    c:\program files\Mozilla Firefox\D3DCompiler_43.dll
    2016-03-09 20:31 . 2016-03-09 20:31    55752    ----a-w-    c:\program files\Mozilla Firefox\browser\components\browsercomps.dll
    2016-03-09 20:31 . 2016-03-09 20:31    109000    ----a-w-    c:\program files\Mozilla Firefox\breakpadinjector.dll
    2016-03-09 18:07 . 2016-03-09 19:54    --------    d-----w-    c:\users\Leandro\AppData\Roaming\Wise Registry Cleaner
    2016-03-09 18:07 . 2016-03-09 18:07    --------    d-----w-    c:\program files\Wise
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2016-03-17 09:05 . 2016-02-16 19:14    60544    ----a-w-    c:\windows\system32\drivers\avnetflt.sys
    2016-03-17 09:05 . 2016-02-16 19:14    136272    ----a-w-    c:\windows\system32\drivers\avipbb.sys
    2016-03-17 09:05 . 2016-02-16 19:14    109016    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
    2016-01-22 07:11 . 2016-01-22 07:11    62576    ----a-w-    c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDDD61D9-F275-405B-ADAD-B0D5D72A0A35}\offreg.2896.dll
    2015-12-29 19:21 . 2015-10-02 16:53    796864    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
    2015-12-29 19:21 . 2015-10-02 16:53    142528    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Avira SystrayStartTrigger"="c:\program files\Avira\Launcher\Avira.SystrayStartTrigger.exe" [2016-01-27 66328]
    "avgnt"="c:\program files\Avira\Antivirus\avgnt.exe" [2016-03-17 807392]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "SPReview"="c:\windows\System32\SPReview\SPReview.exe" [2015-10-15 280576]
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoFileUrl"= 0 (0x0)
    "NoUpdateCheck"= 0 (0x0)
    "NoSimpleNetIDList"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2013-03-14 08:23    3672640    ----a-w-    c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
    "fspuip"="%ProgramFiles%\FSP\fspuip.exe"
    "qgesture32"="%ProgramFiles%\FSP\QuickGesture\x86\quickgesture.exe"
    .
    R2 AntiVirMailService;Avira Mail Protection;c:\program files\Avira\Antivirus\avmailc7.exe [2016-03-17 955736]
    R2 AntiVirWebService;Avira Web Protection;c:\program files\Avira\Antivirus\avwebg7.exe [2016-03-17 1424880]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
    R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
    R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
    R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
    S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2015-12-04 37896]
    S2 AntiVirSchedulerService;Avira Agendamento;c:\program files\Avira\Antivirus\sched.exe [2016-03-17 466504]
    S2 Avira.ServiceHost;Avira Service Host;c:\program files\Avira\Launcher\Avira.ServiceHost.exe [2016-01-27 260456]
    S2 avnetflt;avnetflt;c:\windows\system32\DRIVERS\avnetflt.sys [2016-03-17 60544]
    S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2015-10-02 242240]
    S3 fspad_win732;Finger Sensing Pad Driver for Windows 2000/XP/Vista/Win7_win732;c:\windows\system32\DRIVERS\fspad_win732.sys [2011-10-14 59248]
    .
    .
    --- =Outros Serviços/Drivers Na Memória ---
    .
    *NewlyCreated* - WS2IFSL
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2016-01-03 03:26    1106072    ----a-w-    c:\program files\Google\Chrome\Application\49.0.2623.87\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2016-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2015-12-26 08:49]
    .
    2016-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2015-12-26 08:49]
    .
    .
    ------- Scan Suplementar -------
    .
    IE: &Enviar para o OneNote - c:\progra~1\MICROS~3\Office15\ONBttnIE.dll/105
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xportar para o Microsoft Excel - c:\progra~1\MICROS~3\Office15\EXCEL.EXE/3000
    Trusted Zone: linhadefensiva.org\www
    TCP: DhcpNameServer = 201.17.128.72 201.17.128.77
    TCP: Interfaces\{6094B02F-2EB2-405E-8B87-84CA8619F80F}: NameServer = 8.8.4.4,8.8.8.8
    Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\microsoft shared\OFFICE15\MSOXMLMF.DLL
    FF - ProfilePath - c:\users\Leandro\AppData\Roaming\Mozilla\Firefox\Profiles\g1wyfnah.default\
    FF - prefs.js: browser.startup.homepage - about:home
    .
    - - - - ORFÃOS REMOVIDOS - - - -
    .
    AddRemove-LSI Soft Modem - c:\windows\agrsmdel
    AddRemove-{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver - c:\program files\NVIDIA Corporation\Installer2\installer.0\NVI2.DLL
    AddRemove-{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update - c:\program files\NVIDIA Corporation\Installer2\installer.0\NVI2.DLL
    .
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_267_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_267_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker6"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Outros Processos em Execução ------------------------
    .
    c:\program files\Avira\Antivirus\avguard.exe
    c:\program files\Avira\Antivirus\avshadow.exe
    c:\windows\system32\taskhost.exe
    c:\windows\system32\conhost.exe
    c:\program files\Avira\Launcher\Avira.Systray.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\Panda USB Vaccine\USBVaccine.exe
    .
    **************************************************************************
    .
    Tempo para conclusão: 2016-03-25  19:22:14 - Máquina reiniciou
    ComboFix-quarantined-files.txt  2016-03-25 22:22
    .
    Pré-execução: 34.435.813.376 bytes disponíveis
    Pós execução: 34.217.291.776 bytes disponíveis
    .
    - - End Of File - - 0939806B0AA8178A064074FC81047E95
    A36C5E4F47E84449FF07ED3517B43A31

     

    Feliz Páscoa pra você e sua família!! Um abraço!
     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    A pasta Qoobox é legítima e pertence ao ComboFix. Não delete!

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está abaixo:
     

    Citação

    RegLock:

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]


    Salve este arquivo na Área de Trabalho (Desktop) como CFScript.txt
    Tal com exemplificado na animação abaixo, arraste o arquivo CFScript.txt para dentro do ComboFix.exe.

     

    2872959479_997d4500c4_o.gif

     

    Quando a ferramenta terminar, será gerado um log C:\ComboFix.txt

    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado diego_moicano,

    estou encaminhando o log solicitado...

     

    Obs: 1- arrastei o arquivo CFScript.txt do desktop para o ícone do ComboFix, aí o ComboFix começou os procedimentos, de repente surgiu uma msg em inglês, que se eu entendi bem, dizia que eu tinha que fazer o download de uma nova versão do ComboFix; nisso, eu fiquei um pouco receoso de clicar em ok e, acabei clicando em cancelar... Logo após, eu repeti o procedimento, ou seja, arrastei o arquivo CFScript.txt para o ComboFix, e aí apareceram os termos de uso do programa, eu cliquei em concordo e, todos os ícones da minha área de trabalho ficaram como se fosse um ícone de um arquivo do bloco de notas, em branco (como eu já havia mensionado antes) em seguida eles voltaram ao normal e, o software cumpriu seu papel. Espero que isso não tenha atrapalhado na ação do programa...

           2- segundo o log do ComboFix, minha máquina reiniciou à 00:40 e, foi criada uma pasta, $RECYCLE.BIN (vazia) em meu disco local à 00:35.

           3- Após essa 2ª execução do ComboFix, quando eu clico no ícone do Avira próximo ao relógio do Windows, aparece uma msg: falha ao abrir o aplicativo. Tente novamente mais tarde. Com isso, será que vai se fazer necessário desinstalar o anti-vírus e reinstalá-lo?

