Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Ninaah

PDM:cavalo de tróia.Win32.Generic mudou chaves de registro e proxy

Recommended Posts

Olá, 

meu pc foi infectado por um trojan, ele mudou as chaves de registros no HK_LOCAL_MACHINE/.../internetsettings e imediatamente o Kaspersky (2017) avisou sobre o comportamento suspeito, e disse ter revertido as mudanças porém o arquivo de download precisou ser apagado por mim. O computador foi reiniciado e foi feita uma "desinfeção avançada" pelo antivírus, porém quando eu entrei o Chrome para acessar o My Kaspersky o mesmo começou a abrir páginas sozinho e me encaminhar à paginas que o Kaspersky me avisa que eram infectadas. 

Fiz uma verificação completa no computador, porém notei que a tela a área de trabalho estava piscando em um intervado de tempo, desconectei da internet, procurei algumas configurações e vi que o proxy tinha sido mudado para "webunstop.org/..." e rundll32.exe estava como padrão para iniciar junto com o windows. 

Conectei um cartão de memória a fim de salvar minhas fotos e quando cliquei em retirar dispositivo com segurança, no pop-up logo abaixo da confirmação aparecia "processo host do windows Rundll.exe", sendo que não tem nada a ver uma coisa com a outra. 

Verifiquei a validade do processo e ele está na pasta C:Windows/system32 e aparece como arquivo legítimo do windows com 64kb de tamanho. 

Foi criado também um arquivo .dat dentro da system32 no horário aproximado ao da infecção. 

Após tudo isso, resolvi realizar uma restauração do Windows com reinstalação do sistema, preservando meus arquivos, ocorreu normalmente, instalei imediatamente o Kaspersky e desativei o McAfee* fiz a varredura e não derectou nada. Restaurei as permissões do firewall, porém sempre que me conecto a internet a barra de tarefas pisca a cada 03 segundos, logo após a restauração na área de trabalho foi gerado um arquivo .html com o nome do arquivo que eu tinha excluído anteriormente que trouxe a infecção com nome principal, e link para algo como "girlofiphanema...", e ou outro arquivo .html com nome "programas desisntalados". Não abri nenhum dos dois e os exclui imediatamente. 

Estou um pouco perdida, e não confio que essa restauração do sistema tenha solucionado o problema, pois o fato de manter meus arquivos pode ter escondido o trojan, verifiquei chaves de registro no Run e RunOnce não vi nada de anormal. Já verifiquei as Rootkits com o Kaspersky e ele diz que está tudo limpo, verifiquei a System32 separada também e aparece como tudo limpo.

Contatei o susporte da Kaspersky, mas ainda não obtive nenhuma resposta, só me mandaram um programa para gerar um arquivo de log. Mas não sei se aparecerá tudo pelo fato de ter restaurado o sistema. 

 

Alguém poderia me auxiliar?

windows 10 home

kaspersky 2017

Foi instalada a última grande atualização do Windows que saiu essa semana. 

Obrigada!!! 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Ao invés de criar um novo tópico, peço que continue com este e faça uma resposta anexando o log do ZA-Scan, de acordo com as instruções do link abaixo.
http://www.clubedohardware.com.br/forums/topic/558719-leia-antes-de-postar/

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Ninaah

 

Siga os passos abaixo:

ETAPA 1

Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
https://downloads.malwarebytes.org/file/mbam_current/
 
Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

  • Na aba Análise marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho;
  • Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.



NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em execadmin.png

Clique em EXAMINAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

Selecione, copie e cole o seu conteúdo na próxima resposta.

ETAPA 3

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe jrt.exe do link abaixo e salve no desktop.
http://www.bleepingcomputer.com/download/junkware-removal-tool/

Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo jrt.exe, depois clique em execadmin.png

A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Olá,

     

    seguem os arquivos de log.

     

    Malwarebytes
    www.malwarebytes.com

    -Detalhes de registro-
    Data da análise: 12/06/17
    Hora da análise: 13:01
    Arquivo de registro: log.txt
    Administrador: Sim

    -Informação do software-
    Versão: 3.1.2.1733
    Versão de componentes: 1.0.141
    Versão do pacote de definições: 1.0.2138
    Licença: Versão de avaliação

    -Informação do sistema-
    Sistema operacional: Windows 10
    CPU: x64
    Sistema de arquivos: NTFS
    Usuário: LAPTOP-TF3K2RCT\Mario Melo

