Ir ao conteúdo
  • Cadastre-se
Lázaro Kustner

Provavel adware impossibilitando navegação em alguns sites.

Recommended Posts

Olá! É meu primeiro tópico portanto nao sei se estara tudo certo. Tenho tido uns problemas para navegar em alguns sites, pois começou a aparecer, do nada, uma mensagem com o logo do adobe flash player que diz que tenho que atualiza-lo.

Mesmo mostrando a opção de fechar no canto superior direito é impossivel faze-lo e essa janela, quando aparece, bloqueia totalmente a página que estou acessando.

Deixarei em anexo os arquivos dos logs e 2 prints que tirei sendo um da janelinha inconveniente e o outro do programa que o CDH pede para usar (GMER), para ver se eu realmente fiz as alterações de acordo com o que pedem. Enfim, agradeço a ajuda.

post-737600-0-30733600-1411051701_thumb.

attach.txt

dds.txt

gmer.txt.txt

post-737600-0-77995400-1411051711_thumb.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Lázaro Kustner,

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.
 
Por favor, atente para o seguinte:
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

Baixe o RogueKiller e salve no desktop.
https://www.surlatoi...RogueKiller.exe

 

Execute o arquivo RogueKiller.exe.

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo RogueKiller.exe, depois clique em execadmin.png. ou

Clique no botão Verificar e aguarde o exame finalizar.

Clique no botão Report. Abrirá um bloco de notas com informações.

Este log é salvo no desktop com o nome de RKreport[1].txt.

Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

OBS: não use o botão Deletar pois precisamos avaliar os itens antes de fazer isso.

Compartilhar este post


Link para o post
Compartilhar em outros sites

O log pedido do RK:

 

RogueKiller V9.2.11.0 [sep  9 2014] Por Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Site : http://www.adlice.com/programas/roguekiller/
Blog : http://www.adlice.com

Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Iniciado em : Modo Normal
Usuario : Meire [Privilegios de Admnistrador]
Modo : Verificar -- Data : 09/22/2014  08:08:06

¤¤¤ Entradas ruins : 1 ¤¤¤
[Hj.Name|Suspicious.Path] conhost.exe -- C:\Users\Meire\AppData\Roaming\conhost.exe[-] -> FINALIZADO [TermProc]

¤¤¤ Entradas do Registro : 28 ¤¤¤
[Hj.Name|Suspicious.Path] HKEY_USERS\S-1-5-21-1438323437-1736241747-1754156665-1000\Software\Microsoft\Windows\CurrentVersion\Run | MEIRELE : C:\Users\Meire\AppData\Roaming\conhost.exe  -> ENCONTRADO
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme (\??\C:\Users\Meire\AppData\Local\Temp\catchme.sys) -> ENCONTRADO
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme (\??\C:\Users\Meire\AppData\Local\Temp\catchme.sys) -> ENCONTRADO
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme (\??\C:\Users\Meire\AppData\Local\Temp\catchme.sys) -> ENCONTRADO
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1  -> ENCONTRADO
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1  -> ENCONTRADO
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:51218;https=127.0.0.1:51218  -> ENCONTRADO
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:51218;https=127.0.0.1:51218  -> ENCONTRADO
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 10.1.1.1  -> ENCONTRADO
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 10.1.1.1  -> ENCONTRADO
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 10.1.1.1  -> ENCONTRADO
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D60BD8EA-3E6B-4063-B35B-557F5BEC3B5D} | DhcpNameServer : 10.1.1.1  -> ENCONTRADO
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{D60BD8EA-3E6B-4063-B35B-557F5BEC3B5D} | DhcpNameServer : 10.1.1.1  -> ENCONTRADO
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{D60BD8EA-3E6B-4063-B35B-557F5BEC3B5D} | DhcpNameServer : 10.1.1.1  -> ENCONTRADO
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA : 0  -> ENCONTRADO
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> ENCONTRADO
[PUM.StartMenu] HKEY_USERS\S-1-5-21-1438323437-1736241747-1754156665-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-1438323437-1736241747-1754156665-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-1438323437-1736241747-1754156665-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> ENCONTRADO
[PUM.HomePage] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome  -> ENCONTRADO
[PUM.HomePage] HKEY_USERS\S-1-5-21-1438323437-1736241747-1754156665-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://br.yahoo.com?fr=hp-avast&type=avastbcl  -> ENCONTRADO
[PUM.HomePage] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome  -> ENCONTRADO
[PUM.SearchPage] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> ENCONTRADO
[PUM.SearchPage] HKEY_USERS\S-1-5-21-1438323437-1736241747-1754156665-1000\Software\Microsoft\Internet Explorer\Main | Search Page : https://br.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms}  -> ENCONTRADO
[PUM.SearchPage] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> ENCONTRADO

