Ir ao conteúdo
  • Cadastre-se
Herweg

Suspeita de vírus no Windows 7

Recommended Posts

Eu estou tendo problemas com uma pasta específica do meu Windows 7.
 
Ao abri-la, nota-se, claramente, que ela mostra menos arquivos do que de fato possui. Se eu for movendo os arquivos aos poucos, recortando e colando, os que antes não apareciam surgem do nada. Eu já tentei copiar a pasta toda, mas ela somente copia os arquivos que estão visíveis. No sub-fórum sobre Windows 7, recomendaram que eu fizesse uma varredura por vírus, malwares, etc.. Eu já rodei o DDS e o GMER e acredito que algo foi encontrado.

Eu queria colar os respectivos logs na sequência, mas, como eles ficaram muito grandes, estou recebendo a seguinte mensagem de erro aqui do FCdH: "Your post is too short".

 

Por favor, eu peço que orientem como eu devo agir.

 

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Herweg,

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.
 
Por favor, atente para o seguinte:
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

Eu estou tendo problemas com uma pasta específica do meu Windows 7.

 

Qual pasta? Caminho?

 

 

Eu queria colar os respectivos logs na sequência, mas, como eles ficaram muito grandes, estou recebendo a seguinte mensagem de erro aqui do FCdH: "Your post is too short".

 

Clique no botão "Mais Opções" para anexar os logs.

Compartilhar este post


Link para o post
Compartilhar em outros sites

CarlosTurco,

 

A pasta que está apresentando um comportamento estranho foi criada por mim ("Downloads/My Sighting"). Nela, há arquivos de texto (.txt, .pdf, etc.) e vários grandes arquivos de fotografias. Essa pasta foi listada no log do GMER.

 

Abaixo, está o log do DDS e, no anexo, está o do GMER.

 

Obrigado.

 

