Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Henrique gnomo

Mensagem de SppExtComObjHook.dll infectado com Win64:PUP-gen

Recommended Posts

Olá, estou recebendo esta mensagem do meu anti-vírus (avast) sempre que eu inicio o computador, geralmente muitas vezes seguidas (3 ou 4), o computador funciona normalmente, porém já não aguento mais esta mensagem aparecendo toda hora, não me atrevo a desinstalar o anti-virus ou a marcar para ignorar a infecção pois acredito que o avast é o que está segurando a infecção.

 

Geralmente nesse tipo de situação eu formato o meu PC, porém neste caso, eu acredito que a infecção veio do meu HD externo, pois seu início coincidiu com uma semana que pluguei o HD em computador de terceiros, portanto se formatar, receio que a infecção possa voltar através dele.

 

Obs: não postei o log do ZA-scan pois o link do tópico de instruções não está funcionando e não achei em nenhum outro site para baixar.

 

Agradeço toda ajuda que puder receber.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Henrique gnomo

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento de torrent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.



Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.

Faça o download do Panda USB Vaccine e salve na sua área de trabalho.

Desative temporariamente seu Antivirus e Firewall

  • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop. 
  • Execute o esetsmartinstaller_enu.exe.
    ** Usuários do Windows Vista, Windows 7 e Windows 8/8.1:
    Clique com o direito sobre o esetsmartinstaller_enu.exe, depois clique em VRIfczU.png .
  • Marque "YES, I accept the Terms of Use."
  • Aguarde o programa realizar o download dos componentes. 
  • Marque:
    • Enable detection of potentially unwanted applications.
  • Clique em Advanced settings e marque o seguinte:
    • Remove found threats
    • Scan archives
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Na opção "Current scan targets: Operating memory, Local drives" clique em Change...
  • Marque:
    • Todos os drives e mídias removíveis, caso estejam plugadas (C:, D:, E:, etc)
  • Clique em OK
  • Agora clique em START
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Copy to clipboard e cole o conteúdo em sua próxima resposta. Obs: Se nada for encontrado, nenhum log será gerado.
  • Clique em Back.
  • Clique em Finish.
  • Será oferecido uma instalação do Eset Smart Security versão paga.Clique no [x] do canto direito da janela.

<

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • HD formatado, devo deixá-lo plugado?

     

    Log do ESET:

     

    C:\$Recycle.Bin\S-1-5-21-3294928594-2076227966-1940406552-1001\$R6ZVG8G.exe    a variant of MSIL/HackKMS.G potentially unsafe application    cleaned by deleting
    C:\$Recycle.Bin\S-1-5-21-3294928594-2076227966-1940406552-1001\$RE361J6.rar    a variant of MSIL/HackKMS.G potentially unsafe application    deleted
    C:\$Recycle.Bin\S-1-5-21-3294928594-2076227966-1940406552-1001\$RVD9FW9.rar    a variant of MSIL/HackKMS.G potentially unsafe application    deleted
    C:\$Recycle.Bin\S-1-5-21-3294928594-2076227966-1940406552-1001\$RVQP6R2.exe    a variant of MSIL/HackKMS.G potentially unsafe application    cleaned by deleting
    C:\$Recycle.Bin\S-1-5-21-3294928594-2076227966-1940406552-1001\$RYHMYV5.exe    a variant of MSIL/HackKMS.G potentially unsafe application    cleaned by deleting
    C:\Program Files (x86)\KMSPico\jaykms.bat    Win32/TrojanDownloader.Adload.NPA trojan    cleaned by deleting

     

    --------------------------------------

     

    É para rodar o panda vaccine? Entendi que você orientou apenas para baixá-lo e deixar no desktop

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Em 18/10/2017 às 21:13, Henrique gnomo disse:

    É para rodar o panda vaccine? Entendi que você orientou apenas para baixá-lo e deixar no desktop

    Sim, pode executá-lo. Deixe o HD e outras midias removiveis conectadas durante a execução do panda.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • OK, feito. Parece que meu computador já estava vacinado, acho que me lembro de ter rodado ele a um tempo atras e tinha me esquecido, deve ter ficado salvo. Agora também executei nas mídias removíveis, que já estavam plugadas quando rodei o ESET.