    -Resumo da análise-
    Tipo de análise: Análise Customizada
    Resultado: Concluído
    Objetos verificados: 340150
    Ameaças detectadas: 0
    (Nenhum item malicioso detectado)
    Ameaças em quarentena: 0
    (Nenhum item malicioso detectado)
    Tempo decorrido: 3 hr, 46 min, 13 seg

    -Opções da análise-
    Memória: Habilitado
    Inicialização: Habilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Habilitado
    Rootkits: Habilitado
    Heurística: Habilitado
    PUP: Habilitado
    PUM: Habilitado

    -Detalhes da análise-
    Processo: 0
    (Nenhum item malicioso detectado)

    Módulo: 0
    (Nenhum item malicioso detectado)

    Chave de registro: 0
    (Nenhum item malicioso detectado)

    Valor de registro: 0
    (Nenhum item malicioso detectado)

    Dados de registro: 0
    (Nenhum item malicioso detectado)

    Fluxo de dados: 0
    (Nenhum item malicioso detectado)

    Pasta: 0
    (Nenhum item malicioso detectado)

    Arquivo: 0
    (Nenhum item malicioso detectado)

    Setor físico: 0
    (Nenhum item malicioso detectado)


    (end)

     

    -----------------------

     

    # AdwCleaner v6.047 - Relatório criado 12/06/2017 às 16:53:14
    # Atualizado em 19/05/2017 por Malwarebytes
    # Banco de dados : 2017-05-19.1 [Local]
    # Sistema operacional : Windows 10 Home Single Language  (X64)
    # Usuário : Mario Melo - LAPTOP-TF3K2RCT
    # Executando de : C:\Users\Mario Melo\Desktop\adwcleaner_6.047.exe
    # Modo: Limpo
    # Apoio : https://www.malwarebytes.com/support

    ***** [ Serviços ] *****

    ***** [ Pastas ] *****

    ***** [ Arquivos ] *****

    ***** [ DLL ] *****

    ***** [ WMI ] *****

    ***** [ Atalhos ] *****

    [-] Atalho desinfectado:C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk


    ***** [ Atividades agendadas ] *****

    ***** [ Registro ] *****

    ***** [ Verificando navegadores ... ] *****

    *************************

    :: Chaves "Tracing" excluídas
    :: Configurações Winsock restauradas

    *************************

    C:\AdwCleaner\AdwCleaner[C0].txt - [967 Bytes] - [12/06/2017 16:53:14]
    C:\AdwCleaner\AdwCleaner[S0].txt - [1526 Bytes] - [12/06/2017 16:51:53]

    ########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [1112 Bytes] ##########

     

     

    -----------------------------------------

     

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.1.3 (04.10.2017)
    Operating System: Windows 10 Home Single Language x64
    Ran by Mario Melo (Administrator) on 12/06/2017 at 17:02:13,80
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    File System: 0


    Registry: 0

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 12/06/2017 at 17:03:59,73
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

     

     

    Você poderia me explicar o que foi excluído aí?

     

    Obrigada!!

     

     

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Ninaah

     

    A principio somente a remoção de adwares.

     

    Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
    roguekiller << link

    • Feche todos os programasExecute RogueKiller.exe.
      ** Usuários do Windows Vista, Windows 7 e Windows 8:
      Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em execadmin.png.
    • Quando a janela da Eula aparecer, clique em Accept.
    • Selecione a aba SCAN
    • Clique em START SCAN
    • Aguarde ate que o scan termine...
    • Clique no botão OPEN REPORT
    • Clique na opção EXPORT TXT e salve na Área de Trabalho com o nome de roguekiller.txt
    • Clique em OK e feche o RogueKiller.



    Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • olá,

     

    segue o log. Você poderia me explicar o que ele achou, por favor? (Estou usando o Edge, não instalei nem o Chrome e nem o Firefox, e não uso o IE)

     

    Obrigada!

     

    RogueKiller V12.11.2.0 (x64) [Jun 12 2017] (Free) por Adlice Software
    mail : http://www.adlice.com/contact/
    Feedback : https://forum.adlice.com
    Site : http://www.adlice.com/download/roguekiller/
    Blog : http://www.adlice.com

    Sistema Operacional : Windows 10 (10.0.15063) 64 bits version
    Iniciou : Modo normal
    Usuário : Mario Melo [Administrador]
    Started from : C:\Users\Mario Melo\Desktop\RogueKiller_portable64.exe
    Modo : Escanear -- Data : 06/14/2017 16:05:18 (Duration : 00:40:31)

