Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
alissomrex

paginas abrindo sozinhas parte 2

Recommended Posts

Olá. Boa noite a todos. 

Como orientado pelo colega @Turco esperei 1 mês para reabrir um tópico sobre o mesmo assunto, 

segundo o tópico a seguir: Pois demorei de responder em determinada situação. E o tópico ficou invalidado

Log adiantado do ZAScan 

 


ZA-Scan V1.0.0.5 Updated 30-09-2015
Tool run by king on 22/03/2017 at 17:56:37,50.
Microsoft Windows 8.1 Pro 6.3.9600  x86
Running in: Normal Mode No Internet Access Detected
Launched: C:\Users\king\Desktop\ZA-Scan.exe [Z-Analyse Scan]

==== Running Processes ======================

C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\dwm.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\PROGRA~1\GbPlugin\GbpSv.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskhostex.exe
C:\PROGRA~1\GbPlugin\GbpSv.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\mfevtps.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\system32\taskhost.exe
C:\Users\king\Desktop\ZA-Scan.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\conhost.exe
C:\Users\king\AppData\Local\Temp\ZAScan.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

==== Services(whitelist) ======================
Powered by E Dev

R2 - [AdobeARMservice] - Adobe Acrobat Update Service - c:\program files\common files\adobe\arm\1.0\armsvc.exe
R2 - [GbpSv] - Gbp Service - c:\progra~1\gbplugin\gbpsv.exe
R2 - [mfevtp] - McAfee Validation Trust Protection Service - c:\windows\system32\mfevtps.exe
R2 - [Warsaw Technology] - Warsaw Technology - c:\program files\diebold\warsaw\core.exe
R2 - [WinDefend] - Serviço Windows Defender - c:\program files\windows defender\msmpeng.exe
R2 - [WSearch] - Windows Search - c:\windows\system32\searchindexer.exe
S2 - [gupdate] - Serviço do Google Update (gupdate) - c:\program files\google\update\googleupdate.exe
S2 - [sppsvc] - Proteção de Software - c:\windows\system32\sppsvc.exe
S3 - [ALG] - Serviço Gateway de Camada de Aplicativo - c:\windows\system32\alg.exe
S3 - [COMSysApp] - COM+ System Application - c:\windows\system32\dllhost.exe
S3 - [Fax] - Fax - c:\windows\system32\fxssvc.exe
S3 - [FontCache3.0.0.0] - Windows Presentation Foundation Font Cache 3.0.0.0 - c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
S3 - [gupdatem] - Serviço do Google Update (gupdatem) - c:\program files\google\update\googleupdate.exe
S3 - [IEEtwCollectorService] - Serviço Coletor ETW do Internet Explorer - c:\windows\system32\ieetwcollector.exe
S3 - [MSDTC] - Coordenador de transações distribuídas - c:\windows\system32\msdtc.exe
S3 - [msiserver] - Windows Installer - c:\windows\system32\msiexec.exe
S3 - [odserv] - Microsoft Office Diagnostics Service - c:\program files\common files\microsoft shared\office12\odserv.exe
S3 - [ose] - Office Source Engine - c:\program files\common files\microsoft shared\source engine\ose.exe
S3 - [RpcLocator] - Alocador Remote Procedure Call (RPC) - c:\windows\system32\locator.exe
S3 - [SNMPTRAP] - Interceptação SNMP - c:\windows\system32\snmptrap.exe
S3 - [TrustedInstaller] - Instalador de Módulos do Windows - c:\windows\servicing\trustedinstaller.exe
S3 - [vds] - Disco Virtual - c:\windows\system32\vds.exe
S3 - [VSS] - Cópia de Sombra de Volume - c:\windows\system32\vssvc.exe
S3 - [wbengine] - Serviço de Mecanismo de Backup em Nível de Bloco - c:\windows\system32\wbengine.exe
S3 - [WdNisSvc] - Serviço de Inspeção de Rede do Windows Defender - c:\program files\windows defender\nissrv.exe
S3 - [wmiApSrv] - Adaptador de Desempenho WMI - c:\windows\system32\wbem\wmiapsrv.exe
S3 - [WMPNetworkSvc] - Serviço de Compartilhamento de Rede do Windows Media Player - c:\program files\windows media player\wmpnetwk.exe