          4- Quando eu acesso Computador>Disco Local (C:)>ProgramData>Avira>Launcher>apps>icons, assim que eu abro a pasta vejo vários daqueles logos do vírus, que eu já havia dito antes, aquelas duas flores lado a lado, uma vermelha e a outra amarela e, logo em seguida elas se transmutam nos ícones do próprio anti-vírus novamente.

     

       ComboFix 16-03-28.01 - Leandro 30/03/2016   0:24.2.1 - x86
    Microsoft Windows 7 Ultimate   6.1.7601.1.1252.55.1046.18.2239.1574 [GMT -3:00]
    Executando de: c:\users\Leandro\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\Leandro\Desktop\CFScript.txt
    AV: Avira Antivirus *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
    SP: Avira Antivirus *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
     * Criado um novo ponto de restauração
    .
    .
    (((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\users\Leandro\AppData\Local\Temp\avgnt.exe\Avira.OE.ExtApi.dll
    .
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2016-02-28 to 2016-03-30  ))))))))))))))))))))))))))))
    .
    .
    2016-03-30 03:32 . 2016-03-30 03:35    --------    d-----w-    c:\users\Leandro\AppData\Local\temp
    2016-03-30 03:32 . 2016-03-30 03:32    --------    d-----w-    c:\users\UpdatusUser\AppData\Local\temp
    2016-03-30 03:32 . 2016-03-30 03:32    --------    d-----w-    c:\users\Default\AppData\Local\temp
    2016-03-30 03:09 . 2016-03-30 03:09    62576    ----a-w-    c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDDD61D9-F275-405B-ADAD-B0D5D72A0A35}\offreg.1636.dll
    2016-03-26 20:42 . 2016-03-26 20:42    62576    ----a-w-    c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDDD61D9-F275-405B-ADAD-B0D5D72A0A35}\offreg.1656.dll
    2016-03-26 05:12 . 2016-03-26 05:12    62576    ----a-w-    c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDDD61D9-F275-405B-ADAD-B0D5D72A0A35}\offreg.1644.dll
    2016-03-23 21:33 . 2016-03-23 21:43    --------    d-----w-    c:\users\Leandro\AppData\Roaming\ZHP
    2016-03-23 20:50 . 2016-03-23 20:55    --------    d-----w-    C:\AdwCleaner
    2016-03-18 02:58 . 2016-03-18 02:59    --------    d-----w-    c:\users\Leandro\AppData\Roaming\WiseUpdate
    2016-03-09 20:31 . 2016-03-09 20:31    19912    ----a-w-    c:\program files\Mozilla Firefox\AccessibleMarshal.dll
    2016-03-09 20:31 . 2016-03-09 20:31    2106216    ----a-w-    c:\program files\Mozilla Firefox\D3DCompiler_43.dll
    2016-03-09 20:31 . 2016-03-09 20:31    55752    ----a-w-    c:\program files\Mozilla Firefox\browser\components\browsercomps.dll
    2016-03-09 20:31 . 2016-03-09 20:31    109000    ----a-w-    c:\program files\Mozilla Firefox\breakpadinjector.dll
    2016-03-09 18:07 . 2016-03-09 19:54    --------    d-----w-    c:\users\Leandro\AppData\Roaming\Wise Registry Cleaner
    2016-03-09 18:07 . 2016-03-09 18:07    --------    d-----w-    c:\program files\Wise
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2016-03-17 09:05 . 2016-02-16 19:14    60544    ----a-w-    c:\windows\system32\drivers\avnetflt.sys
    2016-03-17 09:05 . 2016-02-16 19:14    136272    ----a-w-    c:\windows\system32\drivers\avipbb.sys
    2016-03-17 09:05 . 2016-02-16 19:14    109016    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
    2016-01-22 07:11 . 2016-01-22 07:11    62576    ----a-w-    c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDDD61D9-F275-405B-ADAD-B0D5D72A0A35}\offreg.2896.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Avira SystrayStartTrigger"="c:\program files\Avira\Launcher\Avira.SystrayStartTrigger.exe" [2016-01-27 66328]
    "avgnt"="c:\program files\Avira\Antivirus\avgnt.exe" [2016-03-17 807392]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "SPReview"="c:\windows\System32\SPReview\SPReview.exe" [2015-10-15 280576]
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoFileUrl"= 0 (0x0)
    "NoUpdateCheck"= 0 (0x0)
    "NoSimpleNetIDList"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2013-03-14 08:23    3672640    ----a-w-    c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
    "fspuip"="%ProgramFiles%\FSP\fspuip.exe"
    "qgesture32"="%ProgramFiles%\FSP\QuickGesture\x86\quickgesture.exe"
    .
    R2 AntiVirMailService;Avira Mail Protection;c:\program files\Avira\Antivirus\avmailc7.exe [2016-03-17 955736]
    R2 AntiVirWebService;Avira Web Protection;c:\program files\Avira\Antivirus\avwebg7.exe [2016-03-17 1424880]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
    R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
    R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
    R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
    S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2015-12-04 37896]
    S2 AntiVirSchedulerService;Avira Agendamento;c:\program files\Avira\Antivirus\sched.exe [2016-03-17 466504]
    S2 Avira.ServiceHost;Avira Service Host;c:\program files\Avira\Launcher\Avira.ServiceHost.exe [2016-01-27 260456]
    S2 avnetflt;avnetflt;c:\windows\system32\DRIVERS\avnetflt.sys [2016-03-17 60544]
    S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2015-10-02 242240]
    S3 fspad_win732;Finger Sensing Pad Driver for Windows 2000/XP/Vista/Win7_win732;c:\windows\system32\DRIVERS\fspad_win732.sys [2011-10-14 59248]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2016-01-03 03:26    1106072    ----a-w-    c:\program files\Google\Chrome\Application\49.0.2623.87\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2016-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2015-12-26 08:49]
    .
    2016-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2015-12-26 08:49]
    .
    .
    ------- Scan Suplementar -------
    .
    IE: &Enviar para o OneNote - c:\progra~1\MICROS~3\Office15\ONBttnIE.dll/105
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xportar para o Microsoft Excel - c:\progra~1\MICROS~3\Office15\EXCEL.EXE/3000
    Trusted Zone: linhadefensiva.org\www
    TCP: DhcpNameServer = 201.17.128.72 201.17.128.77
    TCP: Interfaces\{6094B02F-2EB2-405E-8B87-84CA8619F80F}: NameServer = 8.8.4.4,8.8.8.8
    Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\microsoft shared\OFFICE15\MSOXMLMF.DLL
    FF - ProfilePath - c:\users\Leandro\AppData\Roaming\Mozilla\Firefox\Profiles\g1wyfnah.default\
    FF - prefs.js: browser.startup.homepage - about:home
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_267_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_20_0_0_267_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker6"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Outros Processos em Execução ------------------------
    .
    c:\program files\Avira\Antivirus\avguard.exe
    c:\windows\system32\taskhost.exe
    c:\program files\Panda USB Vaccine\USBVaccine.exe
    c:\program files\Avira\Antivirus\avshadow.exe
    c:\windows\system32\conhost.exe
    c:\program files\Avira\Launcher\Avira.Systray.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\system32\sppsvc.exe
    .
    **************************************************************************
    .
    Tempo para conclusão: 2016-03-30  00:40:30 - Máquina reiniciou
    ComboFix-quarantined-files.txt  2016-03-30 03:40
    ComboFix2.txt  2016-03-25 22:22
    .
    Pré-execução: 33.671.729.152 bytes disponíveis
    Pós execução: 33.492.684.800 bytes disponíveis
    .
    - - End Of File - - BA43A64632B21D20F25F1DF210C98E44
    A36C5E4F47E84449FF07ED3517B43A31
             

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Respondendo:

     

    1. Normal.

     

    2. Depois a deletamos, me lembre!

     

    3. Provavelmente sim.

     

    4. Me envie um print para eu ver.

     

    Aguardo.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado diego_moicano,

     

    com relação ao anti-vírus, após eu ter reiniciado o PC, voltou ao normal...