¤¤¤ As tarefas agendadas : 1 ¤¤¤
[suspicious.Path] \\060184C3-9766-46a0-B258-F4518A0B2633 -- C:\Windows\system32\CScript.exe ("C:\ProgramData\Duplicaterecord.js") -> ENCONTRADO

¤¤¤ Arquivos : 0 ¤¤¤

¤¤¤ Arquivo de Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost

¤¤¤ Antirootkit : 48 (Driver: Carregado) ¤¤¤
[sSDT:Addr(Hook.SSDT)] NtCreateFile[66] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f310
[sSDT:Addr(Hook.SSDT)] NtCreateKey[70] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872edc0
[sSDT:Addr(Hook.SSDT)] NtCreateProcess[79] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730770
[sSDT:Addr(Hook.SSDT)] NtCreateProcessEx[80] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730670
[sSDT:Addr(Hook.SSDT)] NtCreateSymbolicLinkObject[86] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730420
[sSDT:Addr(Hook.SSDT)] NtCreateUserProcess[93] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730e70
[sSDT:Addr(Hook.SSDT)] NtDeleteFile[102] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872fe60
[sSDT:Addr(Hook.SSDT)] NtDeleteKey[103] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f4f0
[sSDT:Addr(Hook.SSDT)] NtDeleteValueKey[106] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f5b0
[sSDT:Addr(Hook.SSDT)] NtDeviceIoControlFile[107] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872fba0
[sSDT:Addr(Hook.SSDT)] NtEnumerateValueKey[119] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f820
[sSDT:Addr(Hook.SSDT)] NtGetNextProcess[139] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730c10
[sSDT:Addr(Hook.SSDT)] NtGetNextThread[140] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730930
[sSDT:Addr(Hook.SSDT)] NtQueryValueKey[266] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f740
[sSDT:Addr(Hook.SSDT)] NtQueueApcThread[269] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730f80
[sSDT:Addr(Hook.SSDT)] NtRenameKey[290] : C:\Windows\System32\drivers\Bhbase.sys @ 0x887305b0
[sSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f670
[sSDT:Addr(Hook.SSDT)] NtRestoreKey[302] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731060
[sSDT:Addr(Hook.SSDT)] NtSetInformationFile[329] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872ef70
[sSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731130
[sSDT:Addr(Hook.SSDT)] NtSetValueKey[358] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f150
[sSDT:Addr(Hook.SSDT)] NtUnmapViewOfSection[385] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88730cf0
[sSDT:Addr(Hook.SSDT)] NtWriteFile[396] : C:\Windows\System32\drivers\Bhbase.sys @ 0x8872f050
[shwSSDT:Addr(Hook.Shadow)] NtUserClipCursor[348] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731b80
[shwSSDT:Addr(Hook.Shadow)] NtUserDestroyWindow[371] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731fd0
[shwSSDT:Addr(Hook.Shadow)] NtUserFindWindowEx[396] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731200
[shwSSDT:Addr(Hook.Shadow)] NtUserGetForegroundWindow[423] : C:\Windows\System32\drivers\Bhbase.sys @ 0x887313a0
[shwSSDT:Addr(Hook.Shadow)] NtUserMessageCall[490] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731ee0
[shwSSDT:Addr(Hook.Shadow)] NtUserMoveWindow[495] : C:\Windows\System32\drivers\Bhbase.sys @ 0x887316a0
[shwSSDT:Addr(Hook.Shadow)] NtUserPostMessage[508] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731e10
[shwSSDT:Addr(Hook.Shadow)] NtUserQueryWindow[515] : C:\Windows\System32\drivers\Bhbase.sys @ 0x887312e0
[shwSSDT:Addr(Hook.Shadow)] NtUserSendInput[536] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731ab0
[shwSSDT:Addr(Hook.Shadow)] NtUserSetParent[560] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731510
[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowLong[578] : C:\Windows\System32\drivers\Bhbase.sys @ 0x887315d0
[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowPlacement[579] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731870
[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowPos[580] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731780
[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731d30
[shwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731c40
[shwSSDT:Addr(Hook.Shadow)] NtUserShowWindow[591] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731930
[shwSSDT:Addr(Hook.Shadow)] NtUserShowWindowAsync[592] : C:\Windows\System32\drivers\Bhbase.sys @ 0x887319f0
[shwSSDT:Addr(Hook.Shadow)] NtUserWindowFromPoint[629] : C:\Windows\System32\drivers\Bhbase.sys @ 0x88731450
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Harddisk0\DR0 : \Driver\partmgr @ Unknown (\SystemRoot\System32\drivers\Bhbase.sys)
[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\cdrom @ \Device\CdRom0 (\SystemRoot\system32\drivers\fltmgr.sys)
[Filter(Kernel.Filter)] \Driver\Disk @ \Device\Harddisk4\DR4 : \Driver\partmgr @ Unknown (\SystemRoot\System32\drivers\Bhbase.sys)
[Filter(Kernel.Filter)] \Driver\Disk @ \Device\Harddisk3\DR3 : \Driver\partmgr @ Unknown (\SystemRoot\System32\drivers\Bhbase.sys)
[Filter(Kernel.Filter)] \Driver\Disk @ \Device\Harddisk2\DR2 : \Driver\partmgr @ Unknown (\SystemRoot\System32\drivers\Bhbase.sys)
[Filter(Kernel.Filter)] \Driver\Disk @ \Device\Harddisk1\DR1 : \Driver\partmgr @ Unknown (\SystemRoot\System32\drivers\Bhbase.sys)
[Filter(Kernel.Filter)] \Driver\Disk @ \Device\Harddisk0\DR0 : \Driver\partmgr @ Unknown (\SystemRoot\System32\drivers\Bhbase.sys)