    ¤¤¤ Processos : 0 ¤¤¤

    ¤¤¤ Registro : 7 ¤¤¤
    [PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://samsung17win10.msn.com/?pc=SMTE -> Encontrado
    [PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://samsung17win10.msn.com/?pc=SMTE -> Encontrado
    [PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Encontrado
    [PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Encontrado
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 201.6.2.172 201.6.2.87 ([X][X])  -> Encontrado
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bf17b472-fecb-4a8c-965d-b6254f184eef} | DhcpNameServer : 201.6.2.172 201.6.2.87 ([X][X])  -> Encontrado
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{db8f6a9e-b035-457c-8ce3-c76268793c7c} | DhcpNameServer : 201.6.2.172 201.6.2.87 ([X][X])  -> Encontrado

    ¤¤¤ Tarefas : 1 ¤¤¤
    [Suspicious.Path] \SecTimeSync\TimeSyncInit -- C:\Windows\SecTimeSync.exe (/TASK) -> Encontrado

    ¤¤¤ Arquivos : 0 ¤¤¤

    ¤¤¤ WMI : 0 ¤¤¤

    ¤¤¤ Arquivos de hosts : 0 ¤¤¤

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Navegadores : 0 ¤¤¤

    ¤¤¤ Verificação da MBR : ¤¤¤
    +++++ PhysicalDrive0: LITEONIT LMT-128M6M +++++
    --- User ---
    [MBR] b0070d0e1afa286653e600d4237e4b9c
    [BSP] 980fe462507a6040b4abe904a693c5ba : Empty MBR Code
    Partition table:
    0 - [MAN-MOUNT] EFI system partition | Offset (sectors): 2048 | Size: 100 MB
    1 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 206848 | Size: 128 MB
    2 - Basic data partition | Offset (sectors): 468992 | Size: 940567 MB
    3 - [SYSTEM][MAN-MOUNT] ????? | Offset (sectors): 1926750209 | Size: 500 MB
    4 - [SYSTEM][MAN-MOUNT] ??????a | Offset (sectors): 1927774210 | Size: 11549 MB
    5 - [SYSTEM][MAN-MOUNT] ????? | Offset (sectors): 1951426563 | Size: 1024 MB
    User = LL1 ... OK
    User = LL2 ... OK

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Ninaah

     

    A principio foi removido somente adwares.

     

    Feche todos os programas

    • Execute RogueKiller.exe.
      ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
      Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em execadmin.png
    • Quando a Eula aparecer, clique em Accept.
    • Selecione a aba SCAN e clique em START SCAN
    • Aguarde ate que o scan termine.
    • >>>>>>> Navegue entre as abas e marque todas as entradas encontradas <<<<<<<
    • Clique em REMOVE SELECTED
    • Aguarde ate que o programa termine de deletar as infecções.
    • Clique no botão OPEN REPORT e depois em EXPORT TXT
    • Salve como report.txt na sua Área de Trabalho



    Abra o arquivo report.txt salvo no sua Área de Trabalho, copie e cole todo o conteudo na sua próxima resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa noite,

     

    Segue o Log.

     

    Obrigada!

     

    RogueKiller V12.11.2.0 (x64) [Jun 12 2017] (Free) por Adlice Software
    mail : http://www.adlice.com/contact/
    Feedback : https://forum.adlice.com
    Site : http://www.adlice.com/download/roguekiller/
    Blog : http://www.adlice.com

    Sistema Operacional : Windows 10 (10.0.15063) 64 bits version
    Iniciou : Modo normal
    Usuário : Mario Melo [Administrador]
    Started from : C:\Users\Mario Melo\Desktop\RogueKiller_portable64.exe
    Modo : Deletar -- Data : 06/15/2017 19:56:40 (Duration : 00:28:05)

    ¤¤¤ Processos : 0 ¤¤¤

    ¤¤¤ Registro : 7 ¤¤¤
    [PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://samsung17win10.msn.com/?pc=SMTE -> Substituído (http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome)
    [PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://samsung17win10.msn.com/?pc=SMTE -> Substituído (http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome)
    [PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Substituído (http://search.msn.com/spbasic.htm)
    [PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-1930525603-3764952133-1256364654-1001\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Substituído (http://search.msn.com/spbasic.htm)
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 201.6.2.172 201.6.2.87 ([X][X])  -> Substituído ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bf17b472-fecb-4a8c-965d-b6254f184eef} | DhcpNameServer : 201.6.2.172 201.6.2.87 ([X][X])  -> Substituído ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{db8f6a9e-b035-457c-8ce3-c76268793c7c} | DhcpNameServer : 201.6.2.172 201.6.2.87 ([X][X])  -> Substituído ()