     

    A propósito, a mensagem de vírus já não aparece desde que rodei o ESET.

    Editado por Henrique gnomo

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Henrique gnomo

     

    Siga os passos abaixo:

    ETAPA 1

    Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
    https://downloads.malwarebytes.org/file/mbam_current/
     
    Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

    • Na aba Análise > Analise Personalizada marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
    • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
    • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
    • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
    • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
    • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
    • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho;
    • Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.



    NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

    ETAPA 2

    Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
    https://toolslib.net/downloads/viewdownload/1-adwcleaner/
    http://www.bleepingcomputer.com/download/adwcleaner/

    Clique em DOWNLOAD NOW para baixar o arquivo.

    Execute o adwcleaner.exe

    OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

    Clique em VERIFICAR. Após o termino clique em LIMPAR e aguarde.

    Será aberto o bloco de notas com o resultado.

    Selecione, copie e cole o seu conteúdo na próxima resposta.

    ETAPA 3

    Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

    Baixe jrt.exe do link abaixo e salve no desktop.
    http://www.bleepingcomputer.com/download/junkware-removal-tool/

    Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

    OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo jrt.exe, depois clique em VRIfczU.png

    A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

    Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

    Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Elias Pereira

     

    Malwarebytes:

     

    Malwarebytes
    www.malwarebytes.com

    -Detalhes de registro-
    Data da análise: 24/10/17
    Hora da análise: 11:50
    Arquivo de registro: mbam.txt
    Administrador: Sim

    -Informação do software-
    Versão: 3.0.5.1299
    Versão de componentes: 1.0.103
    Versão do pacote de definições: 1.0.3082
    Licença: Grátis

    -Informação do sistema-
    Sistema operacional: Windows 10
    CPU: x64
    Sistema de arquivos: NTFS
    Usuário: DESKTOP-9DSTNMN\Henrique

    -Resumo da análise-
    Tipo de análise: Análise Customizada
    Resultado: Concluído
    Objetos verificados: 311822
    Tempo decorrido: 1 hr, 42 min, 27 seg

    -Opções da análise-
    Memória: Habilitado
    Inicialização: Habilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Habilitado
    Rootkits: Habilitado
    Heurística: Habilitado
    PUP: Habilitado
    PUM: Habilitado

    -Detalhes da análise-
    Processo: 0
    (Nenhum item malicioso detectado)

    Módulo: 0
    (Nenhum item malicioso detectado)

    Chave de registro: 0
    (Nenhum item malicioso detectado)

    Valor de registro: 0
    (Nenhum item malicioso detectado)

    Fluxo de dados: 0
    (Nenhum item malicioso detectado)

    Pasta: 0
    (Nenhum item malicioso detectado)

    Arquivo: 1
    Unknown.Rootkit.Driver, C:\WINDOWS\System32\drivers\drmk.sys, Substituído, [0], [0],0.0.0

    Setor físico: 0
    (Nenhum item malicioso detectado)


    (end)

    ____________________________________________

     

    adwcleaner

     

    # AdwCleaner 7.0.3.1 - Logfile created on Tue Oct 24 20:50:36 2017
    # Updated on 2017/29/09 by Malwarebytes
    # Running on Windows 10 Pro (X64)
    # Mode: clean
    # Support: https://www.malwarebytes.com/support

    ***** [ Services ] *****

    No malicious services deleted.

    ***** [ Folders ] *****

    No malicious folders deleted.

    ***** [ Files ] *****

    No malicious files deleted.

    ***** [ DLL ] *****

    No malicious DLLs cleaned.

    ***** [ WMI ] *****

    No malicious WMI cleaned.

    ***** [ Shortcuts ] *****

    No malicious shortcuts cleaned.

    ***** [ Tasks ] *****

    No malicious tasks deleted.

    ***** [ Registry ] *****

    Deleted: [Key] - HKU\S-1-5-21-3294928594-2076227966-1940406552-1001\Software\csastats
    Deleted: [Key] - HKCU\Software\csastats
    Deleted: [Key] - HKU\S-1-5-21-3294928594-2076227966-1940406552-1001\Software\PRODUCTSETUP
    Deleted: [Key] - HKCU\Software\PRODUCTSETUP


    ***** [ Firefox (and derivatives) ] *****

    No malicious Firefox entries deleted.

