Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
naiaraz

Software duvidoso e travamentos depois de um tempo inativo

Recommended Posts

OBS: O caso relata o acesso a uma REDE SOCIAL (como linkedin e proz). NÃO é um notebook empresarial, é PESSOAL.

 

Oi!

 

Uso a rede social Yammer da Microsoft, que é como o Linkedin e o Proz. Ela conta com add-ons e plugins também e achei um interessante de notificações para windows, pra ser avisada quando recebe novas mensagens e essas coisas assim. Baixei sem prestar muita atenção e vi que não funcionou direito. Logo fui reparar melhor e vi que vários desses add-ons e plugins são feitos por terceiros. Logo percebi que talvez tenha feito ***** em instalar. Fui na ferramenta de desinstalação de programas do windows e desinstalei. Hoje, ao verificar que programas estavam iniciando com o sistema pelo gerenciador de tarefas e vi uma tarefa de impacto alto chamada Update.exe que nunca tinha visto antes. Abri o local do arquivo e me deparei com uma pasta em AppData/Local chamada yammerdesktop e com esse Update.exe, um log, um arquivo .dead e outra pasta com os arquivos do app em si. Na dúvida, resolvi pedir ajuda pra vocês, até porque (mesmo que antes disso) o computador está dando umas congeladas quando fica inativo por alguns minutos. Envio em anexo o log do ZA-Scan. OBS: Enquanto fazia o scan, apareceu o seguinte aviso: DaS21 parou de funcionar. Não sei o que é isso, mas resolvi avisar, porque foi durante o scan do ZA-Scan.

 

Informações do notebook:

 

Sistema Operacional

Windows 10 Home x64 versão 1709

Processador

Intel® Core™ i7 5500U 

Placa de Vídeo

NVIDIA® GeForce® 920M 

Memória

8 GB LPDDR3 1600 MHz

Armazenamento

1 TB (5400 RPM)

 

P.S. O travamento após inatividade parece ter se resolvido com a última atualização do windows, mas ainda suspeito de programas maliciosos.


Valeu pela ajuda!

 

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @naiaraz

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe Como Administrador

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Execute o jrt.exe Como Administrador

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Execute o arquivo ZHPCleaner.exe Como Administrador

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Olá!

    Valeu pela ajuda!

    Seguem abaixo os logs:

     

    # AdwCleaner 7.0.3.1 - Logfile created on Wed Oct 25 16:56:16 2017
    # Updated on 2017/29/09 by Malwarebytes 
    # Database: 10-17-2017.1
    # Running on Windows 10 Home Single Language (X64)
    # Mode: scan
    # Support: https://www.malwarebytes.com/support

    ***** [ Services ] *****

    No malicious services found.

    ***** [ Folders ] *****

    No malicious folders found.

    ***** [ Files ] *****

    No malicious files found.

    ***** [ DLL ] *****

    No malicious DLLs found.

    ***** [ WMI ] *****

    No malicious WMI found.

    ***** [ Shortcuts ] *****

    No malicious shortcuts found.

    ***** [ Tasks ] *****

    No malicious tasks found.

    ***** [ Registry ] *****

    No malicious registry entries found.

    ***** [ Firefox (and derivatives) ] *****

    No malicious Firefox entries.

    ***** [ Chromium (and derivatives) ] *****

    No malicious Chromium entries.

    *************************

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########

     

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Malwarebytes
    Version: 8.1.4 (07.09.2017)
    Operating System: Windows 10 Home Single Language x64 
    Ran by naiar (Administrator) on 25/10/2017 at 14:58:48,34
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    File System: 0 


    Registry: 1 

    Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{619EEEC1-8F86-4AC5-9951-8EDAC69B1DEF} (Registry Key)


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 25/10/2017 at 15:01:46,82
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
     

    ~ ZHPCleaner v2017.10.24.185 by Nicolas Coolman (2017/10/24)
    ~ Run by naiar (Administrator)  (25/10/2017 15:18:10)
    ~ Web: https://www.nicolascoolman.com
    ~ Blog: https://nicolascoolman.eu/
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version OK
    ~ Certificate ZHPCleaner: Legal
    ~ Type : Reparo
    ~ Report : C:\Users\naiar\Desktop\ZHPCleaner.txt
    ~ Quarantine : C:\Users\naiar\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    Windows 10 Home Single Language, 64-bit  (Build 16299)


    ---\\  Serviços (1)
    PAROU : Service KMSELDI  =>HackTool.KMSpico


    ---\\  Navegadores de Internet (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Arquivo hosts (1)
    ~ O arquivo hosts é legítimo (21)


    ---\\  Tarefas automáticas agendadas. (0)
    ~ Nenhum ítem malicioso o desnecessários foi encontrado.