    Quanto ao Computador>Disco Local (C:)>ProgramData>Avira>Launcher>apps>icons, acho que não adiantaria lhe mandar um print, tendo em vista que, no momento pós-ação do ComboFix, em que eu abri a pasta supracitada aconteceu dos ícones se transmutarem, porém, das outras vezes que eu verifiquei a referida pasta estavam somente os ícones do Avira mesmo.

    Não obstante, alternativamente, estou lhe enviando um print do local do arquivo do Google Chrome, onde tem um logo do vírus no arquivo secondarytile.png; ou seja, aparece o logo do vírus, com o nome no local do arquivo, contudo, no rodapé da página, na parte inferior esquerda, onde traz a descrição do arquivo, aparece uma imagem legítima do Chrome. Além disso, ainda existe uma discrepância com relação às datas e horários da figura no local do arquivo, da descrição no rodapé da página.

    Estou enviando também um print da parte de personalização do Windows 7, onde também aparece o logo do vírus.IMG]

     

     

     

      IMG]

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Amigo, sobre o ícone das flores provavelmente do que está falando e se for o que penso seria um ícone padrão do Windows.

     

    Não chegou nenhuma imagem.

     

    Aguardo. :)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado, 

    peço desculpas pelas imagens que não chegaram, mas é que eu nunca tinha enviado um print antes, quando você pediu pra te mandar o print, eu pesquisei no Google, realizei os procedimentos (pelegei muito inclusive) e, na hora de pré-visualizar o post, as imagens estavam lá bonitinhas... Só que quando eu enviei a msg propriamente, as img não estavam mais visíveis...

    Enfim, vou tentar mandá-las novamente, se porventura não der certo, gostaria que você me mandasse um tutorial passo a passo, de como enviar um print ao Fórum do Clube do Hardware (em específico).

     

    Um abraço!Personalização.jpg    

    Local do arquivo(Chrome).jpg

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Como suspeitei, este ícone é do Windows, legítimo. ;)

     

    Baixe a Malwarebytes Anti-Malware (MBAM).
     
    Clique duas vezes no mbam-setup.exe para instalar o programa.

    • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
    • Se houver atualizações a serem feitas, serão baixadas e instaladas..
    • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
    • Volte ao Painel e por fim clique em Verificar agora.
    • Começará então o exame. Aguarde, pois pode demorar.
    • Ao acabar o exame, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas
    • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
    • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Registros do aplicativo na janela principal do programa.
    • Clique duas vezes no log (Registro de verificação). Utilize o formato .txt para exportar o log.
    • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
    • Selecione, copie e cole o conteúdo deste log em sua próxima resposta.

     

    NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado diego_moicano,

    1- se você me diz que o ícone é legítimo do Windows, eu acredito. Mas no caso do local do arquivo do Chrome, por que o secondarytile.png aparece acompanhado pelo ícone das flores e no rodapé da página, aparece uma imagem legítima do Chrome? E, por qual motivo, existe essa discrepância com relação às datas e horários do ícone no local do arquivo e da descrição no rodapé da página? Será que você saberia me dizer? Será que existe a possibilidade de um vírus se ocultar em uma figura ou ícone?

     

    2- Com relação àquele link que você disponibilizou (cartilha/fraudes) traz boas informações, boas dicas... mas na verdade, não é bem isso que eu estou buscando...

    Antes de abrir o tópico no Fórum do Clube do Hardware, eu já tinha percebido que alguns dos certificados digitais do meu PC estavam vencidos (alguns deles à muito tempo inclusive) e outros eu desconfio que são falsos... Aí eu pesquisei na net e vi que tem um aplicativo da Microsoft, o Sigcheck, que ajuda a localizar os certificados falsos... Todavia eu baixei o aplicativo, tentei utilizá-lo mas não deu certo... Fui pra deletar os certificados manualmente, mas aí vem as msgs do Windows dizendo que se forem deletados os certificados poderão ocorrer problemas no sistema e em outros programas, com isso vem o receio de mais transtornos em minha máquina. Enfim, por acaso você saberia de algum outro aplicativo ou software que possa encontrar e remover certificados digitais falsos ou já vencidos?

     

    Eis o log solicitado...

     

     

       

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Data da verificação: 02/04/2016
    Hora da verificação: 02:06
    Arquivo de registro: Malwarebytes.txt
    Administrador: Sim

    Versão: 2.2.1.1043
    Banco de dados de malware: v2016.04.02.01
    Banco de dados de rootkit: v2016.03.30.01
    Licença: Gratuita
    Proteção contra malware: Desabilitado
    Proteção contra website malicioso: Desabilitado
    Autoproteção: Desabilitado

    Sistema operacional: Windows 7 Service Pack 1
    CPU: x86
    Sistema de arquivos: NTFS
    Usuário: Leandro

    Tipo de verificação: Personalizar verificação
    Resultado: Concluído
    Objetos verificados: 469868
    Tempo decorrido: 1 hr, 59 min, 26 seg

    Memória: Habilitado
    Inicialização: Habilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Habilitado
    Rootkits: Habilitado
    Heurística: Habilitado
    PUP: Habilitado
    PUM: Habilitado

    Processos: 0
    (Nenhum item malicioso detectado)

    Módulos: 0
    (Nenhum item malicioso detectado)

    Chaves de registro: 0
    (Nenhum item malicioso detectado)

    Valores de registro: 0
    (Nenhum item malicioso detectado)

    Dados de registro: 0
    (Nenhum item malicioso detectado)

    Pastas: 0
    (Nenhum item malicioso detectado)

    Arquivos: 1
    PUP.Optional.TerraClicks.ShrtCln, C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bom: (), Ruim: (www.terraclicks.com), Substituído,[d831d0daa5f464d2b38e62f8c63f728e]

    Setores físicos: 0
    (Nenhum item malicioso detectado)


    (end)

     

    Valeu!

     

     

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Existe um adware responsável por esta imagem do Chrome. É esta daqui:

     

    secondarytile.png

     

    Porém se tal adware ainda estivesse instalado o MalwareBytes iria removê-lo.

     

    Com relação aos certificados, só conheço o Sigcheck.

     

    Vamos verificar mais...

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


    32 bit (x86) = http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/

     

    64 bit (x64) = http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/

     

    Clique duas vezes para executar a ferramenta.

    Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: Administrador.

    Marque a caixa Arquivos 90 dias,  e clique no botão Examinar.

    Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop).

    Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta.

    Anexe o log Addition.txt

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado,

    eis os logs solicitados...

     

    Resultado do exame da Farbar Recovery Scan Tool (FRST) (x86) Versão:05-03-2016 01
    Executado por Leandro (administrador) em LEANDRO-PC (04-04-2016 06:33:45)
    Executando a partir de C:\Users\Leandro\Desktop
    Perfis Carregados: Leandro (Perfis Disponíveis: Leandro & UpdatusUser)
    Platform: Microsoft Windows 7 Ultimate  Service Pack 1 (X86) Idioma: Português (Brasil)
    Internet Explorer Versão 8 (Navegador padrão: Chrome)
    Modo da Inicialização: Normal
    Tutorial da Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

    ==================== Processos (Whitelisted) =================

    (Se uma entrada for incluída na fixlist, o processo será fechado. O arquivo não será movido.)