    ¤¤¤ Tarefas : 1 ¤¤¤
    [Suspicious.Path] \SecTimeSync\TimeSyncInit -- C:\Windows\SecTimeSync.exe (/TASK) -> Deletado

    ¤¤¤ Arquivos : 0 ¤¤¤

    ¤¤¤ WMI : 0 ¤¤¤

    ¤¤¤ Arquivos de hosts : 0 ¤¤¤

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Navegadores : 0 ¤¤¤

    ¤¤¤ Verificação da MBR : ¤¤¤
    +++++ PhysicalDrive0: LITEONIT LMT-128M6M +++++
    --- User ---
    [MBR] b0070d0e1afa286653e600d4237e4b9c
    [BSP] 980fe462507a6040b4abe904a693c5ba : Empty MBR Code
    Partition table:
    0 - [MAN-MOUNT] EFI system partition | Offset (sectors): 2048 | Size: 100 MB
    1 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 206848 | Size: 128 MB
    2 - Basic data partition | Offset (sectors): 468992 | Size: 940567 MB
    3 - [SYSTEM][MAN-MOUNT] ????? | Offset (sectors): 1926750209 | Size: 500 MB
    4 - [SYSTEM][MAN-MOUNT] ??????a | Offset (sectors): 1927774210 | Size: 11549 MB
    5 - [SYSTEM][MAN-MOUNT] ????? | Offset (sectors): 1951426563 | Size: 1024 MB
    User = LL1 ... OK
    User = LL2 ... OK

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Ninaah

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

    Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está no CODE abaixo:

    createsrpoint;
    shortcutfix;
    ffdefaults;
    chrdefaults;
    resetwmi;
    resetieproxy;
    network.proxy;
    ffemptyclsid;
    autoclean;
    ipconfig /flushdns >>"%temp%\log.txt";b

    Salve este arquivo na na sua área de trabalho com o nome zascript

    Novamente, execute o ZA-Scan.exe e aguarde.
    Copie e cole o conteúdo desse arquivo em sua próxima resposta.
     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá,

     

    não consigo mais executar o log do ZA-Scan, não consegui desativar o Kaspersky e ele saiu fazendo bagunça, dizendo que era trojan e que precisava desinfectar e apagou um monte de coisa, inclusive na pasta temp.

    Reiniciei em modo de segurança, mas mesmo assim, o ZA-Scan diz que não consegue encontrar a pasta C:\scan-results.log ou algo assim, e pede para recriar a pasta mas abre um bloco de notas em branco. Tentei baixar o log que postei aqui, mas quando reinicio ele não aparece na C:\, meu Kaspersky está protegido por senha e eu lembro da senha mas já tentei todas as combinações possíveis, mas não consigo desativar o kaspersky. 

     

    Não consigo fazer essa configuração pelo prompt de comando?

    Ou você acha que se eu reinstalar o windows e restaurar o sistema é melhor? 

    O computador é novo, e os backups das fotos eu tenho no celular já, só tinha arquivos do IR, mas quando declarei eu imprimi tudo, então não tem nada de tãooo importante que eu não possa deletar. 

     

     

    Aguardo resposta. 

     

    Obrigada!

     

     

    Editado por Ninaah
    Dúvidas

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Pra desinstalar o Kaspersky sem senha só formatando mesmo. 

     

    Se eu fizer essa restauração, ele limpará tudo? As chaves de registro, e todas essas mudanças que foram feitas pelo trojan? 

     

    Porque pelo que parece, o trojan mesmo não está mais no sistema certo? 

     

    Acho que se eu fizer isso, consigo limpar tudo, inclusive o Kaspersky. 

     

    Você acha que vale a pena? 

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Ninaah

     

    Citação

    Se eu fizer essa restauração, ele limpará tudo? As chaves de registro, e todas essas mudanças que foram feitas pelo trojan? 

     

    Se for uma formatação total sim.

     

    2 horas atrás, Ninaah disse:

    Porque pelo que parece, o trojan mesmo não está mais no sistema certo? 

     

    A principio sim. Estávamos indo para os passos finais.

     

    2 horas atrás, Ninaah disse:

    Você acha que vale a pena? 

     

    Essa é uma escolha sua. O que tu precisa verificar antes é se fez backup e se tem a chave de ativação do windows para ativá-lo depois da formatação.

     

    Me informe de sua decisão.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Eu consegi desinstalar e reinstalar o Kaspersky. 