    ***** [ Chromium (and derivatives) ] *****

    No malicious Chromium entries deleted.

    *************************

    ::Tracing keys deleted
    ::Winsock settings cleared
    ::Additional Actions: 0

    *************************

    C:/AdwCleaner/AdwCleaner[S0].txt - [1246 B] - [2017/10/24 20:32:17]


    ########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########

    ____________________________________________________________

     

    JRT:

     

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.1.4 (07.09.2017)
    Operating System: Windows 10 Pro x64
    Ran by Henrique (Administrator) on 24/10/2017 at 18:57:45,43
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    File System: 0


    Registry: 0

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 24/10/2017 at 19:05:47,39
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    ______________________________________________________________________

     

    eita! parece que o malwarebytes deletou o meu driver de som, agora não consigo fazê-lo funcionar de jeito nenhum

    Editado por Henrique gnomo

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    2 horas atrás, Henrique gnomo disse:

    Unknown.Rootkit.Driver, C:\WINDOWS\System32\drivers\drmk.sys, Substituído, [0], [0],0.0.0

     

    Pois é. A principio ele detectou como possível rootkit. Vamos verificar isso.

     

    Acesse o virustotal e apos isso localize o driver que deve estar na quarentena do malwarebytes. Poste o link do scan.

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

    Baixe o Farbar Recovery Scan do link abaixo de acordo com sua arquitetura e salve na sua área de trabalho.
    https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está no CODE abaixo:

    CreateRestorePoint:
    CloseProcesses:
    Powershell: Get-ChildItem -Path c:\ -Filter drmk.sys -Recurse -ErrorAction SilentlyContinue -Force
    CMD: ipconfig /flushdns
    RemoveProxy:
    EmptyTemp:
    CreateRestorePoint:

    Salve este arquivo na na sua área de trabalho com o nome fixlist

    OBS: É de extrema importância que o arquivo "fixlist" seja salvo na sua Área de Trabalho/Desktop. Verifique também se o FRST.exe encontra-se na Área de Trabalho/Desktop.

    ** Usuários do Windows Vista, Windows 7, 8/8.1 e windows 10:
    Clique com o direito sobre o arquivo FRST.EXE, depois clique em VRIfczU.png.

    Clique no botão Fix.

    Aguarde e ao final, o log Fixlog.txt será salvo no seu desktop.

    Anexe o log na sua próxima resposta

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Elias Pereira, antes de continuarmos, aconteceu o seguinte. Eu sei que não deveria mexer em nada por conta própria antes de concluir os procedimentos aqui, mas bateu uma agonia do meu som não estar funcionando (95% do tempo que estou no computador utilizo o som), então eu tentei reinstalar os drivers, não deu certo, tentei recuperar o arquivo da quarentena do malwarebytes, não deu certo tb, rodei de novo o malware e dessa vez ele não detectou nada.

     

    Aí eu vi a sua resposta e fiz os procedimentos.

     

    Link do virustotal do arquivo no seu local de origem (restaurado): https://www.virustotal.com/#/file/9794bcbab2780e4b2a2b8fd52ff823f453c99f4b258a1e7d6b38a44be2c58c52/detection

     

    log do FRST64:

     

    Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 23-10-2017 01
    Executado por Henrique (25-10-2017 09:13:28) Run:1
    Executando a partir de C:\Users\Henrique\Desktop
    Perfis Carregados: Henrique (Perfis Disponíveis: Henrique)
    Modo da Inicialização: Normal
    ==============================================

    fixlist Conteúdo:
    *****************
    CreateRestorePoint:
    CloseProcesses:
    Powershell: Get-ChildItem -Path c:\ -Filter drmk.sys -Recurse -ErrorAction SilentlyContinue -Force
    CMD: ipconfig /flushdns
    RemoveProxy:
    EmptyTemp:
    CreateRestorePoint:
    *****************

    Ponto de Restauração criado com sucesso.
    Processos fechados com sucesso.

