Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Tarciel

Pen-driver, clipboard, mensagem inicial no sistema e processo suspeito

Recommended Posts

Tarciel    0

Primeiro foi o Pen-driver que começou a aparecer um atalho, quando entrava os arquivos estavam normais, a única diferença era que tinha que entrar nesse atalho pra ver eles e no PC de outras pessoas ao inserir o pen-driver não aparecia nada, nem atalho. Depois foi uma mensagem na inicialização do Windows, que aparece até hoje e preciso apertar F1 toda vez que ele inicia para prosseguir. Em seguida, apareceu o ícone do powershell na início do Windows na barra de tarefas, eu tentava restaurar, mas não aparecia a janela, só dava pra eu ver pela pré-visualização, tinha uma linha de comando e era tão pequeno que nem consegui ver o que estava escrito, minha única alternativa foi fechar. Dias depois um .exe apareceu no taskmgr, rundll3.exe, não rundll32, e sim 3, não sei o porquê, mas fechei. No mesmo dia, abri o navegador e entrei em site de bitcoins, era necessário logar com meu endereço de carteira, mas sempre que eu copiava, o endereço mudava pra um desconhecido - provavelmente do hacker - e eu não conseguia logar com a que era minha, só copiando e colando rápido. Procurei sobre o assunto e vi que era um malware de clipboard, especificamente para sites de bitcoins. Esses são meus problemas que acho que estão interligados. Peço ajuda. :)

 

Pen-driver.png

rundll3.png

Início.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

@TaruNori

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

worm.png Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.

Faça o download do Panda USB Vaccine e salve na sua área de trabalho.

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário,EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Ainda com as mídias plugadas nas USB, vamos à próxima etapa:

Desative temporariamente seu Antivirus e Firewall

  • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop. 
  • Execute o esetsmartinstaller_enu.exe.
    ** Usuários do Windows Vista, Windows 7 e Windows 8/8.1:
    Clique com o direito sobre o esetsmartinstaller_enu.exe, depois clique em VRIfczU.png .
  • Marque "YES, I accept the Terms of Use."
  • Aguarde o programa realizar o download dos componentes. 
  • Marque:
    • Enable detection of potentially unwanted applications.
  • Clique em Advanced settings e marque o seguinte:
    • Remove found threats
    • Scan archives
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Na opção "Current scan targets: Operating memory, Local drives" clique em Change...
  • Marque:
    • Todos os drives e mídias removíveis, caso estejam plugadas (C:, D:, E:, etc)
  • Clique em OK
  • Agora clique em START
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Copy to clipboard e cole o conteúdo em sua próxima resposta. Obs: Se nada for encontrado, nenhum log será gerado.
  • Clique em Back.
  • Clique em Finish.
  • Será oferecido uma instalação do Eset Smart Security versão paga.Clique no [x] do canto direito da janela.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Tarciel    0
  • Autor do tópico
  • Postado (editado)

    C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BWG2HGEU\13[1].bin    a variant of Win32/Injector.DNNY trojan    cleaned by deleting
    C:\Users\Tarciel\AppData\Local\Temp\7zS6F9B\setup\coupons\CouponPrinter.exe    a variant of Win32/Adware.Coupons.AA application    cleaned by deleting
    C:\Users\Tarciel\AppData\Roaming\eeNjHdB93x.exe    a variant of Win32/GenKryptik.AKNC trojan    cleaned by deleting
    C:\Windows\AutoKMS.exe    MSIL/HackKMS.A potentially unsafe application    cleaned by deleting
     

    Processo suspeito.png

    Startup.png

    O caminho desse atalho aí foi removido pelo que parece também.