    (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\sched.exe
    (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avguard.exe
    (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
    (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avshadow.exe
    (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avgnt.exe
    (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe


    ==================== Registro (Whitelisted) ===========================

    (Se uma entrada for incluída na fixlist, o ítem no Registro será restaurado para o padrão ou removido. O arquivo não será movido.)

    HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66328 2016-01-27] (Avira Operations GmbH & Co. KG)
    HKLM\...\Run: [avgnt] => C:\Program Files\Avira\Antivirus\avgnt.exe [807392 2016-03-17] (Avira Operations GmbH & Co. KG)
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\system: [DisableChangePassword] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\system: [DisableLockWorkstation] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoFileUrl] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoNetHood] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoFileMenu] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoSetTaskBar] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [Nosecuritytab] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoUpdateCheck] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [280576 2015-10-15] (Microsoft Corporation)

    ==================== Internet (Whitelisted) ====================

    (Se um ítem for incluído na fixlist, sendo um ítem do Registro, será removido ou restaurado para o padrão.)

    Tcpip\Parameters: [DhcpNameServer] 201.17.128.72 201.17.128.77
    Tcpip\..\Interfaces\{6094B02F-2EB2-405E-8B87-84CA8619F80F}: [NameServer] 8.8.4.4,8.8.8.8
    Tcpip\..\Interfaces\{6094B02F-2EB2-405E-8B87-84CA8619F80F}: [DhcpNameServer] 201.17.128.72 201.17.128.77

    Internet Explorer:
    ==================
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    SearchScopes: HKU\S-1-5-21-2524206800-1677186945-2989557006-1000 -> {012E1000-F331-11DB-8314-0800200C9A66} URL = hxxp://www.google.com/search?q={searchTerms}

    FireFox:
    ========
    FF ProfilePath: C:\Users\Leandro\AppData\Roaming\Mozilla\Firefox\Profiles\g1wyfnah.default
    FF NewTab: about:newtab
    FF Homepage: about:home
    FF Extension: Avira Browser Safety - C:\Users\Leandro\AppData\Roaming\Mozilla\Firefox\Profiles\g1wyfnah.default\Extensions\abs@avira.com [2016-03-04]
    FF Extension: Avira SafeSearch Plus - C:\Users\Leandro\AppData\Roaming\Mozilla\Firefox\Profiles\g1wyfnah.default\Extensions\safesearchplus2@avira.com.xpi [2016-03-04]

    Chrome: 
    =======
    CHR StartupUrls: Default -> "hxxp://www.yahoo.com.br/"
    CHR DefaultSearchURL: Default -> hxxps://search.avira.net/#web/result?source=omnibar&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> Avira
    CHR DefaultSuggestURL: Default -> hxxps://search.avira.net/suggestions?q={searchTerms}&li=ff&hl=pt
    CHR Profile: C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default
    CHR Extension: (Google Apresentações) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-03-25]
    CHR Extension: (Google Docs) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-03-25]
    CHR Extension: (Google Drive) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-02-04]
    CHR Extension: (YouTube) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-02-04]
    CHR Extension: (Google Search) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-04]
    CHR Extension: (Planilhas do Google) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-03-25]
    CHR Extension: (AdBlock) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-03-25]
    CHR Extension: (Pagamentos da Chrome Web Store) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-04]
    CHR Extension: (Gmail) - C:\Users\Leandro\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-02-04]
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] - hxxps://clients2.google.com/service/update2/crx

    ==================== Serviços (Whitelisted) ========================

    (Se uma entrada for incluída na fixlist, será removida do Registro. O arquivo não será movido, a menos que seja colocado separadamente.)

    S4 AgereModemAudio; C:\Program Files\LSI SoftModem\agrsmsvc.exe [26112 2009-12-03] (LSI Corporation)
    S2 AntiVirMailService; C:\Program Files\Avira\Antivirus\avmailc7.exe [955736 2016-03-17] (Avira Operations GmbH & Co. KG)
    R2 AntiVirSchedulerService; C:\Program Files\Avira\Antivirus\sched.exe [466504 2016-03-17] (Avira Operations GmbH & Co. KG)
    R2 AntiVirService; C:\Program Files\Avira\Antivirus\avguard.exe [466504 2016-03-17] (Avira Operations GmbH & Co. KG)
    S2 AntiVirWebService; C:\Program Files\Avira\Antivirus\avwebg7.exe [1424880 2016-03-17] (Avira Operations GmbH & Co. KG)
    R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [260456 2016-01-27] (Avira Operations GmbH & Co. KG)
    R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2009-07-13] (Microsoft Corporation)

    ===================== Drivers (Whitelisted) ==========================

    (Se uma entrada for incluída na fixlist, será removida do Registro. O arquivo não será movido, a menos que seja colocado separadamente.)

    R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [109016 2016-03-17] (Avira Operations GmbH & Co. KG)
    R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2016-03-17] (Avira Operations GmbH & Co. KG)
    R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-12-04] (Avira Operations GmbH & Co. KG)
    R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [60544 2016-03-17] (Avira Operations GmbH & Co. KG)
    R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2015-10-02] (DT Soft Ltd)
    R3 fspad_win732; C:\Windows\System32\DRIVERS\fspad_win732.sys [59248 2011-10-14] (Sentelic Corporation)
    S3 PROCEXP113; C:\Windows\system32\Drivers\PROCEXP113.SYS [12568 2016-03-30] (Sysinternals - www.sysinternals.com) [Arquivo não assinado]
    R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-12-04] (Avira Operations GmbH & Co. KG)
    S3 catchme; \??\C:\Users\Leandro\AppData\Local\Temp\catchme.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]

    ==================== NetSvcs (Whitelisted) ===================

    (Se uma entrada for incluída na fixlist, será removida do Registro. O arquivo não será movido, a menos que seja colocado separadamente.)


    ==================== Três Meses Criados arquivos e pastas ========

    (Se uma entrada for incluída na fixlist, o arquivo/pasta será movido.)