    ========= Get-ChildItem -Path c:\ -Filter drmk.sys -Recurse -ErrorAction SilentlyContinue -Force =========

        Diretório: C:\Windows\System32\drivers


    Mode                LastWriteTime         Length Name                                                                  
    ----                -------------         ------ ----                                                                  
    -a----       24/10/2017     21:52          97280 drmk.sys                                                              


        Diretório: C:\Windows\System32\DriverStore\FileRepository\wdmaudio.inf_amd64_d971d3ff1aaf7bdb


    Mode                LastWriteTime         Length Name                                                                  
    ----                -------------         ------ ----                                                                  
    -a----       18/03/2017     17:56          97280 drmk.sys                                                              


        Diretório: C:\Windows\WinSxS\amd64_wdmaudio.inf_31bf3856ad364e35_10.0.15063.0_none_717b324c52f46229


    Mode                LastWriteTime         Length Name                                                                  
    ----                -------------         ------ ----                                                                  
    -a----       10/07/2017     21:54             12 drmk.sys                                                              


        Diretório: C:\Windows\WinSxS\amd64_wdmaudio.inf_31bf3856ad364e35_10.0.15063.447_none_f57fd9a980730e5c


    Mode                LastWriteTime         Length Name                                                                  
    ----                -------------         ------ ----                                                                  
    -a----       14/08/2017     09:58             12 drmk.sys                                                              


        Diretório: C:\Windows\WinSxS\amd64_wdmaudio.inf_31bf3856ad364e35_10.0.15063.502_none_f5a619cd80571d0c


    Mode                LastWriteTime         Length Name                                                                  
    ----                -------------         ------ ----                                                                  
    -a----       18/03/2017     17:56          97280 drmk.sys                                                              

    ========= Fim de Powershell: =========


    ========= ipconfig /flushdns =========


    Configura‡Æo de IP do Windows

    Libera‡Æo do Cache do DNS Resolver bem-sucedida.

    ========= Fim de CMD: =========


    ========= RemoveProxy: =========

    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor removido (a) com sucesso.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor removido (a) com sucesso.
    HKU\S-1-5-21-3294928594-2076227966-1940406552-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor removido (a) com sucesso.
    HKU\S-1-5-21-3294928594-2076227966-1940406552-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor removido (a) com sucesso.


    ========= Fim de RemoveProxy: =========

    Ponto de Restauração criado com sucesso.

    =========== EmptyTemp: ==========

    BITS transfer queue => 7888896 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 43344684 B
    Java, Flash, Steam htmlcache => 85745047 B
    Windows/system/drivers => 3237066 B
    Edge => 15152 B
    Chrome => 815846881 B
    Firefox => 395077762 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 6656 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 128 B
    systemprofile32 => 0 B
    LocalService => 74732 B
    NetworkService => 9184 B
    Henrique => 1418033695 B

    RecycleBin => 996514855 B
    EmptyTemp: => 3.5 GB de dados temporários Removidos.

    ================================


    O sistema precisou ser reiniciado.

    ==== Fim de Fixlog 09:19:19 ====

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Henrique gnomo

     

    A principio erá um falso positivo do mbam.

     

    Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
    roguekiller.exe (x64) << link

    • Feche todos os programas
    • Execute o RogueKiller.exe.
      ** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:
      Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png.
    • Quando a janela da Eula aparecer, clique em Accept.
    • Selecione a aba SCAN
    • Clique em START SCAN
    • Aguarde ate que o scan termine...
    • Clique no botão OPEN REPORT
    • Clique na opção EXPORT TXT e salve na Área de Trabalho com o nome de roguekiller.txt
    • Clique em OK e feche o RogueKiller.



    Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

     

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • @Elias Pereira

     

    RogueKiller V12.11.21.0 (x64) [Oct 23 2017] (Free) por Adlice Software
    mail : http://www.adlice.com/contact/
    Feedback : https://forum.adlice.com
    Site : http://www.adlice.com/download/roguekiller/
    Blog : http://www.adlice.com

    Sistema Operacional : Windows 10 (10.0.15063) 64 bits version
    Iniciou : Modo normal
    Usuário : Henrique [Administrador]
    Started from : C:\Users\Henrique\Desktop\RogueKiller_portable64.exe
    Modo : Escanear -- Data : 10/25/2017 15:16:43 (Duration : 00:50:54)

    ¤¤¤ Processos : 0 ¤¤¤

    ¤¤¤ Registro : 2 ¤¤¤
    [PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{8CC66223-C92D-47AC-B02B-7BB324338B0F}C:\users\henrique\appdata\local\vghd\bin\vghd.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\henrique\appdata\local\vghd\bin\vghd.exe|Name=vghd.exe|Desc=vghd.exe|Defer=User| [x] -> Encontrado
    [PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{348CFDC8-35F1-44DC-922F-BD3B0E3ADC06}C:\users\henrique\appdata\local\vghd\bin\vghd.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\henrique\appdata\local\vghd\bin\vghd.exe|Name=vghd.exe|Desc=vghd.exe|Defer=User| [x] -> Encontrado

    ¤¤¤ Tarefas : 2 ¤¤¤
    [Suspicious.Path] %WINDIR%\Tasks\{0F56E7F7-381C-F92E-8820-018C00C5DCA3}.job -- C:\Users\Henrique\AppData\Roaming\RELENA~1\updtask.exe (/Check) -> Encontrado
    [Suspicious.Path] \{0F56E7F7-381C-F92E-8820-018C00C5DCA3} -- C:\Users\Henrique\AppData\Roaming\RELENA~1\updtask.exe (/Check) -> Encontrado

    ¤¤¤ Arquivos : 1 ¤¤¤
    [PUP.HackTool][Pasta] C:\Program Files (x86)\KMSPico -> Encontrado

    ¤¤¤ WMI : 0 ¤¤¤

    ¤¤¤ Arquivos de hosts : 0 ¤¤¤

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Navegadores : 0 ¤¤¤

    ¤¤¤ Verificação da MBR : ¤¤¤
    +++++ PhysicalDrive0: Hitachi HDS721010KLA330 +++++
    --- User ---
    [MBR] f0e0fa73326a39c0a60a0b11879282ed
    [BSP] ac965964c7b79e5deb97cf2c3c4a43e5 : Windows Vista/7/8|VT.Unknown MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 952905 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    2 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 1951758336 | Size: 860 MB
    User = LL1 ... OK
    User = LL2 ... OK

    +++++ PhysicalDrive1: WD Elements 25A2 USB Device +++++
    --- User ---
    [MBR] b749ca3279980e04af4acfc8f6e210f5
    [BSP] 7fd284fb52c67c795cf1eb3c56d573d7 : Empty MBR Code
    Partition table:
    0 - Elements | Offset (sectors): 2048 | Size: 953835 MB
    User = LL1 ... OK
    Error reading LL2 MBR! ([32] Não há suporte para o pedido. )

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Henrique gnomo

     

    Feche todos os programas

    • Execute RogueKiller.exe.
      ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
      Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png
    • Quando a Eula aparecer, clique em Accept.
    • Selecione a aba SCAN e clique em START SCAN
    • Aguarde ate que o scan termine.
    • >>>>>>> Navegue entre as abas e marque todas as entradas encontradas <<<<<<<
    • Clique em REMOVE SELECTED
    • Aguarde ate que o programa termine de deletar as infecções.
    • Clique no botão OPEN REPORT e depois em EXPORT TXT
    • Salve como report.txt na sua Área de Trabalho

    Abra o arquivo report.txt salvo no sua Área de Trabalho, copie e cole todo o conteudo na sua próxima resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • RogueKiller V12.11.21.0 (x64) [Oct 23 2017] (Free) por Adlice Software
    mail : http://www.adlice.com/contact/
    Feedback : https://forum.adlice.com
    Site : http://www.adlice.com/download/roguekiller/
    Blog : http://www.adlice.com

    Sistema Operacional : Windows 10 (10.0.15063) 64 bits version
    Iniciou : Modo normal
    Usuário : Henrique [Administrador]
    Started from : C:\Users\Henrique\Desktop\RogueKiller_portable64.exe
    Modo : Deletar -- Data : 10/26/2017 10:12:21 (Duration : 00:48:56)