==== Drivers(whitelist) ======================
Powered by E Dev

R0 - [FileInfo] - File Information FS MiniFilter - C:\Windows\system32\Drivers\FileInfo.sys
R0 - [FltMgr] - FltMgr - C:\Windows\system32\Drivers\FltMgr.sys
R0 - [Mup] - Mup - C:\Windows\system32\Drivers\Mup.sys
R0 - [WdFilter] - Driver de Minifiltro do Windows Defender - C:\Windows\system32\Drivers\WdFilter.sys
R1 - [NetBIOS] - NetBIOS Interface - C:\Windows\system32\Drivers\NetBIOS.sys
R2 - [srv] - Driver SMB 1.xxx do Servidor - C:\Windows\system32\Drivers\srv.sys
R3 - [srv2] - Driver SMB 2.xxx do Servidor - C:\Windows\system32\Drivers\srv2.sys
R0 - [ACPI] - Microsoft ACPI Driver - C:\Windows\system32\Drivers\ACPI.sys
R0 - [acpiex] - Microsoft ACPIEx Driver - C:\Windows\system32\Drivers\acpiex.sys
R0 - [atapi] - Canal de IDE - C:\Windows\system32\Drivers\atapi.sys
R0 - [CLFS] - Common Log (CLFS) - C:\Windows\system32\Drivers\CLFS.sys
R0 - [CNG] - CNG - C:\Windows\system32\Drivers\CNG.sys
R0 - [DeepFrz] - DeepFrz - C:\Windows\system32\Drivers\DeepFrz.sys
R0 - [disk] - Driver de disco - C:\Windows\system32\Drivers\disk.sys
R0 - [EhStorClass] - Enhanced Storage Filter Driver - C:\Windows\system32\Drivers\EhStorClass.sys
R0 - [fvevol] - Driver de Filtro de Criptografia de Unidade de Disco BitLocker - C:\Windows\system32\Drivers\fvevol.sys
R0 - [GbpKm] - Gbp KernelMode - C:\Windows\system32\Drivers\GbpKm.sys
R0 - [intelide] - intelide - C:\Windows\system32\Drivers\intelide.sys
R0 - [intelpep] - Driver Intel(R) Power Engine Plug-in - C:\Windows\system32\Drivers\intelpep.sys
R0 - [KSecDD] - KSecDD - C:\Windows\system32\Drivers\KSecDD.sys
R0 - [KSecPkg] - KSecPkg - C:\Windows\system32\Drivers\KSecPkg.sys
R0 - [mfehidk] - McAfee Inc. mfehidk - C:\Windows\system32\Drivers\mfehidk.sys
R0 - [mountmgr] - Gerenciador de Pontos de Montagem - C:\Windows\system32\Drivers\mountmgr.sys
R0 - [msisadrv] - msisadrv - C:\Windows\system32\Drivers\msisadrv.sys
R0 - [NDIS] - Driver do Sistema NDIS - C:\Windows\system32\Drivers\NDIS.sys
R0 - [partmgr] - Gerenciador de Partições - C:\Windows\system32\Drivers\partmgr.sys
R0 - [pci] - PCI Bus Driver - C:\Windows\system32\Drivers\pci.sys
R0 - [pcw] - Performance Counters for Windows Driver - C:\Windows\system32\Drivers\pcw.sys
R0 - [pdc] - pdc - C:\Windows\system32\Drivers\pdc.sys
R0 - [rdyboost] - ReadyBoost - C:\Windows\system32\Drivers\rdyboost.sys
R0 - [spaceport] - Driver de Espaços de Armazenamento - C:\Windows\system32\Drivers\spaceport.sys
R0 - [Tcpip] - Driver de Protocolo TCP/IP - C:\Windows\system32\Drivers\Tcpip.sys
R0 - [vdrvroot] - Enumerador de Unidade Virtual Microsoft - C:\Windows\system32\Drivers\vdrvroot.sys
R0 - [volmgr] - Driver de Gerenciador de Volumes - C:\Windows\system32\Drivers\volmgr.sys
R0 - [volmgrx] - Gerenciador de Volume Dinâmico - C:\Windows\system32\Drivers\volmgrx.sys
R0 - [volsnap] - Volumes de armazenamento - C:\Windows\system32\Drivers\volsnap.sys
R0 - [Wdf01000] - Serviço de Estruturas de Driver em Modo Kernel - C:\Windows\system32\Drivers\Wdf01000.sys
R0 - [WFPLWFS] - Plataforma para Filtros do Microsoft Windows - C:\Windows\system32\Drivers\WFPLWFS.sys
R1 - [AFD] - Ancillary Function Driver for Winsock - C:\Windows\system32\Drivers\AFD.sys
R1 - [Beep] - Beep - C:\Windows\system32\Drivers\Beep.sys
R1 - [tdx] - Driver de Suporte a TDI Herdado de NetIO - C:\Windows\system32\Drivers\tdx.sys
R2 - [tcpipreg] - TCP/IP Registry Compatibility - C:\Windows\system32\Drivers\tcpipreg.sys
S0 - [gbpddreg] - Gbpddreg svc - C:\Windows\system32\Drivers\gbpddreg.sys [x]
S0 - [hwpolicy] - Hardware Policy Driver - C:\Windows\system32\Drivers\hwpolicy.sys
S0 - [WdBoot] - Driver de Inicialização do Windows Defender - C:\Windows\system32\Drivers\WdBoot.sys

==== Startup Registry Enabled ======================

[HKEY_USERS\S-1-5-21-169044601-3773600215-2870236-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"CCleaner Monitoring"="C:\Program Files\CCleaner\CCleaner.exe /MONITOR"
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe /onboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Diebold - Warsaw"="C:\Program Files\Diebold\Warsaw\core.exe"
"RTHDVCPL"="C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CCleaner Monitoring"="C:\Program Files\CCleaner\CCleaner.exe /MONITOR"
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe /onboot"

==== Other Scheduled Tasks ======================

"C:\Windows\system32\tasks\Adobe Acrobat Update Task" [C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe]
"C:\Windows\system32\tasks\CCleanerSkipUAC" ["C:\Program Files\CCleaner\CCleaner.exe"]
"C:\Windows\system32\tasks\GoogleUpdateTaskMachineCore" [C:\Program Files\Google\Update\GoogleUpdate.exe]
"C:\Windows\system32\tasks\GoogleUpdateTaskMachineUA" [C:\Program Files\Google\Update\GoogleUpdate.exe]
"C:\Windows\system32\tasks\klcp_update" ["%ProgramFiles%\K-Lite Codec Pack\Tools\CodecTweakTool.exe"]
"C:\Windows\system32\tasks\User_Feed_Synchronization-{955214B9-6A58-448F-AE1E-1C5CB20970C2}" [C:\Windows\system32\msfeedssync.exe]

==== Chromium Look ======================

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
ngpampappnmepgilojfohadhhmbhlaek - C:\Program Files\Internet Download Manager\IDMGCExt.crx[10/07/2015 17:24]

Google Slides - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek
Google Docs - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake
Google Drive - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf
YouTube - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo
selector is not a valid CSS selector - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb
Google Sheets - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap
Google Docs Offline - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi
IDM Integration Module - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngpampappnmepgilojfohadhhmbhlaek
Chrome Web Store Payments - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda
Gmail - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia
Chrome Media Router - king\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm

==== IE Start and Search Settings ======================

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

==== All HKCU SearchScopes ======================

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
{012E1000-F331-11DB-8314-0800200C9A66} Google  Url="http://www.google.com/search?q={searchTerms}"
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing  Url="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02"

==== HijackThis Entries ======================

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Program Files\GbPlugin\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files\GbPlugin\gbiehcef.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A32F632-B1DA-4B35-8C14-CCD422B20AAE}: NameServer = 208.67.222.222,208.67.220.220

==== EOF on 22/03/2017 at 18:04:03,85 ======================
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @alissomrex

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Clique duas vezes para executar o jrt.exe.
 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • @diego_moicano

    Log do Adw Cleaner 

     

     

    # AdwCleaner v6.045 - Relatório criado 04/04/2017 às 17:57:29
    # Atualizado em 28/03/2017 por Malwarebytes
    # Banco de dados : 2017-04-04.2 [Servidor]
    # Sistema operacional : Windows 8.1 Pro  (X86)
    # Usuário : king - AKIRA
    # Executando de : C:\Users\king\Desktop\adwcleaner_6.045.exe
    # Modo: Limpo
    # Apoio : https://www.malwarebytes.com/support