    2016-04-04 06:33 - 2016-04-04 06:34 - 00009077 _____ C:\Users\Leandro\Desktop\FRST.txt
    2016-04-04 06:32 - 2016-04-04 06:33 - 00000000 ____D C:\FRST
    2016-04-04 06:32 - 2016-04-04 06:32 - 01725440 _____ (Farbar) C:\Users\Leandro\Desktop\FRST.exe
    2016-04-02 04:18 - 2016-04-02 04:18 - 00001459 _____ C:\Users\Leandro\Desktop\Malwarebytes.txt
    2016-04-02 02:01 - 2016-04-02 02:06 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
    2016-04-02 02:00 - 2016-04-02 04:14 - 00001058 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
    2016-04-02 02:00 - 2016-04-02 02:00 - 00000000 ____D C:\Users\Todos os Usuários\Malwarebytes
    2016-04-02 02:00 - 2016-04-02 02:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
    2016-04-02 02:00 - 2016-04-02 02:00 - 00000000 ____D C:\ProgramData\Malwarebytes
    2016-04-02 02:00 - 2016-04-02 02:00 - 00000000 ____D C:\Program Files\Malwarebytes Anti-Malware
    2016-04-02 02:00 - 2016-03-10 14:09 - 00053120 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
    2016-04-02 02:00 - 2016-03-10 14:08 - 00126336 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
    2016-04-02 02:00 - 2016-03-10 14:08 - 00024448 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
    2016-04-02 01:55 - 2016-04-02 01:56 - 22851472 _____ (Malwarebytes ) C:\Users\Leandro\Desktop\mbam-setup-2.2.1.1043.exe
    2016-03-30 01:01 - 2016-03-30 01:01 - 00009185 _____ C:\Users\Leandro\Desktop\ComboFix(2).txt
    2016-03-30 00:40 - 2016-03-30 00:40 - 00012568 _____ (Sysinternals - www.sysinternals.com) C:\Windows\system32\Drivers\PROCEXP113.SYS
    2016-03-30 00:40 - 2016-03-30 00:40 - 00009185 _____ C:\ComboFix.txt
    2016-03-25 19:33 - 2016-03-25 19:33 - 00029352 _____ C:\Users\Leandro\Desktop\ComboFix.txt
    2016-03-25 18:58 - 2016-03-30 00:40 - 00000000 ____D C:\Qoobox
    2016-03-25 18:58 - 2016-03-25 19:20 - 00000000 ____D C:\Windows\erdnt
    2016-03-25 18:58 - 2011-06-26 03:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-03-25 18:58 - 2010-11-07 14:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-03-25 18:58 - 2009-04-20 01:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-03-25 18:58 - 2000-08-30 21:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-03-25 18:58 - 2000-08-30 21:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-03-25 18:58 - 2000-08-30 21:00 - 00098816 _____ C:\Windows\sed.exe
    2016-03-25 18:58 - 2000-08-30 21:00 - 00080412 _____ C:\Windows\grep.exe
    2016-03-25 18:58 - 2000-08-30 21:00 - 00068096 _____ C:\Windows\zip.exe
    2016-03-25 18:55 - 2016-03-30 00:15 - 05659241 ____R (Swearware) C:\Users\Leandro\Desktop\ComboFix.exe
    2016-03-23 19:21 - 2016-03-23 19:21 - 00001405 _____ C:\Users\Leandro\Desktop\ZHPCleaner.txt
    2016-03-23 18:33 - 2016-04-02 04:13 - 00000834 _____ C:\Users\Leandro\Desktop\ZHPCleaner.lnk
    2016-03-23 18:33 - 2016-03-23 18:43 - 00000000 ____D C:\Users\Leandro\AppData\Roaming\ZHP
    2016-03-23 18:32 - 2016-03-23 18:32 - 02095616 _____ C:\Users\Leandro\Desktop\ZHPCleaner.exe
    2016-03-23 18:11 - 2016-03-23 18:11 - 00003699 _____ C:\Users\Leandro\Desktop\JRT.txt
    2016-03-23 18:08 - 2016-03-23 18:08 - 01610352 _____ (Malwarebytes) C:\Users\Leandro\Desktop\JRT.exe
    2016-03-23 17:58 - 2016-03-23 17:58 - 00001089 _____ C:\Users\Leandro\Desktop\AdwCleaner[C1].txt
    2016-03-23 17:50 - 2016-03-23 17:55 - 00000000 ____D C:\AdwCleaner
    2016-03-23 17:48 - 2016-03-23 17:48 - 01530368 _____ C:\Users\Leandro\Desktop\adwcleaner_5.105.exe
    2016-03-21 19:24 - 2016-03-21 19:24 - 00015836 _____ C:\Users\Leandro\Desktop\ZA-Scan.txt
    2016-03-21 18:15 - 2016-03-21 18:15 - 00015833 _____ C:\ZA-Scan.txt
    2016-03-21 18:08 - 2016-03-21 18:08 - 01370112 _____ C:\Users\Leandro\Desktop\ZA-Scan.exe
    2016-03-21 18:03 - 2016-03-21 18:03 - 00002270 _____ C:\Users\Leandro\Desktop\Msg ao Fórum Clube do Hardware.txt
    2016-03-21 18:01 - 2016-03-21 18:01 - 00000000 ____D C:\Users\Leandro\Documents\Modelos Personalizados do Office
    2016-03-17 23:58 - 2016-03-17 23:59 - 00000000 ____D C:\Users\Leandro\AppData\Roaming\WiseUpdate
    2016-03-09 19:50 - 2016-03-09 19:50 - 00167296 _____ (Gibson Research Corp.) C:\Users\Leandro\Desktop\DNSBench.exe
    2016-03-09 16:43 - 2016-03-09 17:00 - 46301184 _____ C:\Windows\system32\config\software.rhk
    2016-03-09 15:07 - 2016-04-02 04:14 - 00001183 _____ C:\Users\Public\Desktop\Wise Registry Cleaner.lnk
    2016-03-09 15:07 - 2016-03-09 16:54 - 00000000 ____D C:\Users\Leandro\AppData\Roaming\Wise Registry Cleaner
    2016-03-09 15:07 - 2016-03-09 15:07 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wise Registry Cleaner
    2016-03-09 15:07 - 2016-03-09 15:07 - 00000000 ____D C:\Program Files\Wise
    2016-03-09 15:04 - 2016-03-09 15:04 - 04312976 _____ (WiseCleaner.com ) C:\Users\Leandro\Desktop\WRCFree.exe
    2016-03-03 06:57 - 2015-01-26 09:19 - 00002009 ____N C:\Users\Leandro\Desktop\Eula.txt
    2016-02-25 18:32 - 2016-02-25 18:32 - 00001878 _____ C:\Users\Leandro\Desktop\sc-cleaner.txt
    2016-02-24 05:40 - 2016-02-24 05:40 - 00032962 _____ C:\ProcessCommandLine.txt
    2016-02-24 04:11 - 2016-04-02 04:14 - 00002320 _____ C:\Users\Public\Desktop\Virus Effect Remover.lnk
    2016-02-24 04:11 - 2016-02-24 04:11 - 00000000 ____D C:\Users\Leandro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Virus Secure Lab
    2016-02-24 04:11 - 2016-02-24 04:11 - 00000000 ____D C:\Program Files\Virus Secure Lab
    2016-02-16 16:18 - 2016-02-16 16:18 - 00000000 ____D C:\Users\Leandro\AppData\Roaming\Avira
    2016-02-16 16:14 - 2016-03-17 06:05 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
    2016-02-16 16:14 - 2016-03-17 06:05 - 00109016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
    2016-02-16 16:14 - 2016-03-17 06:05 - 00060544 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys
    2016-02-16 16:14 - 2015-12-04 06:39 - 00031848 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\ssmdrv.sys
    2016-02-16 16:14 - 2015-12-04 06:38 - 00037896 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
    2016-02-16 16:09 - 2016-04-02 04:14 - 00001166 _____ C:\Users\Public\Desktop\Avira Launcher.lnk
    2016-02-16 16:09 - 2016-03-17 06:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
    2016-02-16 16:09 - 2016-02-16 16:14 - 00000000 ____D C:\Users\Todos os Usuários\Avira
    2016-02-16 16:09 - 2016-02-16 16:14 - 00000000 ____D C:\ProgramData\Avira
    2016-02-16 16:09 - 2016-02-16 16:14 - 00000000 ____D C:\Program Files\Avira
    2016-02-16 16:08 - 2016-02-16 16:09 - 00000000 ____D C:\Users\Todos os Usuários\Package Cache
    2016-02-16 16:08 - 2016-02-16 16:09 - 00000000 ____D C:\ProgramData\Package Cache
    2016-02-16 16:07 - 2016-04-02 04:13 - 00001680 _____ C:\Users\Leandro\Desktop\avira_ptbr_av_56c3729f1156e__ws.exe.lnk
    2016-02-16 16:06 - 2016-02-16 16:07 - 05404312 _____ (Avira Operations GmbH & Co. KG) C:\Users\Leandro\Downloads\avira_ptbr_av_56c3729f1156e__ws.exe
    2016-02-12 02:56 - 2016-04-02 04:13 - 00007516 _____ C:\Users\Leandro\Desktop\WinKawaks.exe - Atalho.lnk
    2016-02-04 05:07 - 2016-02-04 05:07 - 00323584 _____ C:\Users\Leandro\Desktop\AcRes.dll.mui
    2016-02-04 03:04 - 2016-02-04 03:04 - 00011264 _____ C:\Users\Leandro\Desktop\zoek-results.txt
    2016-02-04 02:24 - 2016-02-04 02:38 - 00000000 ____D C:\zoek_backup
    2016-02-04 02:24 - 2016-02-04 02:24 - 01309184 _____ C:\Users\Leandro\Desktop\zoek.exe
    2016-02-04 02:01 - 2016-02-04 02:01 - 00001802 _____ C:\Users\Leandro\Desktop\DelFix.txt
    2016-02-04 01:58 - 2016-02-04 01:59 - 00001802 _____ C:\DelFix.txt
    2016-02-04 01:58 - 2016-02-04 01:58 - 00000000 ____D C:\Windows\ERUNT
    2016-02-03 23:51 - 2016-02-03 23:51 - 00000000 ___RD C:\Users\Leandro\Documents\Notes
    2016-02-03 08:27 - 2016-02-03 08:27 - 01102640 _____ C:\Users\Leandro\Documents\favoritos_03_02_16.html
    2016-02-03 07:29 - 2016-04-02 04:13 - 00002203 _____ C:\Users\Leandro\Desktop\Google Chrome.lnk
    2016-01-19 04:59 - 2016-01-19 04:59 - 01070179 _____ C:\Users\Leandro\Documents\favoritos_19_01_16.html
    2016-01-19 04:18 - 2016-01-19 05:02 - 00002911 _____ C:\Users\Leandro\Desktop\Msg de resp. a Tudo de tecnologia.txt
    2016-01-19 04:10 - 2016-01-19 04:10 - 00003880 _____ C:\Users\Leandro\Documents\Msg de resp. a Tudo de tecnologia.odt
    2016-01-17 10:00 - 2016-02-24 05:38 - 00128162 _____ C:\process.txt
    2016-01-17 08:52 - 2016-01-17 08:52 - 00007382 _____ C:\Users\Leandro\Desktop\Readme.txt
    2016-01-17 08:46 - 2016-01-17 08:46 - 06827974 _____ (Virus Secure Lab ) C:\Users\Leandro\Desktop\VirusEffectRemover_3.2.2.26-Setup.exe
    2016-01-15 03:17 - 2016-01-15 03:18 - 05227019 _____ C:\Users\Leandro\Desktop\namebench-1.3.1-Windows.exe
    2016-01-15 02:55 - 2016-04-02 04:14 - 00000920 _____ C:\Users\Public\Desktop\Simple Net Speed.lnk
    2016-01-15 02:55 - 2016-01-15 02:55 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Simple Net Speed
    2016-01-15 02:55 - 2016-01-15 02:55 - 00000000 ____D C:\Program Files\Simple Net Speed
    2016-01-15 02:54 - 2016-01-15 02:54 - 00625447 _____ C:\Users\Leandro\Desktop\Simple Net Speed.rar
    2016-01-15 02:54 - 2014-06-30 12:34 - 00000000 ____D C:\Users\Leandro\Desktop\Simple Net Speed
    2016-01-15 02:11 - 2016-01-15 02:12 - 01561894 _____ C:\Users\Leandro\Desktop\spydetect.rar
    2016-01-12 04:37 - 2010-05-26 10:41 - 02106216 _____ (Microsoft Corporation) C:\Windows\system32\D3DCompiler_43.dll
    2016-01-12 04:37 - 2010-05-26 10:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
    2016-01-08 16:56 - 2016-01-08 16:56 - 00002580 _____ C:\Users\Leandro\Desktop\Report1.txt
    2016-01-08 16:55 - 2016-01-08 16:55 - 00002580 _____ C:\Users\Leandro\Desktop\Report.wer