    ¤¤¤ Processos : 0 ¤¤¤

    ¤¤¤ Registro : 2 ¤¤¤
    [PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{8CC66223-C92D-47AC-B02B-7BB324338B0F}C:\users\henrique\appdata\local\vghd\bin\vghd.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\henrique\appdata\local\vghd\bin\vghd.exe|Name=vghd.exe|Desc=vghd.exe|Defer=User| [x] -> Deletado
    [PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{348CFDC8-35F1-44DC-922F-BD3B0E3ADC06}C:\users\henrique\appdata\local\vghd\bin\vghd.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\henrique\appdata\local\vghd\bin\vghd.exe|Name=vghd.exe|Desc=vghd.exe|Defer=User| [x] -> Deletado

    ¤¤¤ Tarefas : 2 ¤¤¤
    [Suspicious.Path] %WINDIR%\Tasks\{0F56E7F7-381C-F92E-8820-018C00C5DCA3}.job -- C:\Users\Henrique\AppData\Roaming\RELENA~1\updtask.exe (/Check) -> Deletado
    [Suspicious.Path] \{0F56E7F7-381C-F92E-8820-018C00C5DCA3} -- C:\Users\Henrique\AppData\Roaming\RELENA~1\updtask.exe (/Check) -> Deletado

    ¤¤¤ Arquivos : 1 ¤¤¤
    [PUP.HackTool][Pasta] C:\Program Files (x86)\KMSPico -> Deletado
    [PUP.HackTool][Pasta] C:\Program Files (x86)\KMSPico\best erning installers\1 -> Deletado
    [PUP.HackTool][Pasta] C:\Program Files (x86)\KMSPico\best erning installers\2 -> Deletado
    [PUP.HackTool][Pasta] C:\Program Files (x86)\KMSPico\best erning installers -> Deletado

    ¤¤¤ WMI : 0 ¤¤¤

    ¤¤¤ Arquivos de hosts : 0 ¤¤¤

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Navegadores : 0 ¤¤¤

    ¤¤¤ Verificação da MBR : ¤¤¤
    +++++ PhysicalDrive0: Hitachi HDS721010KLA330 +++++
    --- User ---
    [MBR] f0e0fa73326a39c0a60a0b11879282ed
    [BSP] ac965964c7b79e5deb97cf2c3c4a43e5 : Windows Vista/7/8|VT.Unknown MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 952905 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    2 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 1951758336 | Size: 860 MB
    User = LL1 ... OK
    User = LL2 ... OK

    +++++ PhysicalDrive1: WD Elements 25A2 USB Device +++++
    --- User ---
    [MBR] b749ca3279980e04af4acfc8f6e210f5
    [BSP] 7fd284fb52c67c795cf1eb3c56d573d7 : Empty MBR Code
    Partition table:
    0 - Elements | Offset (sectors): 2048 | Size: 953835 MB
    User = LL1 ... OK
    Error reading LL2 MBR! ([32] Não há suporte para o pedido. )

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Henrique gnomo

     

    Pressione as teclas Windows tecla-windows.gif + R e digite: msconfig
     
    - Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo
    - Clique na guia Inicialização de Programas e clique em Abrir Gerenciador de Tarefas
    - Clique com o botão direito em cada entrada da inicialização e clique em Desabilitar/Desativar.

    Volte para a tela de Configurações do Sistema e clique em Aplicar e depois em OK.
     
    Siga as mensagens ate que seja solicitado a reiniciar.