    ***** [ Serviços ] *****

    [-] Serviço excluído:swdumon


    ***** [ Pastas ] *****

    [-] Pasta excluída:C:\Users\king\AppData\Local\slimware utilities inc
    [#] Pasta excluída na reinicialização:C:\Users\king\AppData\Local\SlimWare Utilities Inc
    [-] Pasta excluída:C:\Users\Public\Documents\Downloaded Installers


    ***** [ Arquivos ] *****

    [-] Arquivo excluído:C:\Windows\system32\drivers\swdumon.sys


    ***** [ DLL ] *****

    ***** [ WMI ] *****

    ***** [ Atalhos ] *****

    [-] Atalho desinfectado:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
    [-] Atalho desinfectado:C:\Users\king\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    [-] Atalho desinfectado:C:\Users\king\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplicativos do Google Chrome\Internet Download Manager (IDM).lnk
    [-] Atalho desinfectado:C:\Users\king\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    [-] Atalho desinfectado:C:\Users\king\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    [-] Atalho desinfectado:C:\Users\king\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk


    ***** [ Atividades agendadas ] *****

    ***** [ Registro ] *****

    [-] Chave excluída:HKU\S-1-5-21-169044601-3773600215-2870236-1001\Software\SlimWare Utilities Inc
    [#] Chave excluída na reinicialização:HKCU\Software\SlimWare Utilities Inc
    [-] Chave excluída:HKLM\SOFTWARE\SLIMWARE UTILITIES, INC.
    [-] Chave excluída:HKLM\SOFTWARE\SlimWare Utilities Inc
    [-] Chave excluída:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart File Advisor_is1


    ***** [ Verificando navegadores ... ] *****

    [-] [C:\Users\king\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Eliminado:br.ask.com


    *************************

    :: Chaves "Tracing" excluídas
    :: Políticas do IE excluídas
    :: Políticas do Chrome excluídas

    *************************

    C:\AdwCleaner\AdwCleaner[C0].txt - [1736 Bytes] - [09/01/2017 18:08:10]
    C:\AdwCleaner\AdwCleaner[C2].txt - [2492 Bytes] - [04/04/2017 17:57:29]
    C:\AdwCleaner\AdwCleaner[S0].txt - [1669 Bytes] - [09/01/2017 17:59:25]
    C:\AdwCleaner\AdwCleaner[S1].txt - [3249 Bytes] - [04/04/2017 17:47:38]

    ########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [2711 Bytes] ##########
     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Log do JunkWare Removal Tool 

     

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.1.2 (03.10.2017)
    Operating System: Windows 8.1 Pro x86 
    Ran by king (Administrator) on 04/04/2017 at 18:23:26,89
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    File System: 2 

    Successfully deleted: C:\Windows\System32\Tasks\Driver Easy Scheduled Scan (Task)
    Successfully deleted: C:\Windows\Tasks\Driver Easy Scheduled Scan.job (Task) 

    Registry: 0 

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 04/04/2017 at 18:42:58,05
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
     

    adicionado 13 minutos depois

    Log do ZHP Cleaner 

     

     

    ~ ZHPCleaner v2017.4.4.59 by Nicolas Coolman (2017/04/04)
    ~ Run by king (Administrator)  (04/04/2017 20:20:01)
    ~ Web: https://www.nicolascoolman.com
    ~ Blog: https://nicolascoolman.eu/
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version OK
    ~ Type : Reparo
    ~ Report : C:\Users\king\Desktop\ZHPCleaner.txt
    ~ Quarantine : C:\Users\king\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    Windows 8.1 Pro, 32-bit  (Build 9600)


    ---\\  Serviços (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Navegadores de Internet (1)
    SUPRIMIDO dados: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigUrl [Bad : http://websacesses.com/wpad.dat?f1a202d2a099d6fbc78e81ac99b0bddf27661095]  =>Hijacker.Proxy


    ---\\  Arquivo hosts (1)
    ~ O arquivo hosts é legítimo (1)


    ---\\  Tarefas automáticas agendadas. (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Explorer ( Arquivos, Pastas) (73)
    MOVIDO pasta: C:\Users\king\Downloads\Setup_DriverDoc_2016.exe [Solvusoft Corporation - DriverDoc Installation]  =>.Superfluous.Solvusoft
    MOVIDO pasta: C:\Users\king\Downloads\SlimDrivers-setup.exe [Slimware Utilities Holdings, Inc. - SlimDrivers Setup Wizard]  =>.Superfluous.SlimWareUtilities
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\1113882477.log    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\307992017.log    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\7za.exe    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\appdata.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\AxSFADownloader.exe    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\badext.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\chromium.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\crxfiles.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\databases.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\DeleteOnReboot.bat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\desktop.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\downloads.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\GLF1FEE.tmp    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\HKEY_USERS.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\javafolders.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\localappdata.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\LocalStorage.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\path.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\PEVZ.EXE    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\regsearch.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\regsearch2.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\remove.exe    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\sample.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\search.ico    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\sed.exe    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\service.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\shortcut.exe [Optimum X - Creates, modifies or queries Windows shell]  =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\swreg.exe [SteelWerX - Freeware implementation of REG.EXE]  =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\swxcacls.exe [SteelWerX - Freeware implementation of XCACLS]  =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\tempfolders.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\urlzoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\users.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\uttEDFE.tmp    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\uttEDFF.tmp    =>.Superfluous.Temporary.Empty
    MOVIDO pasta^: C:\Users\king\AppData\Local\Temp\winstore.log    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\wmplog00.sqm    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileBGSocial.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileBroom.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileCheck.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileClose.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileCluff_EN.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileCluff_FR.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileDetected.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileExit-40.bmp    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileExit-40.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileFB.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileForum.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileGP.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileIcone.ico    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileInfo.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFilelogo-teste.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileNav_FF.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileNav_GG.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileNav_IE.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileNav_OP.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFilePayPal.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFilePercent.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileQuar.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileQuestion.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileRapport.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileSearch.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\ZHPCFileTransGui.jpg    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\zoek-backups.zoek    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\zoek-delete.exe    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\zoek.bat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Temp\~DFDF4DEC1AC9832653.TMP    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\king\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage    =>.Superfluous.AudienceInsights
    MOVIDO pasta: C:\Users\king\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage-journal    =>.Superfluous.AudienceInsights
    MOVIDO arquivo: C:\Program Files\Smart File Advisor  =>.Superfluous.TotalPC
    MOVIDO arquivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor  =>.Superfluous.TotalPC
    MOVIDO arquivo: C:\Users\king\AppData\Local\Google\Chrome\User Data\Default\File System\008  =>PUP.Optional.DomaIQ