    ---\\  Explorer ( Arquivos, Pastas) (20)
    MOVIDO pasta: C:\Program Files\KMSpico\Service_KMS.exe [@ByELDI - Service_KMS]  =>HackTool.KMSpico
    MOVIDO pasta**: C:\Users\naiar\Downloads\Ativador_Office_2016_e_Ativador_Windows_10_DEFINITIVO_KMSpico_10_2_PH_Downs_1617170836.exe [adsafiliados - Setup Soft.ware]  =>HackTool.KMSpico
    MOVIDO pasta**: C:\Users\naiar\Downloads\POPPER, Karl. A Lógica da Pesquisa Científica.pdf    =>PUP.Optional.Vonteera
    MOVIDO pasta**: C:\Users\naiar\Downloads\POPPER, Karl. A Miséria do Historicismo.pdf    =>PUP.Optional.Vonteera
    MOVIDO pasta**: C:\Users\naiar\Downloads\POPPER, Karl. Lógica das Ciências Sociais.pdf    =>PUP.Optional.Vonteera
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_a248.e.akamai.net_0.localstorage    =>.SUP.AkamaiHD
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_a248.e.akamai.net_0.localstorage-journal    =>.SUP.AkamaiHD
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d160accw6snlyf.cloudfront.net_0.localstorage    =>.SUP.CloudfrontNet
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d160accw6snlyf.cloudfront.net_0.localstorage-journal    =>.SUP.CloudfrontNet
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_game282694.konggames.com_0.localstorage    =>PUP.Optional.KongGames
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_game282694.konggames.com_0.localstorage-journal    =>PUP.Optional.KongGames
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_wix-instantsearchplus-ssl.akamaized.net_0.localstorage    =>.SUP.AkamaiHD
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_wix-instantsearchplus-ssl.akamaized.net_0.localstorage-journal    =>.SUP.AkamaiHD
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.infosalus.com_0.localstorage    =>PUP.Optional.Salus
    MOVIDO pasta**: C:\Users\naiar\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.infosalus.com_0.localstorage-journal    =>PUP.Optional.Salus
    MOVIDO pasta**: C:\Windows\SECOH-QAD.dll    =>HackTool.KMSpico
    MOVIDO pasta**: C:\Windows\SECOH-QAD.exe    =>HackTool.KMSpico
    MOVIDO arquivo*: C:\Program Files\KMSpico  =>HackTool.KMSpico
    MOVIDO arquivo*: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico
    MOVIDO arquivo*: C:\Users\naiar\Music\BearShare  =>.SUP.BearShare


    ---\\  Registro ( Chaves, Valores, Dados ) (3)
    SUPRIMIDO chave*: HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI [C:\Program Files\KMSpico\Service_KMS.exe (Not File)]  =>HackTool.KMSpico
    SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1 [KMSpico]  =>HackTool.KMSpico
    SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\09E7DB5DFD393BFC24F638CD98CC350E [C:\Program Files (x86)\Samsung\Settings\CmdServer\CommandSystemPowerEvent.dll]  =>PUP.Optional.Multiplug


    ---\\  Resumo dos elementos encontrados na sua estação de trabalho (8)
    https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico
    https://www.nicolascoolman.com/fr/trojan-vonteera/  =>PUP.Optional.Vonteera
    https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.AkamaiHD
    https://nicolascoolman.eu/2017/02/02/superfluous-cloudfrontnet/  =>.SUP.CloudfrontNet
    https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>PUP.Optional.KongGames
    https://nicolascoolman.eu/2017/09/07/pup-optional-salus/  =>PUP.Optional.Salus
    https://nicolascoolman.eu/2017/09/15/sup-bearshare/  =>.SUP.BearShare
    https://www.anti-malware.top/2016/04/28/pup-optional-multiplug/  =>PUP.Optional.Multiplug


    ---\\  Dodatkowe oczyszczenie. (12)
    ~ Chave de registro Tracing Supprimido (12)
    ~ Remover os relatórios antigos ZHPCleaner. (0)