    ==================== Três Meses Modificados arquivos e pastas ========

    (Se uma entrada for incluída na fixlist, o arquivo/pasta será movido.)

    2016-04-04 06:12 - 2015-10-17 13:12 - 00001058 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
    2016-04-04 02:11 - 2015-10-17 13:12 - 00001054 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
    2016-04-04 01:13 - 2009-07-14 01:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    2016-04-04 01:13 - 2009-07-14 01:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    2016-04-04 01:04 - 2015-10-17 13:27 - 00000006 ____H C:\Windows\Tasks\SA.DAT
    2016-04-02 04:14 - 2015-12-26 05:51 - 00002127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
    2016-04-02 04:14 - 2015-10-02 13:08 - 00001109 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
    2016-04-02 04:14 - 2015-10-02 13:08 - 00001103 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
    2016-04-02 04:14 - 2015-10-02 13:03 - 00001867 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SumatraPDF.lnk
    2016-04-02 04:14 - 2015-10-02 12:41 - 00001333 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
    2016-04-02 04:14 - 2015-10-02 12:41 - 00001314 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
    2016-04-02 04:14 - 2009-07-14 01:46 - 00001503 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
    2016-04-02 04:14 - 2009-07-14 01:42 - 00001318 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sidebar.lnk
    2016-04-02 04:14 - 2009-07-14 01:42 - 00001234 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XPS Viewer.lnk
    2016-04-02 04:14 - 2009-07-14 01:42 - 00001198 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Fax and Scan.lnk
    2016-04-02 04:13 - 2015-11-15 00:11 - 00001635 _____ C:\Users\Leandro\Desktop\MicrosoftFixit.Devices.Run - Atalho.lnk
    2016-04-02 04:13 - 2015-10-08 07:55 - 00000000 ____D C:\Users\Leandro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
    2016-04-02 04:13 - 2015-10-03 17:28 - 00001750 _____ C:\Users\Leandro\Desktop\BACKUP - Atalho.lnk
    2016-04-02 04:13 - 2015-10-02 13:06 - 00001835 _____ C:\Users\Leandro\Desktop\CCleaner.lnk
    2016-04-02 04:13 - 2015-10-02 12:56 - 00001067 _____ C:\Users\Leandro\Desktop\Documentos - Atalho.lnk
    2016-04-02 04:13 - 2015-10-02 12:51 - 00001393 _____ C:\Users\Leandro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    2016-04-02 04:13 - 2009-07-14 01:46 - 00001282 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Default Programs.lnk
    2016-04-02 04:13 - 2009-07-14 01:37 - 00001266 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Windows Update.lnk
    2016-03-30 00:35 - 2009-07-13 23:04 - 00000353 _____ C:\Windows\system.ini
    2016-03-22 01:49 - 2015-10-02 12:55 - 01633534 _____ C:\Windows\system32\PerfStringBackup.INI
    2016-03-22 01:49 - 2009-07-29 15:46 - 00705070 _____ C:\Windows\system32\prfh0416.dat
    2016-03-22 01:49 - 2009-07-29 15:46 - 00146910 _____ C:\Windows\system32\prfc0416.dat
    2016-03-22 01:49 - 2009-07-13 23:37 - 00000000 ____D C:\Windows\inf
    2016-03-21 18:04 - 2015-12-16 02:29 - 00006425 _____ C:\Users\Leandro\Desktop\Msg ao Fórum Clube do Hardware.odt
    2016-03-11 00:43 - 2009-07-13 23:37 - 00000000 ____D C:\Windows\system32\NDF
    2016-03-09 18:35 - 2015-10-02 13:08 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
    2016-03-09 17:47 - 2015-10-02 12:50 - 00000000 ____D C:\Users\Leandro
    2016-03-09 17:31 - 2015-10-17 13:07 - 00000000 ____D C:\Program Files\Mozilla Firefox
    2016-03-09 17:23 - 2009-07-13 23:03 - 00122880 _____ C:\Windows\system32\config\default.bak
    2016-03-09 17:23 - 2009-07-13 23:03 - 00028672 _____ C:\Windows\system32\config\security.bak
    2016-03-09 17:23 - 2009-07-13 23:03 - 00028672 _____ C:\Windows\system32\config\sam.bak