¤¤¤ Os navegadores da Web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] wnbynoih.default : user_pref("browser.startup.homepage", "google.com"); -> ENCONTRADO

¤¤¤ Verificaçao do MBR : ¤¤¤
+++++ PhysicalDrive0:  +++++
--- User ---
[MBR] 9f19ddd5d799130abfa43d76205a4098
[bSP] 9e855952f7aaea6c38452449fe577833 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 119900 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 245762048 | Size: 185242 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic USB SD Reader USB Device +++++
Error reading User MBR! ([15] O dispositivo não está pronto. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Não há suporte para o pedido. )

+++++ PhysicalDrive2: Generic USB CF Reader USB Device +++++
Error reading User MBR! ([15] O dispositivo não está pronto. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Não há suporte para o pedido. )

+++++ PhysicalDrive3: Generic USB SM Reader USB Device +++++
Error reading User MBR! ([15] O dispositivo não está pronto. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Não há suporte para o pedido. )

+++++ PhysicalDrive4: Generic USB MS Reader USB Device +++++
Error reading User MBR! ([15] O dispositivo não está pronto. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Não há suporte para o pedido. )
 


Interesante é que agora nao esta mais acontecendo nada! Antes era em todos os navegadores, depois só acontecia no Chrome e hoje quando fui testar, simplesmente nao abriu mais essa janelinha chata. Será que o problema foi resolvido? o Avast encontrou algumas ameaças durante o fim de semana, será que foi isso?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia.

 

Baixe o Farbar Recovery Scan Tool e salve na sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Dê um duplo-clique para executar a ferramenta. Aceite o contrato e depois clique no botão Scan.

Aguarde e ao final, os logs FRST.txt e Addition.txt serão salvos no seu desktop.

Anexe os logs nas sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia Carlos!
Esse FRST simplesmente nao executa. Quando clico para executa-lo ele abre por 0,5s  e logo fecha sozinho. Ja tentei abrir em modos de compatibilidade diferentes, como administrador, desinstalei e instalei de novo, baixei a versão 64bits(que claro que nao funcionou, mas vai que né!), simplesmente nao abriu fera! se tiver outro programa para indicar para postar meus logs, agradeço.

Ah! mas o problema ao qual se trata meu post parou, beleza? Não acontece mais de abrir. E quanto àquele arquivo que o RK pegou que você disse para nao deletar, é o adware será? Mais uma vez valeu ae pela força fera!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Lázaro Kustner,

 

Baixe um nova cópia do FRST e tente executar no modo de segurança.

 

Sobre o arquivos do RogueKiller, nada o que se preocupar.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado.

Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com a moderação solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×