    ---\\  Registro ( Chaves, Valores, Dados ) (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Resumo dos elementos encontrados na sua estação de trabalho (7)
    https://nicolascoolman.eu/2017/04/03/hijacker-proxy/  =>Hijacker.Proxy
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Solvusoft
    https://nicolascoolman.eu/2017/03/03/superfluous-slimwareutilities/  =>.Superfluous.SlimWareUtilities
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Empty
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.AudienceInsights
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.TotalPC
    https://www.nicolascoolman.com/fr/adware-domaiq/  =>PUP.Optional.DomaIQ


    ---\\  Dodatkowe oczyszczenie. (3)
    ~ Chave de registro Tracing Supprimido (1)
    ~ Remover os relatórios antigos ZHPCleaner. (2)


    ---\\ Resultado de reparação
    Reparação efectuada com sucesso
    ~ Este navegador está faltando ! (Mozilla Firefox)
    ~ Este navegador está faltando ! (Opera Software)
    ~ O sistema foi reiniciado.


    ---\\ Estatísticas
    ~ Items scan : 279
    ~ Items encontrado : 0
    ~ items cancelados : 0
    ~ Items réparo : 74


    ~ End of clean in 00h00mn12s
    ~====================
    ZHPCleaner-[R]-04042017-20_20_13.txt
    ZHPCleaner-[R]-09012017-21_57_28.txt
    ZHPCleaner--04042017-20_16_55.txt
     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro @alissomrex

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


    32 bit (x86) ou 64 bit (x64)

     

    • Clique duas vezes para executar a ferramenta.
      • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
    • Marque a caixa Arquivos 90 dias,  e clique no botão Examinar.
    • Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop).
    • Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta.
    • Anexe o log Addition.txt

    Abraços :D

    • Curtir 1

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ambos logs compactados como solicitado colegas @Turco e @diego_moicano

    Addition.rar

    FRST.rar

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro @alissomrex

     

    Ative o Firewall do Windows. ;)

     

    Por favor, tente da próxima vez, anexar os logs não compactados, obrigado!

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o arquivo (fixlist.txt) no anexo deste post e salve-o na Área de Trabalho (Desktop).

    Execute o FRST.exe (ou FRST64.exe) e clique no botão Corrigir.

    Aguarde... ao final será gerado o log Fixlog.txt  salvo em sua Área de Trabalho (Desktop).

    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    fixlist.txt

    • Curtir 1

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • @diego_moicano

    aqui o log como pedido 

     

    Resultado da Correção pela Farbar Recovery Scan Tool (x86) Versão: 15-03-2017
    Executado por king (09-04-2017 22:02:14) Run:2
    Executando a partir de C:\Users\king\Desktop
    Perfis Carregados: king (Perfis Disponíveis: king)
    Modo da Inicialização: Normal