    Alguns arquivos em TEMP:
    ====================
    C:\Users\Leandro\AppData\Local\temp\avgnt.exe


    ==================== Bamital & volsnap =================

    (Não há correção automática para arquivos que não passaram na verificação.)

    C:\Windows\explorer.exe => O arquivo é assinado digitalmente
    C:\Windows\system32\winlogon.exe => O arquivo é assinado digitalmente
    C:\Windows\system32\wininit.exe => O arquivo é assinado digitalmente
    C:\Windows\system32\svchost.exe => O arquivo é assinado digitalmente
    C:\Windows\system32\services.exe => O arquivo é assinado digitalmente
    C:\Windows\system32\User32.dll => O arquivo é assinado digitalmente
    C:\Windows\system32\userinit.exe => O arquivo é assinado digitalmente
    C:\Windows\system32\rpcss.dll => O arquivo é assinado digitalmente
    C:\Windows\system32\dnsapi.dll => O arquivo é assinado digitalmente
    C:\Windows\system32\Drivers\volsnap.sys => O arquivo é assinado digitalmente


    LastRegBack: 2016-03-10 19:13

    ==================== Fim de FRST.txt ============================Addition.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    >>>> Ative o Firewall. ;)

     

    Estarei retornando algumas chaves/valores do Registro de volta para padrão.

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está abaixo:

     

    Citação

    CreateRestorePoint:
    CloseProcesses:

    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\system: [DisableChangePassword] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\system: [DisableLockWorkstation] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoFileUrl] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoNetHood] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoFileMenu] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoSetTaskBar] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [Nosecuritytab] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoUpdateCheck] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    SearchScopes: HKU\S-1-5-21-2524206800-1677186945-2989557006-1000 -> {012E1000-F331-11DB-8314-0800200C9A66} URL = hxxp://www.google.com/search?q={searchTerms}
    S3 catchme; \??\C:\Users\Leandro\AppData\Local\Temp\catchme.sys [X]
    C:\Users\Leandro\AppData\Local\Temp\catchme.sys
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    C:\Users\Leandro\AppData\Local\temp\avgnt.exe

    CMD:ipconfig /flushdns
    EmptyTemp:

     

    • Salve este arquivo na Área de Trabalho (Desktop) como fixlist.txt
    • Execute novamente o FRST e clique no botão Corrigir;
    • Aguarde... ao final será gerado o log Fixlog.txt em sua Área de Trabalho (Desktop).
    • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado diego_moicano,

     

    eu tenho duas questões, que sendo possível, gostaria que você me respondesse:

    1- No Malwarebytes, quando se vai configurar aquela verificação mais completa, onde se marca tudo, quando acesso o C:, a 1ª pasta que aparece é a do $RECYCLE.BIN(lixeira do Windows); Todavia, quando aperto a setinha pra ver o que tem dentro da pasta supracitada, aparece o ícone da lixeira com um cadeado... Por que isso?

    2- Quanto ao log Addition.txt do Farbar, no tópico Contas:

    Administrador (S-1-5-21-2524206800-1677186945-2989557006-500 - Administrator - Disabled)
    Convidado (S-1-5-21-2524206800-1677186945-2989557006-501 - Limited - Disabled)
    HomeGroupUser$ (S-1-5-21-2524206800-1677186945-2989557006-1003 - Limited - Enabled)
    Leandro (S-1-5-21-2524206800-1677186945-2989557006-1000 - Administrator - Enabled) => C:\Users\Leandro
    UpdatusUser (S-1-5-21-2524206800-1677186945-2989557006-1001 - Limited - Enabled) => C:\Users\UpdatusUser

    Será que está tudo normal nessas contas? Gostaria de saber principalmente no tocante à HomeGroupUser$, pois nesse tempo todo que eu já despendi, pesquisando e tentando me livrar desse maldito vírus, uma coisa eu tenho certeza, que esse símbolo de $(cifrão) e também esse código S-1-5-21-2524206800-1677186945-2989557006-1003 estão relacionados ao vírus.

    Segue o log solicitado...

     

      

    Resultado da Correção pela Farbar Recovery Scan Tool (x86) Versão:05-03-2016 01
    Executado por Leandro (2016-04-05 00:12:16) Run:1
    Executando a partir de C:\Users\Leandro\Desktop
    Perfis Carregados: Leandro & UpdatusUser (Perfis Disponíveis: Leandro & UpdatusUser)
    Modo da Inicialização: Normal

    ==============================================

    fixlist Conteúdo:
    *****************
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\system: [DisableChangePassword] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\system: [DisableLockWorkstation] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoFileUrl] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoNetHood] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoFileMenu] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoSetTaskBar] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [Nosecuritytab] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoUpdateCheck] 0
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    SearchScopes: HKU\S-1-5-21-2524206800-1677186945-2989557006-1000 -> {012E1000-F331-11DB-8314-0800200C9A66} URL = hxxp://www.google.com/search?q={searchTerms}
    S3 catchme; \??\C:\Users\Leandro\AppData\Local\Temp\catchme.sys [X]
    C:\Users\Leandro\AppData\Local\Temp\catchme.sys
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    C:\Users\Leandro\AppData\Local\temp\avgnt.exe
    CMD:ipconfig /flushdns
    EmptyTemp:
     
    *****************

    Ponto de Restauração criado com sucesso.
    Processos fechados com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableChangePassword => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableLockWorkstation => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileUrl => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoNetHood => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileMenu => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetTaskBar => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Nosecuritytab => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoUpdateCheck => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoLowDiskSpaceChecks => valor removido (a) com sucesso.
    "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => chave removido (a) com sucesso.
    "HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => chave removido (a) com sucesso.
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Search Page => valor removido (a) com sucesso.
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page => valor removido (a) com sucesso.
    HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => valor restaurado com sucesso
    "HKU\S-1-5-21-2524206800-1677186945-2989557006-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{012E1000-F331-11DB-8314-0800200C9A66}" => chave removido (a) com sucesso.
    HKCR\CLSID\{012E1000-F331-11DB-8314-0800200C9A66} => chave não encontrado (a). 
    catchme => serviço removido (a) com sucesso.
    "C:\Users\Leandro\AppData\Local\Temp\catchme.sys" => não encontrado (a).
    Synth3dVsc => serviço removido (a) com sucesso.
    tsusbhub => serviço removido (a) com sucesso.
    VGPU => serviço removido (a) com sucesso.
    C:\Users\Leandro\AppData\Local\temp\avgnt.exe => movido com sucesso

    ========= ipconfig /flushdns =========


    Configura��o de IP do Windows

    Libera��o do Cache do DNS Resolver bem-sucedida.