    ---\\ Resultado de reparação
    Reparação efectuada com sucesso
    ~ Este navegador está faltando ! (Opera Software)


    ---\\ Estatísticas
    ~ Items scan : 887
    ~ Items encontrado : 0
    ~ items cancelados : 0
    ~ Items réparo : 24


    ~ End of clean in 00h00mn24s
    ~====================
    ZHPCleaner-[R]-25102017-15_18_34.txt
    ZHPCleaner--25102017-15_14_01.txt
     

     

    Em 23/10/2017 às 13:06, diego_moicano disse:

    oritos para facilitar na hora de encontrá-lo.

     

    Por favor, atente para o seguinte:

    • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
    O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro; Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las; Sempre coloque suas respostas neste tópico... Não abra outro!

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro @naiaraz

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


    32 bit (x86) ou 64 bit (x64)

    • Clique com o botão direito e escolha Executar como Administrador;
    • Marque a caixa Arquivos 90 dias,  e clique no botão Examinar;
    • Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop);
    • Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta;
    • Anexe o log Addition.txt.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Valeu @diego_moicano pela ajuda! Tentei de todos os jeitos colar o FRST.txt aqui e anexar o Addition.txt mas não envia de jeito nenhum. Mandei a mensagem de erro pra você em mensagem privada. Então, estou mandando os dois em anexo. Espero que não tenha problema.

    Addition.txt

    FRST.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz

     

    O erro foi devido ao tamanho do log. ;)

     

    Estarei resetando o navegador Chrome e removendo o Update.exe.

     

    >>> Ative o firewall do Windows.

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o arquivo (fixlist.txt) no anexo deste post e salve-o na Área de Trabalho (Desktop).

    Execute o FRST.exe (ou FRST64.exe) e clique no botão Corrigir.

    Aguarde... ao final será gerado o log Fixlog.txt  salvo em sua Área de Trabalho (Desktop).

    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    fixlist.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Segue o Fixlog.txt

     

    Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 02-11-2017
    Executado por naiar (06-11-2017 18:02:26) Run:1
    Executando a partir de C:\Users\naiar\Desktop
    Perfis Carregados: naiar (Perfis Disponíveis: naiar)
    Modo da Inicialização: Normal
    ==============================================

    fixlist Conteúdo:
    *****************
    CreateRestorePoint:
    CloseProcesses:
    CHR HomePage: Default -> file:///C:/Users/naiar/Desktop
    CHR StartupUrls: Default -> "hxxp://www.google.com.br/"
    CHR DefaultSearchURL: Default -> hxxps://nortonsafe.search.ask.com/web?q={searchTerms}&o=APN11908&prt=cr&chn=prev
    CHR DefaultSearchKeyword: Default -> NortonSafe
    CHR DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?q={searchTerms}&li=ff
    2017-07-21 03:49 - 2017-07-21 03:49 - 000000000 _____ () C:\ProgramData\DP45977C.lfl
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Nenhum Arquivo
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
    HKU\S-1-5-21-2773747482-3881336030-647879899-1001\...\Run: [Yammer] => C:\Users\naiar\AppData\Local\yammerdesktop\update.exe [1828352 2017-10-05] ()
    C:\Users\naiar\AppData\Local\yammerdesktop\update.exe
    Task: {61438062-6888-4A6C-92A2-F782F938F59D} - System32\Tasks\Install Warsaw CA on Firefox => C:\WINDOWS\TEMP\sch_install_ca.bat <==== ATENÇÃO
    Task: {C26747EE-049D-4449-8271-ED729D24A726} - System32\Tasks\Rerun Warsaw's CoreFixer => C:\WINDOWS\TEMP\is-8MNTF.tmp\corefixer.exe <==== ATENÇÃO
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2410]
    CMD: ipconfig /flushdns
    EmptyTemp:

    *****************

    Ponto de Restauração criado com sucesso.
    Processos fechados com sucesso.
    Chrome HomePage => removido (a) com sucesso.
    Chrome StartupUrls => removido (a) com sucesso.
    Chrome DefaultSearchURL => removido (a) com sucesso.
    Chrome DefaultSearchKeyword => removido (a) com sucesso.
    Chrome DefaultSuggestURL => removido (a) com sucesso.
    C:\ProgramData\DP45977C.lfl => movido com sucesso
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw => chave removido (a) com sucesso.
    HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => chave não encontrado (a). 
    HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui => chave removido (a) com sucesso.
    HKLM\Software\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => chave não encontrado (a). 
    HKU\S-1-5-21-2773747482-3881336030-647879899-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Yammer => valor removido (a) com sucesso.
    C:\Users\naiar\AppData\Local\yammerdesktop\update.exe => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{61438062-6888-4A6C-92A2-F782F938F59D} => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{61438062-6888-4A6C-92A2-F782F938F59D} => chave removido (a) com sucesso.
    C:\WINDOWS\System32\Tasks\Install Warsaw CA on Firefox => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Install Warsaw CA on Firefox => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C26747EE-049D-4449-8271-ED729D24A726} => chave removido (a) com sucesso.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C26747EE-049D-4449-8271-ED729D24A726} => chave removido (a) com sucesso.
    C:\WINDOWS\System32\Tasks\Rerun Warsaw's CoreFixer => movido com sucesso
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Rerun Warsaw's CoreFixer => chave removido (a) com sucesso.
    C:\WINDOWS\system32\Drivers\wsddfac.sys => ":X5ZN8aGXs4" ADS removido (a) com sucesso..

    ========= ipconfig /flushdns =========


    Configura‡Æo de IP do Windows

    Libera‡Æo do Cache do DNS Resolver bem-sucedida.

    ========= Fim de CMD: =========


    =========== EmptyTemp: ==========

    BITS transfer queue => 7364608 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29705898 B
    Java, Flash, Steam htmlcache => 3106 B
    Windows/system/drivers => 1535468 B
    Edge => 1011460 B
    Chrome => 832529510 B
    Firefox => 381981231 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 0 B
    systemprofile32 => 0 B
    LocalService => 0 B
    NetworkService => 205372 B
    naiar => 119951356 B

    RecycleBin => 5490561516 B
    EmptyTemp: => 6.4 GB de dados temporários Removidos.

    ================================


    O sistema precisou ser reiniciado.

    ==== Fim de Fixlog 18:06:46 ====

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz

     

    Acesse o site Malwarebytes, clique em Download Gratuito e baixe o arquivo para sua Área de Trabalho (Desktop).

     

    Desative antivírus, antispywares, enfim, programas de prevenção para não causar conflitos.

     

    Clique com o botão direito do mouse no arquivo setup.exe e escolha: Executar como Administrador

     

    • Siga os passos para a instalação;
    • Ao clicar em Concluir aguarde o programa ser aberto;
    • No alto à direita clique em Atualizar agora;
    • O navegador irá abrir, pode fechá-lo e aguarde o término das atualizações;
    • No painel à esquerda clique em Configurações;
    • Na aba Proteção ative Procurar rootkits;
    • Depois clique em Análise no painel à esquerda;
    • Então clique no botão Iniciar Análise e aguarde;
    • Quando o scan terminar uma janela irá se abrir próximo ao relógio;
    • Nela clique em Ver Resultado;
    • Deixe todas as entradas marcadas e clique no botão Colocar em Quarentena;
    • Na janela que abrir clique em Sim para que o computador seja reiniciado;
    • Uma vez reiniciado, abra novamente o Malwarebytes e clique em Histórico e cliquem em Excluir Tudo (opcional);
    • O log será salvo automaticamente pelo programa.
    • Para exportá-lo, clique na aba Histórico > Registros do aplicativo na janela principal do programa;
    • Clique duas vezes em cima do log mais atual e exporte em .TXT;
    • Poste em sua próxima resposta.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Oi novamente!

    Segue o log:

     


    -Informação do software-
    Versão: 3.3.1.2183
    Versão de componentes: 1.0.236
    Versão do pacote de definições: 1.0.3202
    Licença: Gratuita

    -Informação do sistema-
    Sistema operacional: Windows 10 (Build 16299.19)
    CPU: x64
    Sistema de arquivos: NTFS
    Usuário: DESKTOP-7O0BECT\naiar

    -Resumo da análise-
    Tipo de análise: Análise de Ameaças
    Resultado: Concluído
    Objetos verificados: 380599
    Ameaças detectadas: 6
    Ameaças em quarentena: 6
    Tempo decorrido: 17 min, 7 seg