DDS (Ver_2012-11-20.01) - NTFS_AMD64
Internet Explorer: 9.0.8112.16447  BrowserJavaVersion: 10.55.2
Run by Herweg at 16:21:27 on 2014-10-14
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.55.1046.18.8107.6534 [GMT -3:00]
.
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\PROGRA~2\GbPlugin\GbpSv.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\SysWOW64\svchost.exe -k hpdevmgmt
C:\Program Files (x86)\Intel\Intel Desktop Utilities\iduServ.exe
C:\Windows\system32\IProsetMonitor.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\System32\svchost.exe -k HPZ12
C:\Program Files (x86)\Common Files\Protexis\License Service\PSIService.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\PROGRA~2\GbPlugin\GbpSv.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files (x86)\Intel\Intel Desktop Utilities\iptray.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_15_0_0_152.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_15_0_0_152.exe
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
c:\program files (x86)\common files\installshield\updateservice\isuspm.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\agent.exe
C:\Users\Herweg\Desktop\dds.scr
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\cscript.exe
.
============== Pseudo HJT Report ===============
.
uSearch Bar = Preserve
mStart Page = hxxp://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal
mWinlogon: Userinit = userinit.exe
BHO: HP Print Enhancer: {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: Java Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
BHO: Auxiliar de Conexão do Windows Live ID: {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL
BHO: GbIehObj Class: {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files (x86)\GbPlugin\gbiehcef.dll
BHO: Java Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
BHO: HP Smart BHO Class: {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
EB: HP Smart Web Printing: {555D4D79-4BD2-4094-A395-CFC534424A05} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll
EB: HP Smart Web Printing: {555D4D79-4BD2-4094-A395-CFC534424A05} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll
uRun: [AdobeBridge] <no file>
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
mRun: [hpqSRMon] C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe
mRun: [ipTray.exe] "C:\Program Files (x86)\Intel\Intel Desktop Utilities\ipTray.exe"
mRun: [switchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
mRun: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
mRun: [iSUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
mRun: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\HPDIGI~1.LNK - C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
mPolicies-Explorer: NoActiveDesktop = dword:1
mPolicies-Explorer: NoActiveDesktopChanges = dword:1
mPolicies-System: ConsentPromptBehaviorAdmin = dword:5
mPolicies-System: ConsentPromptBehaviorUser = dword:3
mPolicies-System: EnableUIADesktopToggle = dword:0
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
TCP: NameServer = 201.17.0.77 201.17.0.117 201.6.4.116
TCP: Interfaces\{AA187ABC-A955-4F2D-9438-9F97FD96357B} : DHCPNameServer = 201.17.0.77 201.17.0.117 201.6.4.116
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
Notify:  GbPluginCef - C:\Program Files (x86)\GbPlugin\gbiehCef.dll
SSODL: WebCheck - <orphaned>
SEH: GbPluginObj Class - {E37CB5F0-51F5-4395-A808-5FA49E399003} - C:\Program Files (x86)\GbPlugin\gbiehcef.dll
x64-mStart Page = hxxp://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal
x64-BHO: Windows Live ID Sign-in Helper: {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
x64-BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL
x64-Run: [bCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
x64-Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
x64-Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
x64-Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - <orphaned>
x64-Notify: igfxcui - igfxdev.dll
x64-SSODL: WebCheck - <orphaned>
Hosts: 0.0.0.0 localhost
Hosts: 0.0.0.0 localhost
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Herweg\AppData\Roaming\Mozilla\Firefox\Profiles\qhnb35bq.default-1412890341819\
.
============= SERVICES / DRIVERS ===============
.
R2 cpuz135;cpuz135;C:\Windows\System32\drivers\cpuz135_x64.sys [2012-8-5 21992]
R2 GbpSv;Gbp Service;C:\PROGRA~2\GbPlugin\GbpSv.exe [2014-9-10 546104]
R2 IduService;Intel® Desktop Utilities Service;C:\Program Files (x86)\Intel\Intel Desktop Utilities\iduServ.exe [2012-7-10 642800]
R2 Intel® PROSet Monitoring Service;Intel® PROSet Monitoring Service;C:\Windows\System32\IPROSetMonitor.exe [2012-7-30 133800]
S2 Intel® Desktop Boards FSC Application Service;Intel® Desktop Boards FSC Application Service;C:\Program Files (x86)\Intel\FSC\FSCAppServ.exe [2012-7-10 65536]
S2 KMService;KMService;C:\Windows\System32\srvany.exe --> C:\Windows\System32\srvany.exe [?]
S3 cpuio;CPUIO Service;C:\Windows\SysWOW64\drivers\cpuiox64.sys [2012-8-2 15384]
S3 IntcDAud;Áudio do vídeo Intel®;C:\Windows\System32\drivers\IntcDAud.sys [2012-8-1 317440]
S3 ose64;Office 64 Source Engine;C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-1-9 174440]
S3 SwitchBoard;SwitchBoard;C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-2-19 517096]
S3 WatAdminSvc;Serviço de Tecnologias de Ativação do Windows;C:\Windows\System32\Wat\WatAdminSvc.exe [2012-8-4 1255736]
.
=============== File Associations ===============
.
FileExt: .js: jsfile="C:\Program Files (x86)\Adobe\Adobe Dreamweaver CS5.5\Dreamweaver.exe","%1"
ShellExec: dreamweaver.exe: Open="C:\Program Files (x86)\Adobe\Adobe Dreamweaver CS5.5\dreamweaver.exe", "%1"
.
=============== Created Last 30 ================
.
2014-10-13 01:57:51    9133488    ----a-w-    C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{FC3E2CBA-5A4E-47B5-B622-92B78A546E30}\mpengine.dll
2014-09-26 05:09:06    --------    d-----w-    C:\cygwin
2014-09-19 05:40:35    --------    d-----w-    C:\Users\Herweg\AppData\Roaming\AVG2015
2014-09-19 05:40:11    --------    d-----w-    C:\Users\Herweg\AppData\Roaming\TuneUp Software
2014-09-19 05:37:42    --------    d--h--w-    C:\$AVG
2014-09-19 05:37:42    --------    d-----w-    C:\ProgramData\AVG2015
2014-09-19 05:33:58    --------    d--h--w-    C:\ProgramData\Common Files
2014-09-19 05:33:58    --------    d-----w-    C:\ProgramData\MFAData
2014-09-15 22:20:17    --------    d-s---w-    C:\Windows\SysWow64\Microsoft
.
==================== Find3M  ====================
.
2014-09-24 05:02:23    71344    ----a-w-    C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2014-09-24 05:02:23    701104    ----a-w-    C:\Windows\SysWow64\FlashPlayerApp.exe
.
============= FINISH: 16:24:52,04 ===============

 

 

gmer.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

1)

 

Baixe o AdwCleaner e salve no desktop.
https://toolslib.net/downloads/finish/1/

Execute o arquivo adwcleaner.exe

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo adwcleaner.exe, depois clique em execadmin.png.

Clique no botão Examinar e aguarde o exame finalizar.