    ========= Fim de CMD: =========

    EmptyTemp: => 995.2 MB de dados temporários Removidos.


    O sistema precisou ser reiniciado.

    ==== Fim de Fixlog 00:14:06 ====

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    1. Você não tem permissão.

     

    2. Isso é normal. Estas codificação é chamada de SID = Security Indentifier:

     

    https://en.wikipedia.org/wiki/Security_Identifier

     

    https://technet.microsoft.com/en-us/library/cc778824(v=ws.10).aspx

     

    Sobre HomeGroupUser você pode desativá-lo:

     

    iniciar > executar > digite CMD e execute-o como Administrador, digite o seguinte:

     

    net user Homegroupuser$ active:no

     

    Tudo certo? Podemos continuar?

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado diego_moicano,

    17 horas atrás, diego_moicano disse:

    1. Você não tem permissão.

     

    Acho que você não entendeu minha pergunta, vou me fazer mais claro... que o cadeado representa que o arquivo ou pasta está bloqueado isso eu sei! Mas a minha pergunta foi em um sentido mais amplo, ou seja por que isso está acontecendo? E justamente em um arquivo visualizado dentro de um software anti-malware? Será que você sabe como resolver isso? 

    E além disso eu acho coincidência demais isso estar acontecendo justo com o $RECYCLE.BIN (lixeira do Windows) que é exatamente o nome desse vírus miserável que está atormentando minha vida à quase 1 ano. Sabe como dizem né, quando têm coincidência demais, alguma coisa está errada!rs 

     

    Inclusive cabe destacar que em alguns outros arquivos e pastas do PC, também tem o cadeado, por exemplo nas pastas: Arquivos de Programas e MSOCache, mas, o mais curioso é que, a despeito do cadeado, eu consigo acessar estas pastas. 

     

    Uma outra questão que eu quero ressaltar é que,  no ano passado, mais precisamente em outubro, eu dei o comando para que o Windows Update buscasse atualizações, aí ele encontrou mais de 200 atualizações importantes e necessárias. Mandei instalá-las, se passaram mais de 10 horas, direto, e as atualizações não tinham sido concluídas... Com isso eu perdi a paciência e mandei cancelar o processo... Fui verificar posteriormente, e pude perceber que algumas destas atualizações foram instaladas com sucesso, mas a maioria falhou(inclusive atualizações de segurança do Windows 7).

    Depois disso, por ter ficado óbvio que algo estava errado com o Windows Update, eu mantive as configurações em: Nunca verificar se há atualizações.

     

    Nada obstante, ontem, por achar que PC está um pouco mais limpo, em razão dos procedimentos de limpeza já realizados e da sua preciosa ajuda, eu resolvi mudar as configurações do Windows Update para: Instalar atualizações automaticamente.

    Dei o comando pra procurar por atualizações e, alguns minutos depois, tinham 231 atualizações importantes... Pedi pra baixá-las e instalá-las às 08:20, aí já passaram a ser 229 atualizações importantes... Se passaram 15 horas e nada desse procedimento terminar... Só na instalação da atualização 170 (de 228, já mudou de novo) (atualização de segurança do Windows 7) (KB3004375) se passaram mais de 6hs e 30min e nada dela ser instalada com êxito!

     

    Paciência tem limite né! Enfim cancelei esse processo!

    Quando fui verificar as atualizações instaladas, aconteceu de novo, algumas foram instaladas com êxito, mas a maioria falhou... 

    Outrossim, gostaria de saber de você, se tu imagina o que pode estar acontecendo, se porventura existe a possibilidade do vírus estar influenciando nisso? E principalmente, você saberia como resolver?

     

    Agradeço muito! Um abraço!   

     

     

     

     

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Amigo, vai me desculpar, mas creio que está vendo algo que não é fato.

     

    Cada usuário tem sua pasta $RECYCLE.BIN. Caso queria acessá-la entre como Administrador e/ou Modo de Segurança.

     

    Com relação ao update é isso mesmo: já vi o Windows demorar mais de 20h para finalizar todo o processo. Neste caso terá que ter paciência.

     

    Podemos continuar?

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado,

    quanto ao $RECYCLE.BIN (lixeira do Windows) à partir do desktop, eu consigo acessá-lo normalmente. As minhas colocações foram com relação ao $RECYCLE.BIN no malwarebytes... Estou enviando um print para que você veja por si mesmo.

     

    Respondendo, ok podemos continuar!

     

     

    Configuração do Malwarebytes.png 

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Entendi! Veja (print) que dentro da referida pasta temos o SID do usuário, o que é perfeitamente normal.

     

    Complete o scan do MalwareBytes e caso queira remover a pasta, pode fazer sem problemas, pois outra será criada assim que o usuário deletar alguma coisa. ;)

     

    Aguardo e abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Leandrometalzero    0
  • Autor do tópico
  • Prezado diego_moicano,
    em 1º lugar, venho lhe dizer que eu respondi seu último post ontem, digitei a msg, pré-visualizei o post e estava tudo correto... Mas na hora em que cliquei em responder, para enviar a msg, deu um problema no site do fórum e, não foi possível enviar-te minha resposta.
    Quanto ao vírus $RECYCLE.BIN, ele tem este nome, exatamente igual ao da lixeira do Windows, para se camuflar no sistema e, assim, ficar muito mais difícil de ser encontrado, talvez com isso, até confunda programas anti-vírus e anti-malwares.
    Caro, não me leve a mal de insistir nesse assunto, mas na lixeira do Windows, eu não vejo nenhum cadeado, contudo na lixeira do Windows, vista à partir do MalwareBytes fica claro o cadeado que a sobrepõe... Na minha modesta opinião, é no mínimo, suspeito. E além disso, o SID que acompanha a lixeira visualizada à partir do MalwareBytes, realmente é de usuário, todavia também é o mesmo código que foi acusado pelo Farbar (algumas vezes inclusive) de ser ou estar infectado!
    Quanto ao Malwarebytes, é um software muito bom, já escaneei meu PC várias vezes com ele, inclusive, fiz uma verificação completa recentemente e, encaminhei o log ao fórum. Mas eu acho que no caso da minha máquina, pelo menos por hora, ele já deu o que tinha que dar, tendo em vista que pelo menos das últimas 5 vezes que escaneei meu PC com ele, não achou quase nada, apesar do computador ainda estar meio lento e a internet também, principalmente esta última.
    Tenho pra mim, que várias das porcarias do vírus estão dentro do Google Chrome. você saberia como remover o Chrome completamente do Windows?
    Ou ainda, se você tiver mais alguma sugestão?

     

    Valeu! Abraços! 
        

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    472

    Caro @Leandrometalzero

     

    Amigo, entendo sua preocupação, mas como disse, esta pasta, não é malware. Deixo aqui uma explicação de um colega nosso da UNITE:

     

    http://www.bleepingcomputer.com/forums/t/289569/infected-by-recycler-recyclebin-virusworm/#entry1595576
     

    Citação


    todavia também é o mesmo código que foi acusado pelo Farbar (algumas vezes inclusive) de ser ou estar infectado!

     

     

    Quem disse que o Farbar acusou esta pasta de ser malware?

     

    Podemos continuar?

     

    Abraços :D

    PS: O fato de não ter conseguido enviar sua mensagem é que o fórum sofreu uma atualização e ficou bugado, mas foi corrigido.

    Faltou: para desinstalar o Chrome basta ir no Painel de Controle > Desinstalar programas.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×