     

    Posso baixar o arquivo e executar o que você pediu? 

    Editado por Ninaah
    Erros de português

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Segue o log.

     


    ZA-Scan V1.0.0.5 Updated 30-09-2015
    Tool run by Mario Melo on 02/07/2017 at 18:34:42,90.
    Microsoft Windows 10 Home Single Language 10.0.15063  x64
    Running in: Normal Mode No Internet Access Detected
    Launched: C:\Users\Mario Melo\Desktop\ZA-Scan.exe
    Script used: C:\Users\Mario Melo\Desktop\zascript.txt

    ==== System Restore Info ======================

    02/07/2017 18:36:08 Zoek.exe System Restore Point Created Successfully.

    ==== Empty Folders Check ======================

    C:\PROGRA~3\CacheWrite deleted successfully
    C:\PROGRA~3\Comms deleted successfully
    C:\PROGRA~3\s240 deleted successfully
    C:\PROGRA~3\s5b0 deleted successfully
    C:\PROGRA~3\sb2o deleted successfully
    C:\PROGRA~3\sbh8 deleted successfully
    C:\PROGRA~3\sbj8 deleted successfully
    C:\PROGRA~3\SoftwareDistribution deleted successfully
    C:\Users\Mario Melo\AppData\Local\DBG deleted successfully
    C:\Users\Mario Melo\AppData\Local\VirtualStore deleted successfully

    ==== Deleting CLSID Registry Keys ======================


    ==== Deleting CLSID Registry Values ======================


    ==== Deleting Services ======================


    ==== FireFox Fix ======================

    Deleted from C:\Users\MARIOM~1\AppData\Roaming\Mozilla\Firefox\Profiles\9bpjjogy.default\prefs.js:
    user_pref("browser.startup.homepage", "google.com");

    Added to C:\Users\MARIOM~1\AppData\Roaming\Mozilla\Firefox\Profiles\9bpjjogy.default\prefs.js:
    user_pref("browser.startup.homepage", "about:home");
    user_pref("browser.newtab.url", "about:newtab");

    Deleted from C:\Users\MARIOM~1\AppData\Roaming\Thunderbird\Profiles\5sa68w2p.default\prefs.js:

    Added to C:\Users\MARIOM~1\AppData\Roaming\Thunderbird\Profiles\5sa68w2p.default\prefs.js:
    user_pref("browser.startup.homepage", "about:home");
    user_pref("browser.newtab.url", "about:newtab");

    ==== Batch Command(s) Run By Tool======================


    Configura‡Æo de IP do Windows

    Libera‡Æo do Cache do DNS Resolver bem-sucedida.

    ==== Deleting Files \ Folders ======================

    C:\PROGRA~3\Package Cache deleted
    C:\windows\SysNative\GroupPolicy\Machine deleted
    C:\windows\SysNative\GroupPolicy\User deleted
    C:\PROGRA~3\MakeMarkerFile.exe deleted

    ==== Firefox Start and Search pages ======================

    ProfilePath: C:\Users\MARIOM~1\AppData\Roaming\Mozilla\Firefox\Profiles\9bpjjogy.default
    user_pref("browser.startup.homepage", "about:home");
    user_pref("browser.newtab.url", "about:newtab");

    ProfilePath: C:\Users\MARIOM~1\AppData\Roaming\Thunderbird\Profiles\5sa68w2p.default
    user_pref("browser.startup.homepage", "about:home");
    user_pref("browser.newtab.url", "about:newtab");

    ==== Firefox Proxy Settings ======================

    ProfilePath: C:\Users\MARIOM~1\AppData\Roaming\Mozilla\Firefox\Profiles\9bpjjogy.default
    user_pref("network.proxy.type", 4);

    ==== Firefox Extensions Registry ======================

    [HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
    "light_plugin_F6F079488B53499DB99380A7E11A93F6@kaspersky.com"="C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi" [28/04/2017 23:49]
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla\Firefox\Extensions]
    "light_plugin_F6F079488B53499DB99380A7E11A93F6@kaspersky.com"="C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi" [28/04/2017 23:49]

    ==== Firefox Extensions ======================

    ProfilePath: C:\Users\MARIOM~1\AppData\Roaming\Mozilla\Firefox\Profiles\9bpjjogy.default
    - Undetermined - %ProfilePath%\extensions\kpm_win_add_on@kaspersky.xpi