    ==============================================

    fixlist Conteúdo:
    *****************
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\RunOnce: [Deroterega] => C:\Windows\system32\wscript.exe /E:vbscript /B "C:\Users\king\AppData\Roaming\Remoko"
    Folder: C:\Users\king\AppData\Roaming\Remoko
    GroupPolicy: Restrição ? <======= ATENÇÃO
    CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://br.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_sumsca_17_14&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dbr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyC0CyCtByC0D0B0D0BtB0EyEyEtBzyzytN0D0Tzu0StCzytBtCtN1L2XzutAtFtBzytFtAtFyDtBtN1L1Czu1ByCtN1L1G1B1V1N2Y1L1Qzu2StCtCtByDtCyD0AyBtGyCtAyE0FtG0EyD0DtDtGyDtCtBtAtG0A0D0DyDtC0AtDyE0B0DtB0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0DtByEyBtBtC0BtGtDtD0DyBtGyEzy0EyEtGzzyB0EyBtGyD0EtD0DyC0Ezz0A0AtB0A0C2QtN0A0LzuyE%26cr%3D508123879%26a%3Dwbf_sumsca_17_14%26os_ver%3D6.3%26os%3DWindows%2B8.1%2BPro
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://br.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_sumsca_17_14&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dbr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyC0CyCtByC0D0B0D0BtB0EyEyEtBzyzytN0D0Tzu0StCzytBtCtN1L2XzutAtFtBzytFtAtFyDtBtN1L1Czu1ByCtN1L1G1B1V1N2Y1L1Qzu2StCtCtByDtCyD0AyBtGyCtAyE0FtG0EyD0DtDtGyDtCtBtAtG0A0D0DyDtC0AtDyE0B0DtB0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0DtByEyBtBtC0BtGtDtD0DyBtGyEzy0EyEtGzzyB0EyBtGyD0EtD0DyC0Ezz0A0AtB0A0C2QtN0A0LzuyE%26cr%3D508123879%26a%3Dwbf_sumsca_17_14%26os_ver%3D6.3%26os%3DWindows%2B8.1%2BPro
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pt-br/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://br.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_sumsca_17_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dbr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyC0CyCtByC0D0B0D0BtB0EyEyEtBzyzytN0D0Tzu0StCzytBtCtN1L2XzutAtFtBzytFtAtFyDtBtN1L1Czu1ByCtN1L1G1B1V1N2Y1L1Qzu2StCtCtByDtCyD0AyBtGyCtAyE0FtG0EyD0DtDtGyDtCtBtAtG0A0D0DyDtC0AtDyE0B0DtB0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0DtByEyBtBtC0BtGtDtD0DyBtGyEzy0EyEtGzzyB0EyBtGyD0EtD0DyC0Ezz0A0AtB0A0C2QtN0A0LzuyE%26cr%3D508123879%26a%3Dwbf_sumsca_17_14%26os_ver%3D6.3%26os%3DWindows%2B8.1%2BPro&p={searchTerms}
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://br.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_sumsca_17_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dbr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyC0CyCtByC0D0B0D0BtB0EyEyEtBzyzytN0D0Tzu0StCzytBtCtN1L2XzutAtFtBzytFtAtFyDtBtN1L1Czu1ByCtN1L1G1B1V1N2Y1L1Qzu2StCtCtByDtCyD0AyBtGyCtAyE0FtG0EyD0DtDtGyDtCtBtAtG0A0D0DyDtC0AtDyE0B0DtB0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0DtByEyBtBtC0BtGtDtD0DyBtGyEzy0EyEtGzzyB0EyBtGyD0EtD0DyC0Ezz0A0AtB0A0C2QtN0A0LzuyE%26cr%3D508123879%26a%3Dwbf_sumsca_17_14%26os_ver%3D6.3%26os%3DWindows%2B8.1%2BPro&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-169044601-3773600215-2870236-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://br.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_sumsca_17_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dbr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyC0CyCtByC0D0B0D0BtB0EyEyEtBzyzytN0D0Tzu0StCzytBtCtN1L2XzutAtFtBzytFtAtFyDtBtN1L1Czu1ByCtN1L1G1B1V1N2Y1L1Qzu2StCtCtByDtCyD0AyBtGyCtAyE0FtG0EyD0DtDtGyDtCtBtAtG0A0D0DyDtC0AtDyE0B0DtB0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0DtByEyBtBtC0BtGtDtD0DyBtGyEzy0EyEtGzzyB0EyBtGyD0EtD0DyC0Ezz0A0AtB0A0C2QtN0A0LzuyE%26cr%3D508123879%26a%3Dwbf_sumsca_17_14%26os_ver%3D6.3%26os%3DWindows%2B8.1%2BPro&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-169044601-3773600215-2870236-1001 -> {012E1000-F331-11DB-8314-0800200C9A66} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-169044601-3773600215-2870236-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://br.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_sumsca_17_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dbr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyC0CyCtByC0D0B0D0BtB0EyEyEtBzyzytN0D0Tzu0StCzytBtCtN1L2XzutAtFtBzytFtAtFyDtBtN1L1Czu1ByCtN1L1G1B1V1N2Y1L1Qzu2StCtCtByDtCyD0AyBtGyCtAyE0FtG0EyD0DtDtGyDtCtBtAtG0A0D0DyDtC0AtDyE0B0DtB0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0DtByEyBtBtC0BtGtDtD0DyBtGyEzy0EyEtGzzyB0EyBtGyD0EtD0DyC0Ezz0A0AtB0A0C2QtN0A0LzuyE%26cr%3D508123879%26a%3Dwbf_sumsca_17_14%26os_ver%3D6.3%26os%3DWindows%2B8.1%2BPro&p={searchTerms}
    CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms}
    CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms}
    S0 gbpddreg; system32\drivers\gbpddreg32.sys [X]
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\B783.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\B62A.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\B3C8.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\B01D.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\AE19.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\AE08.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\AD4C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\A22D.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\9C8D.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\9C3E.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\9BFF.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\9BEE.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\98FF.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\9313.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\92F2.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\92C2.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\92C1.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\910B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\8FE1.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\883F.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\880F.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\8697.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\8658.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\8647.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\8627.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7D4C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7D4B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7D2B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7C20.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7C1F.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7C0F.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7A97.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7815.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\76AD.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\74B8.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7284.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\710C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\7040.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6F74.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6E4A.