    Há um registro suspeito também, não sei se posso excluído porque está com nome de regsvr32, pode dar problema na instalação das .dll ou .exe. Caminho: HKEY_CURRENT_User> Software> Microsoft> Windows> CurrentVersion> Run

    Regedit.png

    Editado por TaruNori

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @TaruNori

     

    Siga os passos abaixo:

    ETAPA 1

    Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
    https://downloads.malwarebytes.org/file/mbam_current/
     
    Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

    • Na aba Análise marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
    • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
    • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
    • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
    • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
    • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
    • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho;
    • Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.



    NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

    ETAPA 2

    Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
    https://toolslib.net/downloads/viewdownload/1-adwcleaner/
    http://www.bleepingcomputer.com/download/adwcleaner/

    Clique em DOWNLOAD NOW para baixar o arquivo.

    Execute o adwcleaner.exe

    OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

    Clique em EXAMINAR. Após o termino clique em LIMPAR e aguarde.

    Será aberto o bloco de notas com o resultado.

    Selecione, copie e cole o seu conteúdo na próxima resposta.

    ETAPA 3

    Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

    Baixe jrt.exe do link abaixo e salve no desktop.
    http://www.bleepingcomputer.com/download/junkware-removal-tool/

    Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

    OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo jrt.exe, depois clique em VRIfczU.png

    A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

    Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

    Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Turco    634

    Tópico Arquivado

     

    Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Turco    634

    Tópico reaberto conforme o pedido do autor.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Tarciel    0
  • Autor do tópico
  • Malwarebytes
    www.malwarebytes.com

    -Detalhes de registro-
    Data da análise: 21/07/17
    Hora da análise: 14:05
    Arquivo de registro: Verificação somente com Rootkits.txt
    Administrador: Sim

    -Informação do software-
    Versão: 3.1.2.1733
    Versão de componentes: 1.0.160
    Versão do pacote de definições: 1.0.2411
    Licença: Versão de avaliação

    -Informação do sistema-
    Sistema operacional: Windows 7 Service Pack 1
    CPU: x64
    Sistema de arquivos: NTFS
    Usuário: Tarciel-PC\Tarciel

    -Resumo da análise-
    Tipo de análise: Análise Customizada
    Resultado: Concluído
    Objetos verificados: 215674
    Ameaças detectadas: 45
    Ameaças em quarentena: 0
    (Nenhum item malicioso detectado)
    Tempo decorrido: 5 hr, 2 min, 16 seg

    -Opções da análise-
    Memória: Desabilitado
    Inicialização: Desabilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Desabilitado
    Rootkits: Habilitado
    Heurística: Habilitado
    PUP: Habilitado
    PUM: Habilitado

    -Detalhes da análise-
    Processo: 1
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411

    Módulo: 1
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411

    Chave de registro: 1
    PUP.Optional.AdvancedSystemCare, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AdvancedSystemCareService10, Nenhuma ação do usuário, [1251], [396386],1.0.2411

    Valor de registro: 0
    (Nenhum item malicioso detectado)

    Dados de registro: 0
    (Nenhum item malicioso detectado)

    Fluxo de dados: 0
    (Nenhum item malicioso detectado)

    Pasta: 0
    (Nenhum item malicioso detectado)

    Arquivo: 42
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ABOUT.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASC.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCDOWNLOAD.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCINIT.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCTRAY.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCUPGRADE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\AUTOUPDATE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\AUTOCARE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\AUTOSWEEP.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\BROWSERCLEANER.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\BROWSERPROTECT.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DISPLAY.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DISKSCAN.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DNSPROTECT.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\FACEIDSETTING.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\FIMON.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\FEEDBACK.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\MONITORDISK.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\MONITOR.EXE, Nenhuma ação do usuário, [1251], [398206],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\NFEATURES.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\OFCOMMON.DLL, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DISKDEFRAG.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\RESCUECENTER.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\REGISTER.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\REPROCESS.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\REPORT.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\SCANNER.DLL, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\TASKHELPER.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DATABASE\AUTOUPDATE.DAT, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN7_AMD64\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN7_X86\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WLH_AMD64\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WLH_X86\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WNET_AMD64\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WNET_X86\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WXP_AMD64\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WXP_X86\REGISTRYDEFRAGBOOTTIME.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\SURFING PROTECTION\FFNATIVEMESSAGE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\SURFING PROTECTION\SPUPDATE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\USERS\PUBLIC\DESKTOP\ADVANCED SYSTEMCARE 10.LNK, Nenhuma ação do usuário, [1251], [380338],1.0.2411
    PUP.Optional.AdvancedSystemCare, C:\WINDOWS\SYSTEM32\TASKS\ASC10_SKIPUAC_TARCIEL, Nenhuma ação do usuário, [1251], [380341],1.0.2411