    ProfilePath: C:\Users\MARIOM~1\AppData\Roaming\Thunderbird\Profiles\5sa68w2p.default
    - TT DeepDark - C:\Users\Mario Melo\AppData\Roaming\Thunderbird\Profiles\5sa68w2p.default\extensions\{9ed238c0-af95-11e0-9f1c-0800200c9a66}
    - TT DeepDark - %ProfilePath%\extensions\{9ed238c0-af95-11e0-9f1c-0800200c9a66}
    - Lightning - %ProfilePath%\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}

    AppDir: C:\Program Files (x86)\Mozilla Firefox
    - Undetermined - %AppDir%\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}.xpi

    ==== Firefox Plugins ======================


    ==== Chromium Look ======================

    HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
    fhoibnponjcgjgcnfacekaijdbbplhib - https://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib[]

    ==== Set IE to Default ======================

    Old Values:
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

    New Values:
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="http://www.google.com"

    ==== All HKCU SearchScopes ======================

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
    {012E1000-F331-11DB-8314-0800200C9A66} Google  Url="http://www.google.com/search?q={searchTerms}"
    {0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing  Url="https://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02"

    ==== Reset Google Chrome ======================

    Nothing found to reset

    ==== shortcuts on Users Desktops ======================

    C:\Users\Mario Melo\Desktop\Spotify.lnk - C:\Users\Mario Melo\AppData\Roaming\Spotify\Spotify.exe

    ==== shortcuts on All Users Desktop ======================

    C:\Users\Public\Desktop\CCleaner.lnk - C:\Program Files\CCleaner\CCleaner64.exe
    C:\Users\Public\Desktop\IRPF2017 - Declaração de Ajuste Anual, Final de Espólio e Saída Definitiva do País.lnk -  
    C:\Users\Public\Desktop\Kaspersky Password Manager.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 8.0.6\kpm.exe
    C:\Users\Public\Desktop\Kaspersky Secure Connection.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe -navigate ksde://mainwindow
    C:\Users\Public\Desktop\Kaspersky Total Security.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\avpui.exe
    C:\Users\Public\Desktop\Mozilla Firefox.lnk - C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Users\Public\Desktop\Mozilla Thunderbird.lnk - C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
    C:\Users\Public\Desktop\Safe Money.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\avpui.exe -safebanking
    C:\Users\Public\Desktop\Skype.lnk - C:\WINDOWS\Installer\{3B7E914A-93D5-4A29-92BB-AF8C3F66C431}\SkypeIcon.exe

    ==== shortcuts in Users Start Menu ======================

    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk - C:\Users\Mario Melo\AppData\Local\Microsoft\OneDrive\OneDrive.exe
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spotify.lnk - C:\Users\Mario Melo\AppData\Roaming\Spotify\Spotify.exe
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk - C:\Program Files\Internet Explorer\iexplore.exe
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programas RFB2017\IRPF - Declaração de Ajuste Anual, Final de Espólio e Saída Definitiva do País\Desinstalar IRPF2017.lnk -  
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Monitorar alertas de tinta - HP Deskjet 2540 series (Copiar 1).lnk - C:\windows\system32\RunDll32.exe "C:\Program Files\HP\HP Deskjet 2540 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=BR51TFB3QQ05XK;CONNECTION=USB;MONITOR=1;
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell (x86).lnk - C:\WINDOWS\syswow64\WindowsPowerShell\v1.0\powershell.exe
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell.lnk - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    ==== shortcuts in All Users Start Menu ======================

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\MSACCESS.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk - C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Thunderbird.lnk - C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTE.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\MSPUB.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk - C:\Program Files (x86)\Windows Media Player\wmplayer.exe /prefetch:1
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner.lnk - C:\Program Files\CCleaner\CCleaner64.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ferramentas do Microsoft Office 2016\Centro de Carregamento do Office 2016.lnk - C:\Program Files (x86)\Microsoft Office\root\client\AppVLP.exe "C:\Program Files (x86)\Microsoft Office\Root\Office16\MSOUC.EXE"
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ferramentas do Microsoft Office 2016\Preferências de Idioma do Office 2016.lnk -  
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager\Desinstalar Kaspersky Password Manager.lnk - C:\Windows\syswow64\msiexec.exe /i{D4C3D682-E15A-4A48-A7B7-3F021A525F8F} REMOVE=ALL
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager\Kaspersky Password Manager Ajuda.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 8.0.6\help.url
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager\Kaspersky Password Manager.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 8.0.6\kpm.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager\Visitar My Kaspersky.lnk -  
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Secure Connection\Contrato de Licença do Usuário Final.lnk -  
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Secure Connection\Kaspersky Secure Connection.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe -navigate ksde://mainwindow
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Secure Connection\My Kaspersky.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\kl.url
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Secure Connection\Remover o Kaspersky Secure Connection.lnk - C:\Windows\syswow64\msiexec.exe /i{1CF84962-50F8-48CA-9082-B70F3A02C686} REMOVE=ALL
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security\Contrato de Licença do Usuário Final.lnk -  
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security\Kaspersky Total Security.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\avpui.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security\Remover o Kaspersky Total Security.lnk - C:\Windows\syswow64\msiexec.exe /i{E27B1D7B-3B34-43A2-9FC0-9828D5DF46E2} REMOVE=ALL
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security\Visitar a Kaspersky Lab na Web.lnk - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\kl.url
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Samsung Update.lnk - C:\Program Files (x86)\Samsung\SW Update\sManager.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype\Skype.lnk - C:\Program Files (x86)\Skype\Phone\Skype.exe