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6D20.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6B1B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\69E2.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\658C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6442.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6328.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\61A1.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\6067.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\5F4D.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\5DD5.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\5CAB.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\5B14.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\59BB.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\57E5.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\56CB.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\55C0.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\54D5.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\5418.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\533D.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\51C5.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\5118.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\502C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4EE3.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4D8B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4D1C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4BD3.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4B36.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4AC7.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\49FB.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\496E.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4873.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\47C6.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4709.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\45D0.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4542.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4466.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\438B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\4270.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\40E9.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\406B.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3FED.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3EA4.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3E64.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3DE6.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3D78.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3CDB.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3C7C.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3BB0.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3AB5.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\3A46.tmp
    2017-03-28 13:23 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\396A.tmp
    2017-03-28 13:22 - 2017-03-28 13:23 - 00244359 _____ C:\Users\king\Downloads\387E.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\37B2.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\3763.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\3697.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\3406.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\30E8.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\2326.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\222B.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\2046.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1E6F.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1D07.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1CB7.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1BDC.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1AE1.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1A53.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\19A6.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\18DA.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\17DF.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\1780.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\15E9.tmp
    2017-03-28 13:22 - 2017-03-28 13:22 - 00244359 _____ C:\Users\king\Downloads\13E3.tmp
    C:\Users\king\ZHPCleaner.exe
    C:\Windows\Tasks\{11D6B3DF-51D9-B687-46DF-042068F57CD8}.job
    File: C:\Users\king\AppData\Roaming\11D6B3~1\Updane.exe
    Folder: C:\Users\king\AppData\Roaming\11D6B3~1
    2017-03-20 20:37 - 2017-03-22 17:55 - 0388608 _____ (Trend Micro Inc.) C:\Users\king\AppData\Local\Temp\hijackthis.exe
    2017-04-05 15:52 - 2017-04-05 15:52 - 1282208 _____ (                                                            ) C:\Users\king\AppData\Local\Temp\ICReinstall_Tayrone.exe
    2017-04-05 16:00 - 2017-04-05 16:00 - 1282208 _____ (                                                            ) C:\Users\king\AppData\Local\Temp\ICReinstall_Unha Pintada - Promocional 2017 .exe
    2017-03-20 20:37 - 2017-03-22 17:55 - 0030720 _____ (NirSoft) C:\Users\king\AppData\Local\Temp\NirCmd.exe
    2017-03-20 20:37 - 2017-03-22 17:55 - 0154232 _____ (Noël Danjou) C:\Users\king\AppData\Local\Temp\wget.exe
    (McAfee, Inc.) C:\Windows\System32\mfevtps.exe
    R2 mfevtp; C:\Windows\system32\mfevtps.exe [238288 2017-01-09] (McAfee, Inc.)
    R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [648552 2017-01-09] (McAfee, Inc.)
    S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [91840 2017-01-09] (McAfee, Inc.)
    File: C:\Windows\System32\drivers\mfehidk.sys
    File: C:\Windows\system32\mfevtps.exe
    2017-01-10 10:56 - 2017-01-10 10:56 - 00000084 _____ C:\Users\king\Desktop\McAfee Stinger Resultados da Análise.url
    2017-01-09 21:02 - 2017-01-09 21:02 - 00648552 _____ (McAfee, Inc.) C:\Windows\system32\Drivers\mfehidk.sys
    2017-01-09 21:02 - 2017-01-09 21:02 - 00238288 _____ (McAfee, Inc.) C:\Windows\system32\mfevtps.exe
    2017-01-09 21:02 - 2017-01-09 21:02 - 00091840 _____ (McAfee, Inc.) C:\Windows\system32\Drivers\mferkdet.sys
    2017-01-09 21:01 - 2017-01-09 21:01 - 00000000 ____D C:\Program Files\McAfee
    2017-01-09 21:00 - 2017-01-09 21:00 - 17086112 _____ (McAfee Inc) C:\Users\king\Desktop\stinger32.exe
    Task: {338D8BEA-37E3-47F8-8BDD-3BC08E71036F} - System32\Tasks\Yahoo! Powered simat => Wscript.exe "C:\ProgramData\{7571B012-FF33-3AD4-79F5-A496E3B72F58}\niri.txt" "68747470733a2f2f7761676e672e636f6d" "433a5c50726f6772616d446174615c7b37353731423031322d464633332d334144342d373946352d4134393645334237324635387d5c746f6c61636f" "433a5c50726f6772616d446174615c7b37353731423031322d464633332d334144342d3739 (a entrada de dados tem 80 mais caracteres).
    Task: C:\Windows\Tasks\Yahoo! Powered simat.job => Wscript.exe  C:\ProgramData\{7571B012-FF33-3AD4-79F5-A496E3B72F58}\niri.txt <==== ATENÇÃO
    Task: C:\Windows\Tasks\{11D6B3DF-51D9-B687-46DF-042068F57CD8}.job => C:\Users\king\AppData\Roaming\11D6B3~1\Updane.exe <==== ATENÇÃO
    CMD:ipconfig /flushdns
    EmptyTemp:

    *****************

    Ponto de Restauração criado com sucesso.
    Processos fechados com sucesso.
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Deroterega => valor removido (a) com sucesso.

    ========================= Folder: C:\Users\king\AppData\Roaming\Remoko ========================

    C:\Users\king\AppData\Roaming\Remoko => Arquivo

    ====== Fim de Folder: ======

    C:\Windows\system32\GroupPolicy\Machine => movido com sucesso
    C:\Windows\system32\GroupPolicy\GPT.ini => movido com sucesso
    HKLM\SOFTWARE\Policies\Google => chave removido (a) com sucesso.
    HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => valor restaurado com sucesso
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\Software\Microsoft\Internet Explorer\Main\\Start Page => valor restaurado com sucesso
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\Software\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache => valor removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => valor restaurado com sucesso
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => chave removido (a) com sucesso.
    HKCR\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => chave não encontrado (a). 
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => valor removido (a) com sucesso.
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{012E1000-F331-11DB-8314-0800200C9A66} => chave removido (a) com sucesso.
    HKCR\CLSID\{012E1000-F331-11DB-8314-0800200C9A66} => chave não encontrado (a). 
    HKU\S-1-5-21-169044601-3773600215-2870236-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => chave removido (a) com sucesso.
    HKCR\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => chave não encontrado (a). 
    Chrome DefaultSearchURL => removido (a) com sucesso.
    Chrome DefaultSuggestURL => removido (a) com sucesso.
    HKLM\System\CurrentControlSet\Services\gbpddreg => chave removido (a) com sucesso.
    gbpddreg => serviço removido (a) com sucesso.
    C:\Users\king\Downloads\B783.tmp => movido com sucesso
    C:\Users\king\Downloads\B62A.tmp => movido com sucesso
    C:\Users\king\Downloads\B3C8.tmp => movido com sucesso
    C:\Users\king\Downloads\B01D.tmp => movido com sucesso
    C:\Users\king\Downloads\AE19.tmp => movido com sucesso
    C:\Users\king\Downloads\AE08.tmp => movido com sucesso
    C:\Users\king\Downloads\AD4C.tmp => movido com sucesso
    C:\Users\king\Downloads\A22D.tmp => movido com sucesso
    C:\Users\king\Downloads\9C8D.tmp => movido com sucesso
    C:\Users\king\Downloads\9C3E.tmp => movido com sucesso
    C:\Users\king\Downloads\9BFF.tmp => movido com sucesso
    C:\Users\king\Downloads\9BEE.tmp => movido com sucesso
    C:\Users\king\Downloads\98FF.tmp => movido com sucesso
    C:\Users\king\Downloads\9313.tmp => movido com sucesso
    C:\Users\king\Downloads\92F2.tmp => movido com sucesso
    C:\Users\king\Downloads\92C2.tmp => movido com sucesso
    C:\Users\king\Downloads\92C1.tmp => movido com sucesso
    C:\Users\king\Downloads\910B.tmp => movido com sucesso
    C:\Users\king\Downloads\8FE1.tmp => movido com sucesso
    C:\Users\king\Downloads\883F.tmp => movido com sucesso
    C:\Users\king\Downloads\880F.tmp => movido com sucesso
    C:\Users\king\Downloads\8697.tmp => movido com sucesso
    C:\Users\king\Downloads\8658.tmp => movido com sucesso
    C:\Users\king\Downloads\8647.tmp => movido com sucesso
    C:\Users\king\Downloads\8627.tmp => movido com sucesso
    C:\Users\king\Downloads\7D4C.tmp => movido com sucesso
    C:\Users\king\Downloads\7D4B.tmp => movido com sucesso
    C:\Users\king\Downloads\7D2B.tmp => movido com sucesso
    C:\Users\king\Downloads\7C20.tmp => movido com sucesso
    C:\Users\king\Downloads\7C1F.tmp => movido com sucesso
    C:\Users\king\Downloads\7C0F.tmp => movido com sucesso
    C:\Users\king\Downloads\7A97.tmp => movido com sucesso
    C:\Users\king\Downloads\7815.tmp => movido com sucesso
    C:\Users\king\Downloads\76AD.tmp => movido com sucesso
    C:\Users\king\Downloads\74B8.tmp => movido com sucesso
    C:\Users\king\Downloads\7284.tmp => movido com sucesso
    C:\Users\king\Downloads\710C.tmp => movido com sucesso
    C:\Users\king\Downloads\7040.tmp => movido com sucesso
    C:\Users\king\Downloads\6F74.tmp => movido com sucesso
    C:\Users\king\Downloads\6E4A.tmp => movido com sucesso
    C:\Users\king\Downloads\6D20.tmp => movido com sucesso
    C:\Users\king\Downloads\6B1B.tmp => movido com sucesso
    C:\Users\king\Downloads\69E2.tmp => movido com sucesso
    C:\Users\king\Downloads\658C.tmp => movido com sucesso
    C:\Users\king\Downloads\6442.tmp => movido com sucesso
    C:\Users\king\Downloads\6328.tmp => movido com sucesso
    C:\Users\king\Downloads\61A1.tmp => movido com sucesso
    C:\Users\king\Downloads\6067.tmp => movido com sucesso
    C:\Users\king\Downloads\5F4D.tmp => movido com sucesso
    C:\Users\king\Downloads\5DD5.tmp => movido com sucesso
    C:\Users\king\Downloads\5CAB.tmp => movido com sucesso
    C:\Users\king\Downloads\5B14.tmp => movido com sucesso
    C:\Users\king\Downloads\59BB.tmp => movido com sucesso
    C:\Users\king\Downloads\57E5.tmp => movido com sucesso
    C:\Users\king\Downloads\56CB.tmp => movido com sucesso
    C:\Users\king\Downloads\55C0.tmp => movido com sucesso
    C:\Users\king\Downloads\54D5.tmp => movido com sucesso
    C:\Users\king\Downloads\5418.tmp => movido com sucesso
    C:\Users\king\Downloads\533D.tmp => movido com sucesso
    C:\Users\king\Downloads\51C5.tmp => movido com sucesso
    C:\Users\king\Downloads\5118.tmp => movido com sucesso
    C:\Users\king\Downloads\502C.tmp => movido com sucesso
    C:\Users\king\Downloads\4EE3.tmp => movido com sucesso
    C:\Users\king\Downloads\4D8B.tmp => movido com sucesso
    C:\Users\king\Downloads\4D1C.tmp => movido com sucesso
    C:\Users\king\Downloads\4BD3.tmp => movido com sucesso
    C:\Users\king\Downloads\4B36.tmp => movido com sucesso
    C:\Users\king\Downloads\4AC7.tmp => movido com sucesso
    C:\Users\king\Downloads\49FB.tmp => movido com sucesso
    C:\Users\king\Downloads\496E.tmp => movido com sucesso
    C:\Users\king\Downloads\4873.tmp => movido com sucesso
    C:\Users\king\Downloads\47C6.tmp => movido com sucesso
    C:\Users\king\Downloads\4709.tmp => movido com sucesso
    C:\Users\king\Downloads\45D0.tmp => movido com sucesso
    C:\Users\king\Downloads\4542.tmp => movido com sucesso
    C:\Users\king\Downloads\4466.tmp => movido com sucesso
    C:\Users\king\Downloads\438B.tmp => movido com sucesso
    C:\Users\king\Downloads\4270.tmp => movido com sucesso
    C:\Users\king\Downloads\40E9.tmp => movido com sucesso
    C:\Users\king\Downloads\406B.tmp => movido com sucesso
    C:\Users\king\Downloads\3FED.tmp => movido com sucesso
    C:\Users\king\Downloads\3EA4.tmp => movido com sucesso
    C:\Users\king\Downloads\3E64.tmp => movido com sucesso
    C:\Users\king\Downloads\3DE6.tmp => movido com sucesso
    C:\Users\king\Downloads\3D78.tmp => movido com sucesso
    C:\Users\king\Downloads\3CDB.tmp => movido com sucesso
    C:\Users\king\Downloads\3C7C.tmp => movido com sucesso
    C:\Users\king\Downloads\3BB0.tmp => movido com sucesso
    C:\Users\king\Downloads\3AB5.tmp => movido com sucesso
    C:\Users\king\Downloads\3A46.tmp => movido com sucesso
    C:\Users\king\Downloads\396A.tmp => movido com sucesso
    C:\Users\king\Downloads\387E.tmp => movido com sucesso
    C:\Users\king\Downloads\37B2.tmp => movido com sucesso
    C:\Users\king\Downloads\3763.tmp => movido com sucesso
    C:\Users\king\Downloads\3697.tmp => movido com sucesso
    C:\Users\king\Downloads\3406.tmp => movido com sucesso
    C:\Users\king\Downloads\30E8.tmp => movido com sucesso
    C:\Users\king\Downloads\2326.tmp => movido com sucesso
    C:\Users\king\Downloads\222B.tmp => movido com sucesso
    C:\Users\king\Downloads\2046.tmp => movido com sucesso
    C:\Users\king\Downloads\1E6F.tmp => movido com sucesso
    C:\Users\king\Downloads\1D07.tmp => movido com sucesso
    C:\Users\king\Downloads\1CB7.tmp => movido com sucesso
    C:\Users\king\Downloads\1BDC.tmp => movido com sucesso
    C:\Users\king\Downloads\1AE1.tmp => movido com sucesso
    C:\Users\king\Downloads\1A53.tmp => movido com sucesso
    C:\Users\king\Downloads\19A6.tmp => movido com sucesso
    C:\Users\king\Downloads\18DA.tmp => movido com sucesso
    C:\Users\king\Downloads\17DF.tmp => movido com sucesso
    C:\Users\king\Downloads\1780.tmp => movido com sucesso
    C:\Users\king\Downloads\15E9.tmp => movido com sucesso
    C:\Users\king\Downloads\13E3.tmp => movido com sucesso
    C:\Users\king\ZHPCleaner.exe => movido com sucesso
    C:\Windows\Tasks\{11D6B3DF-51D9-B687-46DF-042068F57CD8}.job => movido com sucesso

    ========================= File: C:\Users\king\AppData\Roaming\11D6B3~1\Updane.exe ========================

    Arquivo não assinado
    MD5: 0193FA403BE85F559E0E54319BEDDC46
    Data de criação e modificação: 2013-04-24 18:48 - 2013-04-24 18:48
    Tamanho: 0684544
    Atributos: ----A
    Nome Da Empresa: 
    Interno Nome: 
    Original Nome: 
    Produto: 
    Descrição: 
    Arquivo Versão: 
    Produto Versão: 
    Copyright: 