    Setor físico: 0
    (Nenhum item malicioso detectado)


    (end)

    Malwarebytes
    www.malwarebytes.com

    -Detalhes de registro-
    Data da análise: 21/07/17
    Hora da análise: 19:26
    Arquivo de registro: Verificação somente.txt
    Administrador: Sim

    -Informação do software-
    Versão: 3.1.2.1733
    Versão de componentes: 1.0.160
    Versão do pacote de definições: 1.0.2412
    Licença: Versão de avaliação

    -Informação do sistema-
    Sistema operacional: Windows 7 Service Pack 1
    CPU: x64
    Sistema de arquivos: NTFS
    Usuário: Tarciel-PC\Tarciel

    -Resumo da análise-
    Tipo de análise: Análise de Ameaças
    Resultado: Concluído
    Objetos verificados: 351828
    Ameaças detectadas: 9
    Ameaças em quarentena: 0
    (Nenhum item malicioso detectado)
    Tempo decorrido: 5 min, 20 seg

    -Opções da análise-
    Memória: Habilitado
    Inicialização: Habilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Habilitado
    Rootkits: Desabilitado
    Heurística: Habilitado
    PUP: Habilitado
    PUM: Habilitado

    -Detalhes da análise-
    Processo: 1
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2412

    Módulo: 1
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2412

    Chave de registro: 3
    PUP.Optional.AdvancedSystemCare, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AdvancedSystemCareService10, Nenhuma ação do usuário, [1251], [396386],1.0.2412
    PUP.Optional.AdvanceSystemCare, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\ASC_RASAPI32, Nenhuma ação do usuário, [749], [333222],1.0.2412
    PUP.Optional.AdvanceSystemCare, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\ASC_RASMANCS, Nenhuma ação do usuário, [749], [333222],1.0.2412

    Valor de registro: 0
    (Nenhum item malicioso detectado)

    Dados de registro: 0
    (Nenhum item malicioso detectado)

    Fluxo de dados: 0
    (Nenhum item malicioso detectado)

    Pasta: 0
    (Nenhum item malicioso detectado)

    Arquivo: 4
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE, Nenhuma ação do usuário, [1251], [396386],1.0.2412
    PUP.Optional.AdvancedSystemCare, C:\USERS\PUBLIC\DESKTOP\ADVANCED SYSTEMCARE 10.LNK, Nenhuma ação do usuário, [1251], [380338],1.0.2412
    PUP.Optional.AdvancedSystemCare, C:\WINDOWS\SYSTEM32\TASKS\ASC10_SkipUac_Tarciel, Nenhuma ação do usuário, [1251], [380341],1.0.2412
    PUP.Optional.AdvancedSystemCare, C:\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\MONITOR.EXE, Nenhuma ação do usuário, [1251], [398206],1.0.2412

    Setor físico: 0
    (Nenhum item malicioso detectado)


    (end)

    # AdwCleaner 7.0.0.0 - Logfile created on Fri Jul 21 22:40:33 2017
    # Updated on 2017/17/07 by Malwarebytes 
    # Running on Windows 7 Ultimate (X64)
    # Mode: clean
    # Support: https://www.malwarebytes.com/support