    ==== shortcuts in Quick Launch ======================

    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk -  
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk -  
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\File Explorer (2).lnk -  
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\File Explorer.lnk -  
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk - C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Samsung Settings.lnk - C:\Program Files (x86)\Samsung\Settings\Settings.exe
    C:\Users\Mario Melo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Spotify.lnk - C:\Users\Mario Melo\AppData\Roaming\Spotify\Spotify.exe

    ==== Reset IE Proxy ======================

    Value(s) before fix:
    "ProxyEnable"=dword:00000000

    Value(s) after fix:
    "ProxyEnable"=dword:00000000

    ==== Empty IE Cache ======================

    C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
    C:\Users\Mario Melo\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
    C:\Users\Mario Melo\AppData\Local\Microsoft\Windows\INetCache\Low\Content.IE5 emptied successfully
    C:\WINDOWS\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
    C:\WINDOWS\sysWoW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
    C:\WINDOWS\sysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
    C:\Users\Mario Melo\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully
    C:\Users\Mario Melo\AppData\Local\Microsoft\Windows\INetCache\Low\IE emptied successfully
    C:\WINDOWS\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully
    C:\WINDOWS\sysWoW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully

    ==== Empty FireFox Cache ======================

    C:\Users\Mario Melo\AppData\Local\Mozilla\Firefox\Profiles\9bpjjogy.default\cache2 emptied successfully

    ==== Empty Chrome Cache ======================

    No Chrome User Data found

    ==== Empty All Flash Cache ======================

    No Flash Cache Found

    ==== Empty All Java Cache ======================

    No Java Cache Found

    ==== Reset WMI ======================

    Os seguintes servi‡os sÆo dependentes do servi‡o de Testador de instrumenta‡Æo de gerenciam. do Windows.
    Finalizar o servi‡o Testador de instrumenta‡Æo de gerenciam. do Windows tamb‚m finalizar  estes servi‡os.

       Central de Seguran‡a
       Auxiliar de IP

    O servi‡o de Central de Seguran‡a est  sendo finalizado .
    O servi‡o de Central de Seguran‡a foi finalizado com ˆxito.

    O servi‡o de Auxiliar de IP est  sendo finalizado .
    O servi‡o de Auxiliar de IP foi finalizado com ˆxito.

    O servi‡o de Testador de instrumenta‡Æo de gerenciam. do Windows est  sendo finalizado .
    O servi‡o de Testador de instrumenta‡Æo de gerenciam. do Windows foi finalizado com ˆxito.

    C:\WINDOWS\system32\wbem\repository renamed to repository.old
    C:\WINDOWS\syswow64\wbem\repository renamed to repository.old

    ==== Empty Temp Folders ======================

    C:\WINDOWS\Temp will be emptied at reboot

    ==== After Reboot ======================

    ==== Empty Temp Folders ======================

    C:\WINDOWS\Temp successfully emptied
    C:\Users\MARIOM~1\AppData\Local\Temp successfully emptied

    ==== Empty Recycle Bin ======================

    C:\$RECYCLE.BIN successfully emptied

    ==== EOF on 02/07/2017 at 18:59:15,71 ======================

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Ninaah

     

    Pressione as teclas Windows tecla-windows.gif + R e digite: msconfig
     
    - Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo
    - Clique na guia Inicialização de Programas e clique em Abrir Gerenciador de Tarefas
    - Clique com o botão direito em cada entrada da inicialização e clique em Desabilitar/Desativar.

    Volte para a tela de Configurações do Sistema e clique em Aplicar e depois em OK.
     