    ====== Fim de File: ======


    ========================= Folder: C:\Users\king\AppData\Roaming\11D6B3~1 ========================

    2013-04-26 08:30 - 2017-04-07 00:01 - 0001033 _____ () C:\Users\king\AppData\Roaming\11D6B3~1\info.dat
    2013-04-10 19:12 - 2013-04-10 19:12 - 0000027 _____ () C:\Users\king\AppData\Roaming\11D6B3~1\STTL.DAT
    2013-04-20 19:22 - 2013-04-20 19:22 - 0000004 _____ () C:\Users\king\AppData\Roaming\11D6B3~1\TTL.DAT
    2013-04-24 18:48 - 2013-04-24 18:48 - 0684544 _____ () C:\Users\king\AppData\Roaming\11D6B3~1\Updane.exe

    ====== Fim de Folder: ======

    "C:\Users\king\AppData\Local\Temp\hijackthis.exe" => não encontrado (a).
    "C:\Users\king\AppData\Local\Temp\ICReinstall_Tayrone.exe" => não encontrado (a).
    "C:\Users\king\AppData\Local\Temp\ICReinstall_Unha Pintada - Promocional 2017 .exe" => não encontrado (a).
    "C:\Users\king\AppData\Local\Temp\NirCmd.exe" => não encontrado (a).
    "C:\Users\king\AppData\Local\Temp\wget.exe" => não encontrado (a).
    C:\Windows\System32\mfevtps.exe
    C:\Windows\System32\mfevtps.exe => Não foi encontrado em execução o processo
    HKLM\System\CurrentControlSet\Services\mfevtp => chave removido (a) com sucesso.
    mfevtp => serviço removido (a) com sucesso.
    mfehidk => Não foi possível finalizar o serviço.
    HKLM\System\CurrentControlSet\Services\mfehidk => chave removido (a) com sucesso.
    mfehidk => serviço removido (a) com sucesso.
    HKLM\System\CurrentControlSet\Services\mferkdet => chave removido (a) com sucesso.
    mferkdet => serviço removido (a) com sucesso.

    ========================= File: C:\Windows\System32\drivers\mfehidk.sys ========================

    O arquivo é assinado digitalmente
    MD5: 19D2D9C507D0E7A577807303FE96501B
    Data de criação e modificação: 2017-01-09 21:02 - 2017-01-09 21:02
    Tamanho: 0648552
    Atributos: ----A
    Nome Da Empresa: McAfee, Inc.
    Interno Nome: 
    Original Nome: 
    Produto: SYSCORE
    Descrição: McAfee Link Driver
    Arquivo Versão: SYSCORE.15.4.0.543
    Produto Versão: 
    Copyright: Copyright© 1995-2015 McAfee, Inc. All Rights Reserved.

    ====== Fim de File: ======


    ========================= File: C:\Windows\system32\mfevtps.exe ========================

    O arquivo é assinado digitalmente
    MD5: 0A277C42CBF52C2AF2BAA10B89F2A9AD
    Data de criação e modificação: 2017-01-09 21:02 - 2017-01-09 21:02
    Tamanho: 0238288
    Atributos: ----A
    Nome Da Empresa: McAfee, Inc.
    Interno Nome: 
    Original Nome: 
    Produto: SYSCORE
    Descrição: McAfee Process Validation Service
    Arquivo Versão: SYSCORE.15.4.0.543
    Produto Versão: 
    Copyright: Copyright© 1995-2015 McAfee, Inc. All Rights Reserved.

    ====== Fim de File: ======

    C:\Users\king\Desktop\McAfee Stinger Resultados da Análise.url => movido com sucesso
    C:\Windows\system32\Drivers\mfehidk.sys => movido com sucesso
    C:\Windows\system32\mfevtps.exe => movido com sucesso
    C:\Windows\system32\Drivers\mferkdet.sys => movido com sucesso
    C:\Program Files\McAfee => movido com sucesso
    C:\Users\king\Desktop\stinger32.exe => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{338D8BEA-37E3-47F8-8BDD-3BC08E71036F} => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{338D8BEA-37E3-47F8-8BDD-3BC08E71036F} => chave removido (a) com sucesso.
    C:\Windows\System32\Tasks\Yahoo! Powered simat => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yahoo! Powered simat => chave removido (a) com sucesso.
    C:\Windows\Tasks\Yahoo! Powered simat.job => movido com sucesso
    C:\Windows\Tasks\{11D6B3DF-51D9-B687-46DF-042068F57CD8}.job => não encontrado (a).

    ========= ipconfig /flushdns =========


    Configura‡Æo de IP do Windows

    Libera‡Æo do Cache do DNS Resolver bem-sucedida.

    ========= Fim de CMD: =========


    =========== EmptyTemp: ==========

    BITS transfer queue => 12582912 B
    DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20111440 B
    Java, Flash, Steam htmlcache => 492 B
    Windows/system/drivers => 58245 B
    Edge => 0 B
    Chrome => 117054011 B
    Firefox => 0 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 128 B
    LocalService => 3883 B
    NetworkService => 42020 B
    king => 7449183 B

    RecycleBin => 0 B
    EmptyTemp: => 150 MB de dados temporários Removidos.

    ================================


    O sistema precisou ser reiniciado.

    ==== Fim de Fixlog 22:02:43 ====

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro @alissomrex

     

    Baixe a Malwarebytes Anti-Malware (MBAM).
     
    Clique duas vezes no mbam-setup.exe para instalar o programa.

    • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
    • Se houver atualizações a serem feitas, serão baixadas e instaladas..
    • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
    • Volte ao Painel e por fim clique em Verificar agora.
    • Começará então o exame. Aguarde, pois pode demorar.
    • Ao acabar o exame, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas
    • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
    • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Registros do aplicativo na janela principal do programa.
    • Clique duas vezes no log (Registro de verificação). Utilize o formato .txt para exportar o log.
    • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
    • Selecione, copie e cole o conteúdo deste log em sua próxima resposta.

     

    NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Tópico Arquivado

     

    Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança solicitando o desbloqueio.

     

    Turco

    diego_moicano

     

     

    • Obrigado 1

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×