    ***** [ Services ] *****

    Deleted: AdvancedSystemCareService10


    ***** [ Folders ] *****

    Deleted: C:\ProgramData\IObit\Advanced SystemCare
    Deleted: C:\ProgramData\Application Data\IObit\Advanced SystemCare
    Deleted: C:\Windows\System32\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare
    Deleted: C:\Windows\System32\config\systemprofile\AppData\LocalLow\IObit\Advanced SystemCare
    Deleted: C:\Program Files (x86)\IObit\Advanced SystemCare
    Deleted: C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
    Deleted: C:\Users\All Users\IObit\Advanced SystemCare
    Deleted: C:\Users\Tarciel\AppData\LocalLow\IObit\Advanced SystemCare
    Deleted: C:\Users\Tarciel\AppData\Roaming\IObit\Advanced SystemCare
    Deleted: C:\Users\Todos os Usuários\IObit\Advanced SystemCare
    Deleted: C:\Users\Tarciel\AppData\LocalLow\HPAppData
    Deleted: C:\ProgramData\IObit\ASCDownloader
    Deleted: C:\ProgramData\Application Data\IObit\ASCDownloader
    Deleted: C:\Users\All Users\IObit\ASCDownloader
    Deleted: C:\Users\Todos os Usuários\IObit\ASCDownloader
    Deleted: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare


    ***** [ Files ] *****

    Deleted: C:\Users\All Users\Desktop\Advanced SystemCare 10.lnk
    Deleted: C:\Users\Public\Desktop\Advanced SystemCare 10.lnk
    Deleted: C:\Users\Todos os Usuários\Desktop\Advanced SystemCare 10.lnk


    ***** [ DLL ] *****

    No malicious DLLs cleaned.

    ***** [ WMI ] *****

    No malicious WMI cleaned.

    ***** [ Shortcuts ] *****

    No malicious shortcuts cleaned.

    ***** [ Tasks ] *****

    Deleted: Driver Booster Scheduler
    Deleted: ASC10_SkipUac_Tarciel


    ***** [ Registry ] *****

    Deleted: [Key] - HKLM\SOFTWARE\IOBIT\ASC
    Deleted: [Key] - HKLM\SOFTWARE\CLASSES\DIRECTORY\SHELLEX\CONTEXTMENUHANDLERS\Advanced SystemCare
    Deleted: [Key] - HKLM\SOFTWARE\CLASSES\DRIVE\SHELLEX\CONTEXTMENUHANDLERS\Advanced SystemCare
    Deleted: [Key] - HKLM\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUHANDLERS\Advanced SystemCare
    Deleted: [Value] - HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{019A0008-0F40-4B13-8C07-F653A07DE092}
    Deleted: [Value] - HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{867632DF-E5C9-4647-B7BA-2273549A8C46}
    Deleted: [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Advanced SystemCare_is1
    Deleted: [Key] - HKU\S-1-5-21-2595879711-3011353716-3512991129-1000\Software\win
    Deleted: [Key] - HKCU\Software\win


    ***** [ Firefox (and derivatives) ] *****

    No malicious Firefox entries deleted.

    ***** [ Chromium (and derivatives) ] *****

    SearchProvider deleted: Ask Brasil - br.ask.com


    *************************

    ::Tracing keys deleted
    ::Winsock settings cleared
    ::Additional Actions: 0

    *************************

    C:/AdwCleaner/AdwCleaner[C0].txt - [1704 B] - [2017/4/17 19:42:57]
    C:/AdwCleaner/AdwCleaner[S0].txt - [1753 B] - [2017/4/17 19:41:23]
    C:/AdwCleaner/AdwCleaner[S1].txt - [3852 B] - [2017/7/21 22:39:27]


    ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt ##########

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.1.4 (07.09.2017)
    Operating System: Windows 7 Ultimate x64 
    Ran by Tarciel (Administrator) on 21/07/2017 at 19:54:54,62
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    File System: 20 