    Siga as mensagens ate que seja solicitado a reiniciar.

    Após isso me informe se os problemas iniciais ainda persistem.

    • Curtir 1

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá,

    aparentemente está está tudo bem.

    Realizei as configurações que você pediu, só precisei reverter os da Kaspersky, Elan ETD (mouse) porque não estavam funcionando algumas funções, e Samsung settings, pois uso ele para bloquear e desbloquear microfone e webcam.

    Porém, depois do script do ZA-Scan, o windows fica enviando 50 mil notificações dizendo que um aplicativo causou problema para ser aberto, nos mais diversos formatos, pdf, png e etc, e ele foi redefinido como padrão, toda vez que eu ligo o notebook essas mensagens aparecem, sempre com um tipo de arquivo diferente, e a barra de tarefas e ícones do desktop piscam às vezes, junto com essas notificações, porque o sistema está redefinindo os aplicativos padrões.

     

    Houve alguma alteração na questão de aplicativos da loja no windows? Não consigo mais abrir aplicativos como netflix. Fecham sozinhos.

    -----

    Você poderia me tirar uma dúvida sobre um arquivo .bat?

    {A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

     

    Data de criação, foi o dia que eu restaurei o sistema. Pediu permissão ao Kasperksy para acessar aquelas primeiras chaves de resgistro no HKM/.../InternetSettings há alguns dias, eu bloqueei a permissão dele, mas inicia junto com o sistema, parece não ter causado nenhum conflito, pesquisei sobre, diziam ser algo da intel Graphics, mas, não tem lógica ele querer acesso à essas chaves de registro, se for isso mesmo. Além disso, pediu acesso a muitas chaves, Dll, aplicativos de sistema,  está na pasta System32, kaspery classificou como legitimo, (porém está com assinatura digital AUSENTE, e não tem autor), e KSN classifica que 2 milhões de pessoas possuem esse arquivo.

    (EDIT: Olhando aqui, mais um pouco, ele queria acesso também pare ler, executar e modificar as chaves de registro até do próprio kasperky, isso tem alguma lógica?)

     

    ---

    Kaspersky sinalizou atividade suspeita de conhost.exe, fiquei com uma pulga atrás da orelha, acessei o prompt de comando e digitei sfc/ scannow pra ver como estavam os arquivos do sistema, e ele parou em 17% dizendo que encontrou arquivos corrompidos que não podiam ser consertados e gerou um arquivo de log. Se você quiser eu anexo aqui depois. Como só sei o básico, achei melhor não mexer em nada, pra não ter mais problemas. :huh:

     

    Devo me preocupar?

     

    Desde já, muito obrigada!

     

     

    Editado por Ninaah
    Novas informações

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Em 03/07/2017 às 19:14, Ninaah disse:

    Você poderia me tirar uma dúvida sobre um arquivo .bat?

    {A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

     

    Analise esse arquivo no virustotal.com e depois poste o link aqui.

     

    Em 03/07/2017 às 19:14, Ninaah disse:

    Kaspersky sinalizou atividade suspeita de conhost.exe, fiquei com uma pulga atrás da orelha, acessei o prompt de comando e digitei sfc/ scannow pra ver como estavam os arquivos do sistema, e ele parou em 17% dizendo que encontrou arquivos corrompidos que não podiam ser consertados e gerou um arquivo de log. Se você quiser eu anexo aqui depois. Como só sei o básico, achei melhor não mexer em nada, pra não ter mais problemas. :huh:

     

    Devo me preocupar?

     

    Você possui o DVD do Windows 10 Home Single Language x64? Se sim, pode tentar executar o sfc /scannow com ele no drive de CD/DVD.

    Editado por Elias Pereira

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Ninaah

     

    A principio está tudo ok.

     

    Em relação a malwares, não temos mais problemas.

    Ultimas instruções.Baixe o Delfix by Xplode e salve na sua área de trabalho.

    Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

    *** Usuários do Windows Vista, 7, 8/8.1 e Windows 10clique com o direito sobre o arquivo delfix.exe, depois clique emVRIfczU.png

    ipb9zl.png

    Clique no botão Executar.

    Ao final será gerado um log, mas não é necessário postar.

    Faça o download do TFC by Oldtimer<-link:

    ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo TFC.exe, depois clique em VRIfczU.png.

    Clique em Start e aguarde ate que o programa realize a limpeza.

    MANTENHA O SO ATUALIZADO:
    Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

    Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

    Att.
    Elias Pereira

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×