    -Opções da análise-
    Memória: Habilitado
    Inicialização: Habilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Habilitado
    Rootkits: Habilitado
    Heurística: Habilitado
    PUP: Detectar
    PUM: Detectar

    -Detalhes da análise-
    Processo: 0
    (Nenhum item malicioso detectado)

    Módulo: 0
    (Nenhum item malicioso detectado)

    Chave de registro: 0
    (Nenhum item malicioso detectado)

    Valor de registro: 0
    (Nenhum item malicioso detectado)

    Dados de registro: 0
    (Nenhum item malicioso detectado)

    Fluxo de dados: 0
    (Nenhum item malicioso detectado)

    Pasta: 0
    (Nenhum item malicioso detectado)

    Arquivo: 6
    PUP.Optional.Softonic, C:\USERS\NAIAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Substituído, [665], [455288],1.0.3202
    PUP.Optional.Softonic, C:\USERS\NAIAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Substituído, [665], [455288],1.0.3202
    PUP.Optional.Softonic, C:\USERS\NAIAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Substituído, [665], [455288],1.0.3202
    PUP.Optional.Softonic, C:\USERS\NAIAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Substituído, [665], [455288],1.0.3202
    PUP.Optional.Softonic, C:\USERS\NAIAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Substituído, [665], [455288],1.0.3202
    PUP.Optional.Softonic, C:\USERS\NAIAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Substituído, [665], [455288],1.0.3202

    Setor físico: 0
    (Nenhum item malicioso detectado)


    (end)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz

     

    Faça um novo log com o FRST, porém antes de clicar no botão Examinar, marque a opção Addition.

     

    Anexe os logs, por favor.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Por acaso você configurou seu Chrome com algum arquivo?

     

    Citação

    CHR HomePage: Default -> file:///C:/Users/naiar/Desktop

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Não intencionalmente ;P

    Quer dizer, só com o fixlist.txt que você me mandou.

    Não entendi a citação, isso quer dizer que coloquei o desktop pra abrir como página principal? 

    Nas configurações do Chrome, está o seguinte, seria isso?

     

    chrome.thumb.PNG.5221b0bbd70cf07a9b86534c602205ba.PNG

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Citação

    Não entendi a citação, isso quer dizer que coloquei o desktop pra abrir como página principal? 

     

    Não sei se ele está 'apontando' para algum arquivo oculto, mas acredito que não...

     

    Citação

    Nas configurações do Chrome, está o seguinte, seria isso?

     

    Isso!

     

    Você poderia verificar se existe algum arquivo suspeito em seu Desktop, ou se tem algum oculto... caso não, somente apague o caminho aí do Chrome.

     

    Aguardo.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Nenhum arquivo suspeito ou oculto. Caminho removido também! 

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz

     

    Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

     

    Baixe o arquivo (fixlist.txt) no anexo deste post e salve-o na Área de Trabalho (Desktop).

    Execute o FRST.exe (ou FRST64.exe) e clique no botão Corrigir.

    Aguarde... ao final será gerado o log Fixlog.txt  salvo em sua Área de Trabalho (Desktop).

    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    fixlist.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá!

    Segue abaixo:

     

    Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 12-11-2017 03
    Executado por naiar (13-11-2017 14:28:20) Run:2
    Executando a partir de C:\Users\naiar\Desktop
    Perfis Carregados: naiar (Perfis Disponíveis: naiar)
    Modo da Inicialização: Normal
    ==============================================

    fixlist Conteúdo:
    *****************
    CreateRestorePoint:
    CloseProcesses:
    SearchScopes: HKU\S-1-5-21-2773747482-3881336030-647879899-1001 -> {619EEEC1-8F86-4AC5-9951-8EDAC69B1DEF} URL = 
    CHR DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?q={searchTerms}&li=ff
    2017-11-07 20:07 - 2010-06-06 09:22 - 000020480 _____ () C:\Users\naiar\AppData\Local\Temp\namebench.exe
    2017-11-07 20:07 - 2010-05-09 11:34 - 002292736 _____ (Python Software Foundation) C:\Users\naiar\AppData\Local\Temp\python27.dll
    2017-11-07 20:07 - 2008-11-06 21:29 - 000867328 _____ (ActiveState Corporation) C:\Users\naiar\AppData\Local\Temp\tcl85.dll
    2017-11-07 20:07 - 2008-11-06 21:37 - 001319936 _____ (ActiveState Corporation) C:\Users\naiar\AppData\Local\Temp\tk85.dll
    HKU\S-1-5-21-2773747482-3881336030-647879899-1001\...\StartupApproved\Run: => "Yammer"
    Reboot:

    *****************

    Ponto de Restauração criado com sucesso.
    Processos fechados com sucesso.
    HKU\S-1-5-21-2773747482-3881336030-647879899-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{619EEEC1-8F86-4AC5-9951-8EDAC69B1DEF} => chave removido (a) com sucesso.
    HKLM\Software\Classes\CLSID\{619EEEC1-8F86-4AC5-9951-8EDAC69B1DEF} => chave não encontrado (a). 
    Chrome DefaultSuggestURL => removido (a) com sucesso.
    C:\Users\naiar\AppData\Local\Temp\namebench.exe => movido com sucesso
    C:\Users\naiar\AppData\Local\Temp\python27.dll => movido com sucesso
    C:\Users\naiar\AppData\Local\Temp\tcl85.dll => movido com sucesso
    C:\Users\naiar\AppData\Local\Temp\tk85.dll => movido com sucesso
    HKU\S-1-5-21-2773747482-3881336030-647879899-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\Yammer => valor removido (a) com sucesso.
    HKU\S-1-5-21-2773747482-3881336030-647879899-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Yammer => valor não encontrado (a).


    O sistema precisou ser reiniciado.

    ==== Fim de Fixlog 14:29:27 ====

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz

     

    Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

    Baixe o Stinger e salve em sua Área de trabalho (Desktop).
    32 bit (x86) ou 64 bit (x64)

    • Execute o arquivo Stinger.exe como Administrador.
    • Clique no botão “I Accept”


    Stinger%20a.png

    Na nova janela clique em “Advanced” e depois “Settings”

    Stinger%20b.png

    Na janela configurações deixe conforme imagem abaixo e clique no botão “Save”

    9hnsyu.png

    Clique em “Customize my Scan”

    Stinger%20f.png

    Selecione as unidades do sistema e em seguida clique no botão “Scan”

    Stinger%20g.png

    Ao final clique em “View log”, será aberto uma janela com o log em seu navegador.
    Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Oi! Segue abaixo o log. Antes também gostaria de perguntar se o namebench.exe não é seguro. Vi que ele foi removido e eu usava ele para configurar a conexão às vezes quando achava que ficava lenta.

     

    McAfee® Labs Stinger™ Version 12.1.0.2579 built on Nov 16 2017 at 01:03:37
    Copyright© 2015, McAfee, Inc. All Rights Reserved.

    AV Engine version v5900.7806 for Windows.
    Virus data file v1000.0 created on Nov 16, 2017
    Ready to scan for 10263 viruses, trojans and variants.

    Scan initiated on quinta-feira, novembro 16, 2017 19:00:03


    Rootkit scan result : Clean.

    Summary Report on Smart Scan
    File(s)
        TotalFiles:............    3244
        Clean:.................    3241
        Not Scanned:........... 3
        Possibly Infected:.....    0

    Time: 00:10:41

    Scan completed on quinta-feira, novembro 16, 2017 19:10:44

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz
     

    Citação


    Antes também gostaria de perguntar se o namebench.exe não é seguro.

     

     

    Não desinstalei o programa, somente removi o arquivo que estava na pasta Temp (temporários):
     

    Citação


    C:\Users\naiar\AppData\Local\Temp\namebench.exe => movido com sucesso

     

     

    Tanto no primeiro log do FRST quanto no segundo não consta este programa como instalado, a não ser que ele seja autoexcutável.

     

    Ele é seguro sim e continua no seu Windows (downloads), veja:

     

    Citação

    C:\Users\naiar\Downloads\namebench-1.3.1-Windows.exe

     

    Podemos continuar? ;)

     

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Claro, vamos lá! Postei o log do Stinger acima, valeu e boa semana!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara @naiaraz

     

    Baixe Security Check, by glax24 e salve em sua Área de trabalho (Desktop).

     

    Execute o arquivo como Administrador

    • Aguarde enquanto a ferramenta faz o exame.
    • Ao final salve log como SecurityCheck.html
    • Abra o arquivo com o bloco de notas;
    • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Crie uma conta ou entre para comentar

    Você precisar ser um membro para fazer um comentário






    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×