    Successfully deleted: C:\ProgramData\productdata (Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Roaming\Mozilla\Firefox\Profiles\gvcagost.default-1492367922460\user.js (File) 
    Successfully deleted: C:\Windows\system32\Tasks\Driver Booster SkipUAC (Tarciel) (Task)
    Successfully deleted: C:\Windows\system32\Tasks\Uninstaller_SkipUac_Tarciel (Task)
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\69PHE0WO (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6KH443MT (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ARW03M94 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MT4OIEQN (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O2Y5XXYJ (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OIST5E6F (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TN7LHBM7 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Users\Tarciel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZQU0LBS9 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\69PHE0WO (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6KH443MT (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ARW03M94 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MT4OIEQN (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O2Y5XXYJ (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OIST5E6F (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TN7LHBM7 (Temporary Internet Files Folder) 
    Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZQU0LBS9 (Temporary Internet Files Folder) 

    Deleted the following from C:\Users\Tarciel\AppData\Roaming\Mozilla\Firefox\Profiles\gvcagost.default-1492367922460\prefs.js
    user_pref(browser.urlbar.suggest.searches, true);

    Registry: 0 

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 21/07/2017 at 20:07:41,62
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Aparentemente não vejo mais nenhum problema com vírus no pen-driver e processos suspeitos, agradeço pela ajuda voluntária de vocês do Clube do Hardware, só falta uma coisa, que não sei o que exatamente é. Essa mensagem na inicialização do PC:

    Boot.png

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Tarciel    0
  • Autor do tópico
  • Erro meu, eu iniciei o sistema várias vezes e não aparece essa mensagem. Agradeço por toda ajuda! :)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Tarciel

     

    Baixe Security Check by Screen317 de um dos links abaixo, e salve-o em seu Desktop.
    http://screen317.spywareinfoforum.org/SecurityCheck.exe
    http://www.bleepingcomputer.com/download/securitycheck/

    1. Clique duas vezes sobre o arquivo SecurityCheck.exe
      ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
      Clique com o direito sobre o arquivo SecurityCheck.exe, depois clique em VRIfczU.png
    2. Siga as instruções na tela do prompt que irá aparecer
    3. Ao final um documento de texto deve abrir no Bloco de Notas chamado checkup.txt
    4. Por gentileza, poste o conteúdo desse arquivo de texto na sua próxima resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Tarciel    0
  • Autor do tópico
  •  Results of screen317's Security Check version 1.014 --- 12/23/15  
     Windows 7 Service Pack 1 x64 (UAC is enabled)  
     Internet Explorer 11  
    ``````````````Antivirus/Firewall Check:`````````````` 
     [size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size] 
    `````````Anti-malware/Other Utilities Check:````````` 
     Java version 32-bit out of Date! 
     Adobe Flash Player 26.0.0.137  
     Google Chrome (59.0.3071.115) 
     Google Chrome (SetupMetrics...) 
    ````````Process Check: objlist.exe by Laurent````````  
    `````````````````System Health check````````````````` 
     Total Fragmentation on Drive C: = 
    ````````````````````End of Log`````````````````````` 
     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Tarciel

     

    Em relação a malwares, não temos mais problemas.

     

    Caso você não utilize mais o Java 32b, pode desinstalar. Caso utilize, atualize-o.

    Ultimas instruções.

    Baixe o Delfix by Xplode e salve na sua área de trabalho.

    Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

    *** Usuários do Windows Vista, 7, 8/8.1 e Windows 10clique com o direito sobre o arquivo delfix.exe, depois clique emVRIfczU.png

    ipb9zl.png

    Clique no botão Executar.

    Ao final será gerado um log, mas não é necessário postar.

    Faça o download do TFC by Oldtimer<-link:

    ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo TFC.exe, depois clique em VRIfczU.png.

    Clique em Start e aguarde ate que o programa realize a limpeza.

    MANTENHA O SO ATUALIZADO:
    Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

    Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

    Att.
    Elias Pereira

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×