Clique no botão Limpar.

Abrirá um bloco de notas com o resultado. Anexe o log na sua próxima resposta.

NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

 

2)

 

Baixe o Malwarebytes' Anti-Malware (MBAM)
http://malwarebytes....am-download.php

Dê um duplo-clique no mbam-setup.exe, para a instalação.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Verifique se as caixas Atualizar Malwarebytes Anti-Malware (se houver) e Executar Malwarebytes Anti-Malware estão marcadas e clique então, em Concluir.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas.
  • Ao final da atualização, caso o programa tenha sido instalado em Inglês, com o programa aberto, clique em Settings e no campo Language mude para Portuguese (Brasil).
  • Ainda na tela de Configurações, clique em Detecção e proteção, marque Verificar por Rootkits. Em Detecções PUP (programas potencialmente indesejados):, selecione Tratar detecções como malware.
  • Clique em Verificar em seguida Verificar ameaça por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver ítens encontrados, clique no botão Mover todos para a Quarentena..
  • Clique em Aplicar ações.
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Logs de aplicativos na janela principal do programa. Utilize o formato .txt para exportar o log.
  • Anexe o log na sua próxima resposta..

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

CarlosTurco,
 
Seguem, abaixo, todos os logs gerados pelo AdwCleaner e pelo MBAM:

# AdwCleaner v3.311 - Relatório criado 30/10/2014 às 00:15:03
# Atualizado 30/09/2014 por Xplode
# Sistema Operacional : Windows 7 Ultimate (64 bits)
# Usuário : Herweg - HERWEG-PC
# Executando de : C:\Users\Herweg\Desktop\adwcleaner_3.311.exe
# Opção : Examinar

***** [ Serviços ] *****


***** [ Arquivos / Pastas ] *****

Pasta Encontrado : C:\ProgramData\Babylon
Pasta Encontrado : C:\Users\Herweg\AppData\Roaming\Babylon
Pasta Encontrado : C:\Users\Herweg\Desktop\Babylon

***** [ Tarefas ] *****


***** [ Atalhos ] *****


***** [ Registro ] *****

Chave Encontrada : HKCU\Software\InstallCore
Chave Encontrada : HKCU\Software\Softonic
Chave Encontrada : [x64] HKCU\Software\InstallCore
Chave Encontrada : [x64] HKCU\Software\Softonic
Chave Encontrada : HKLM\SOFTWARE\Babylon
Chave Encontrada : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Chave Encontrada : HKLM\SOFTWARE\Classes\Prod.cap
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_para_allplayer_RASAPI32
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_para_allplayer_RASMANCS

***** [ Navegadores ] *****

-\\ Internet Explorer v9.0.8112.16447


-\\ Mozilla Firefox v32.0.3 (x86 pt-BR)

[ Arquivo : C:\Users\Herweg\AppData\Roaming\Mozilla\Firefox\Profiles\qhnb35bq.default-1412890341819\prefs.js ]


*************************

AdwCleaner[R0].txt - [1841 octets] - [30/10/2014 00:15:03]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1901 octets] ##########








# AdwCleaner v3.311 - Relatório criado 30/10/2014 às 00:22:33
# Atualizado 30/09/2014 por Xplode
# Sistema Operacional : Windows 7 Ultimate (64 bits)
# Usuário : Herweg - HERWEG-PC
# Executando de : C:\Users\Herweg\Desktop\adwcleaner_3.311.exe
# Opção : Limpar

***** [ Serviços ] *****


***** [ Arquivos / Pastas ] *****

Pasta Deletada : C:\ProgramData\Babylon
Pasta Deletada : C:\Users\Herweg\AppData\Roaming\Babylon
Pasta Deletada : C:\Users\Herweg\Desktop\Babylon

***** [ Tarefas ] *****


***** [ Atalhos ] *****


***** [ Registro ] *****

Chave Deletedo : HKLM\SOFTWARE\Classes\Prod.cap
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_para_allplayer_RASAPI32
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_para_allplayer_RASMANCS
Chave Deletedo : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Chave Deletedo : HKCU\Software\InstallCore
Chave Deletedo : HKCU\Software\Softonic
Chave Deletedo : HKLM\SOFTWARE\Babylon

***** [ Navegadores ] *****

-\\ Internet Explorer v9.0.8112.16447


-\\ Mozilla Firefox v32.0.3 (x86 pt-BR)