    Após isso me informe se os problemas em relação a malwares ainda persistem.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Não vejo mais nenhum problema de malware, e consegui solucionar o problema do som quando reinstalei o driver da placa de vídeo

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Henrique gnomo

     

    Baixe Security Check by glax24 de um dos links abaixo, e salve-o em seu Desktop.
    http://safezone.cc/resources/security-check-by-glax24.25/download?version=631
    Clique duas vezes sobre o arquivo SecurityCheck.exe

    1. ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
      Clique com o direito sobre o arquivo SecurityCheck.exe, depois clique em VRIfczU.png
    2. Aguarde enquanto a ferramenta faz o exame;
    3. Ao final salve log como SecurityCheck.html;
    4. Abra o arquivo com o bloco de notas;
    5. Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
    WebSite: www.safezone.cc
    DateLog: 29.10.2017 15:44:18
    Path starting: C:\Users\Henrique\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Henrique
    VersionXML: 4.73s-27.10.2017
    ___________________________________________________________________________

    Windows 10(6.3.15063) (x64) Professional Release: 1703 Lang: Portuguese(0416)
    Installation date OS: 13.08.2017 12:13:03
    LicenseStatus: Windows(R), Professional edition Volume activation will expire : 37173 minutes
    LicenseStatus: Office 15, OfficeProPlusVL_KMS_Client edition Windows is in Notification mode
    Boot Mode: Normal
    Default Browser: C:\Program Files\Mozilla Firefox\firefox.exe
    SystemDrive: C: FS: [NTFS] Capacity: [930.6 Gb] Used: [165.4 Gb] Free: [765.2 Gb]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.674.15063.0
    User Account Control enabled (Level 3)
    Windows Update (wuauserv) - The service has stopped
    Central de Segurança (wscsvc) - The service is running
    Registro remoto (RemoteRegistry) - The service has stopped
    Descoberta SSDP (SSDPSRV) - The service is running
    Serviços de Área de Trabalho Remota (TermService) - The service has stopped
    Windows Remote Management (WS-Management) (WinRM) - The service has stopped
    ------------------------------ [ MS Office ] ------------------------------
    Microsoft Office 2013 x64 v.15.0.4420.1017
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    Avast Antivirus (disabled and out of date)
    Windows Defender (disabled and up to date)
    --------------------------- [ FirewallWindows ] ---------------------------
    Firewall do Windows (MpsSvc) - The service is running
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (disabled and up to date)
    Avast Antivirus (disabled and out of date)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    Avast Free Antivirus v.17.7.2314
    ESET Online Scanner v3
    -------------------------- [ SecurityUtilities ] --------------------------
    Malwarebytes versão 3.0.5.1299 v.3.0.5.1299
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 5.40 (64-bit) v.5.40.0 Warning! Download Update
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 151 v.8.0.1510.12 Warning! Download Update
    Uninstall old version and install new one (jre-8u152-windows-i586.exe).
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 27 NPAPI v.27.0.0.183
    ------------------------------- [ Browser ] -------------------------------
    Mozilla Firefox 56.0.2 (x64 pt-BR) v.56.0.2
    Google Chrome v.61.0.3163.100 Warning! Download Update
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files\Mozilla Firefox\firefox.exe v.56.0.2.6506
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Avast Antivirus (avast! Antivirus) - The service is running
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.7.3660.0
    aswbIDSAgent (aswbIDSAgent) - The service has stopped
    C:\Program Files\AVAST Software\Avast\avastui.exe v.17.7.3660.244
    Malwarebytes Service (MBAMService) - The service has stopped
    Serviço Windows Defender Antivirus (WinDefend) - The service has stopped
    Serviço de Inspeção de Rede do Windows Defender Antivirus (WdNisSvc) - The service has stopped
    ---------------------------- [ UnwantedApps ] -----------------------------
    Driver Booster 5 v.5.0.3 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
    ----------------------------- [ End of Log ] ------------------------------

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Henrique gnomo

     

    Atente para os "warnings" do log acima. Caso necessite dos programas, atualize-os. Caso não, o melhor é desinstalá-los.

     

    Em relação a malwares, não temos mais problemas.

    Ultimas instruções.
     

    Baixe o Delfix by Xplode do link abaixo e salve na sua área de trabalho.
    http://www.bleepingcomputer.com/download/delfix/dl/281/

    Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

    *** Usuários do Windows Vista, 7, 8/8.1 e Windows 10clique com o direito sobre o arquivo delfix.exe, depois clique emVRIfczU.png

    ipb9zl.png

    Clique no botão Executar.

    Ao final será gerado um log, mas não é necessário postar.

    MANTENHA O SO ATUALIZADO:
    Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

    Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

    Att.
    Elias Pereira

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×