[ Arquivo : C:\Users\Herweg\AppData\Roaming\Mozilla\Firefox\Profiles\qhnb35bq.default-1412890341819\prefs.js ]


*************************

AdwCleaner[R0].txt - [1989 octets] - [30/10/2014 00:15:03]
AdwCleaner[s0].txt - [1774 octets] - [30/10/2014 00:22:33]

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [1834 octets] ##########








Malwarebytes Anti-Malware
www.malwarebytes.org


Update, 30/10/2014 00:44:22, SYSTEM, HERWEG-PC, Manual, Rootkit Database, 2014.9.18.1, 2014.10.22.1,
Update, 30/10/2014 00:44:39, SYSTEM, HERWEG-PC, Manual, Malware Database, 2014.9.19.5, 2014.10.30.2,
Scan, 30/10/2014 02:19:59, SYSTEM, HERWEG-PC, Manual, Start:30/10/2014 00:48:18, Duration:1 hr 27 min 29 sec, Verificar Ameaça, Terminado, 2 Malware Detections, 7 Non-Malware Detections,

(end)








Malwarebytes Anti-Malware
www.malwarebytes.org

Data da Verificação: 30/10/2014
Hora da Verificação: 00:48:18
Arquivo de Log: mbam_log_de_verificacao.txt
Administrador: Sim

Versão: 2.00.3.1025
Base de Dados de Malware: v2014.10.30.02
Base de Dados de Rootkit: v2014.10.22.01
Licença: Grátis
Proteção de Malware: Desabilitado
Proteção de Site Malicioso: Desabilitado
Auto-Proteção: Desabilitado

SO: Windows 7
Processador: x64
Sistema de Arquivos: NTFS
Usuário: Herweg

Tipo da Verificação: Verificar Ameaça
Resultado: Terminado
Objetos Verificados: 337754
Tempo Decorrido: 1 hr, 27 min, 29 seg

Memória: Habilitado
Inicialização: Habilitado
Sistema de Arquivos: Habilitado
Arquivos Compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Habilitado
PUM: Habilitado

Processos: 0
(Nenhum item malicioso detectado)

Módulos: 0
(Nenhum item malicioso detectado)

Chaves de Registro: 0
(Nenhum item malicioso detectado)

Valores de Registro: 0
(Nenhum item malicioso detectado)

Dados de Registro: 0
(Nenhum item malicioso detectado)

Pastas: 0
(Nenhum item malicioso detectado)

Arquivos: 9
PUP.Optional.Softonic.A, C:\$Recycle.Bin\S-1-5-21-483742429-2988011552-2266747392-1000\$RUWQ7NK.exe, Quarentena, [8839de39ec900e2813c13cfacd34a65a],
PUP.Optional.Babylon.A, C:\$Recycle.Bin\S-1-5-21-483742429-2988011552-2266747392-1000\$RYO0H7C.exe, Quarentena, [6e531ff8ee8e87afc13cad7110f04db3],
Trojan.Agent.ck, C:\$Recycle.Bin\S-1-5-21-483742429-2988011552-2266747392-1000\$R2WP8GK.rar, Quarentena, [467bd344295363d3826c0d7d659bc23e],
PUP.Optional.Softonic.A, C:\$Recycle.Bin\S-1-5-21-483742429-2988011552-2266747392-1000\$R0LGGXJ.exe, Quarentena, [517049ce27550e2841930036629f37c9],
Trojan.Agent.ck, C:\$Recycle.Bin\S-1-5-21-483742429-2988011552-2266747392-1000\$RG03B7E\adobemasterkeygen55.rar, Quarentena, [c6fbe92eb5c763d308e61377837df709],
PUP.BundleInstaller.VIO, C:\Users\Herweg\AppData\Local\Temp\pGswPACQ.exe.part, Quarentena, [e1e0c255116b82b4788c793d17e9e11f],
PUP.Optional.Bandoo, C:\Users\Herweg\AppData\Local\Temp\aCljpNM4.exe.part, Quarentena, [0fb243d48af2132395e0200046bb5ea2],
PUP.Optional.Bandoo, C:\Users\Herweg\AppData\Local\Temp\1LCDISy7.exe.part, Quarentena, [9b2619fe5c2037ffdb9a67b90bf6c43c],
PUP.Optional.Babylon.A, C:\Users\Herweg\AppData\Local\Temp\is1044255304\MyBabylonTB.exe, Quarentena, [0db4bf589ae2cf6726d7dd414bb523dd],

Setores Físicos: 0
(Nenhum item malicioso detectado)


(end)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe o Farbar Recovery Scan Tool e salve na sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Dê um duplo-clique para executar a ferramenta. Aceite o contrato e depois clique no botão Scan.

Aguarde e ao final, os logs FRST.txt e Addition.txt serão salvos no seu desktop.

Anexe os logs na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-10-2014 01

Ran by Herweg (administrator) on HERWEG-PC on 30-10-2014 20:45:02

Running from C:\Users\Herweg\Desktop

Loaded Profile: Herweg (Available profiles: Herweg)

Platform: Windows 7 Ultimate (X64) OS Language: Português (Brasil)

Internet Explorer Version 9

Boot Mode: Normal

Tutorial for Farbar Recovery Scan Tool: http://go.microsoft.com)

00030002(0x00000000, 20:21:55:530 - 1)

00020005(0x00000000, 20:21:55:530 - 0)

0002000C(0x00000000, 20:21:55:740 - 302)

0002000E(0x00000000, 20:21:55:740 - https://validation.sls.microsoft.com/SLWGA/slwga.asmx)

00020001(0x00000000, 20:21:55:740)

00030001(0x00000000, 20:21:55:740 - https://validation.sls.microsoft.com)

00030002(0x00000000, 20:21:55:740 - 1)

00020005(0x00000000, 20:21:55:740 - 0)

0002000C(0x00000000, 20:21:56:290 - 500)

00010002(0x8004FC01, 20:21:56:290 - <?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><soap:Body><soap:Fault><faultcode>soap:Server</faultcode><faultstring>SoapException</faultstring><detail><HRESULT>0xC004C533</HRESULT><Messages><Message>1006 (Validation) - [VGA: Invalid license state - notification reason unknown. ---> Invalid license state - notification reason unknown]</Message></Messages></detail></soap:Fault></soap:Body></soap:Envelope>)

00010003(0x8004FC01, 20:21:56:290)

Error: (10/30/2014 04:47:54 PM) (Source: Application Error) (EventID: 1005) (User: )

Description: C:\Windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-483742429-2988011552-2266747392-1000-8192.datProcesso de Host para Serviços do WindowsC00001853

Error: (10/30/2014 04:47:54 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: svchost.exe_FontCache6.1.7600.163854a5bc3c1msvcrt.dll7.0.7600.169304eeb01e3c000000600000000000159e766c01cff470329d1805C:\Windows\system32\svchost.exeC:\Windows\system32\msvcrt.dll418b67d8-6065-11e4-8930-e06995fbdc03

Error: (10/30/2014 04:42:41 PM) (Source: Application Error) (EventID: 1005) (User: )

Description: C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0A4AA28352A2030EC83CB69652767DD351373DE7.bin.VE0Processo de Host para Serviços do WindowsC00001853

Error: (10/30/2014 04:42:41 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: svchost.exe_WinDefend6.1.7600.163854a5bc3c1unknown0.0.0.000000000c0000006000000000281b08511401cff4708447fd9fC:\Windows\System32\svchost.exeunknown86da140a-6064-11e4-8930-e06995fbdc03

Error: (10/30/2014 04:42:40 PM) (Source: Application Error) (EventID: 1005) (User: )

Description: C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exeJava Update SchedulerC00001853

Error: (10/30/2014 04:42:40 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: jusched.exe2.1.9.851d2fcd3jusched.exe2.1.9.851d2fcd3c00000060000e69ffc01cff4707e9e4805C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exeC:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe862d593a-6064-11e4-8930-e06995fbdc03

CodeIntegrity Errors:

===================================

Date: 2014-10-01 22:42:15.207

Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\kernel32.dll because the set of per-page image hashes could not be found on the system.

Date: 2014-10-01 21:54:03.008

Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\kernel32.dll because the set of per-page image hashes could not be found on the system.

Date: 2014-09-30 22:57:21.989

Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\mrxsmb.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2014-09-30 22:55:27.360

Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\mrxsmb.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2014-09-30 17:33:13.206

Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\mrxsmb.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2014-09-30 17:31:07.314

Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\mrxsmb.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2014-09-30 15:52:40.767

Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\mrxsmb.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2014-09-24 17:24:30.525

Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\crypt32.dll because the set of per-page image hashes could not be found on the system.

Date: 2014-07-16 17:37:35.532

Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\sfc_os.dll because the set of per-page image hashes could not be found on the system.

==================== Memory info ===========================

Processor: Intel® Core i5-2500 CPU @ 3.30GHz

Percentage of memory in use: 21%

Total physical RAM: 8107.4 MB

Available physical RAM: 6354.64 MB

Total Pagefile: 16212.95 MB

Available Pagefile: 14507.76 MB

Total Virtual: 8192 MB

Available Virtual: 8191.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:931.41 GB) (Free:861.95 GB) NTFS

==================== MBR & Partition Table ==================

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: CF4EE9CC)

Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=931.4 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Compartilhar este post


Link para o post
Compartilhar em outros sites

Herweg,

 

Algum problema em anexar os logs?

 

Baixe o anexo deste post e salve-o no desktop.

Execute o FRST64.exe e clique no botão Fix.

Aguarde e ao final, o log Fixlog.txt será salvo no seu desktop.

Anexe o log na sua próxima resposta.

fixlist.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

CarlosTurco,

 

Eu baixei e salvei o "fixlist.txt" no meu desktop, mas, durante a execução do FRST64, surgiu a mensagem "Não está respondendo" por várias vezes. O programa continuou rodando por um bom tempo e, mesmo sem acusar o término do conserto, o arquivo "Fixlog.txt" surgiu do nada. Eu o movi para uma pasta onde salvei todos os logs e outro, exatamente igual, foi automaticamente gerado no desktop.

 

O programa continuou rodando por horas, sem concluir, e eu fui obrigado a interrompê-lo à força com o "Gerenciador de Tarefas do Windows".

 

De qualquer forma, segue, em anexo, o log gerado. Se você preferir que eu rode o programa novamente, é só me avisar.

 

Quanto a colar os logs, eu achava que dessa forma estava ajudando. Eu sempre costumei fazer isso aqui no FCdH, mas pode deixar que eu vou passar a somente anexar daqui em diante.

Fixlog.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o download do Windows Repair Portable.
http://www.bleepingc...ortable/dl/266/
 
Extrai os arquivos para área de trabalho.

Execute o arquivo Repair_Windows.exe para iniciar a ferramenta.

Clique na aba Repairs > Certifique que a opção Automatically do a registry backup esteja marcada.
 
2dp7xx.png

Clique no botão Open Repairs.
 
Em seguida deixe marcado como está na imagem e dê o Start Repairs.

2h3bl7o.png

Aguarde e ao término o PC será reiniciado.
 
Poste o log gerado na pasta do programa.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

1)

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe 1268r49.png e salve no desktop. Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

* No Windows Vista e Windows 7:

Clique com o direito sobre o JRT.exe e selecione run_as_adm1.png

A ferramenta começara o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Anexe o log na sua próxima resposta.

2)

 

Desative temporiariamente seu AntiVirus

  • Segure o botão Ctrl e clique neste link para abrir o ESET Online Scanner em uma nova janela.
  • Clique neste botão: j9Byf.png?1
  • Para navegadores alternativos: (Caso use o Internet Explorer, pule esta etapa)esetsmartinstaller_enu.png
    • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop.
    • Duplo clique no ícone em seu desktop.
  • Marque "YES, I accept the Terms of Use."
  • Clique em Start.
  • Aceite qualquer aviso de segurança de seu browser.
  • Em scan settings, marque "Scan Archives" e "Remove found threats"
  • Clique em Advanced settings e marque o seguinte:
    • Scan potentially unwanted applications
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Clique Change e marque também a caixa Computador.
  • Clique em Start.
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Export to text file e salve o log na sua área de trabalho.
  • Clique em Back.
  • Clique em Finish.
  • Anexe o conteúdo do log.
  •  

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue, em anexo, o log do JRT e do ESET.

Algumas informações:

Antes de recorrer ao FCdH, eu fui obrigado a desinstalar o meu Avast! Antivirus. O programa passou a dar erro constantemente, deixou o Windows muito lento e eu não estava conseguindo entrar em "Modo de Segurança", porque o computador travava na hora de carregar os arquivos desse antivírus.

O ESET identificou o instalador do CPUID HWMonitor, um software de monitoramento de temperaturas, como uma aplicação potencialmente insegura.

JRT.txt

ESET.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Herweg,

 

Sugiro a leitura: http://www.linhadefensiva.org/2013/03/alerta-da-linha-instalador-baixaki-e-outros-sites-de-download/

 

Para finalizar:
 
# Etapa nº 1 #


Baixe o Delfix by Xplode e salve na sua área de trabalho.

Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo delfix.exe, depois clique em execadmin.png.

2mez6ld.png

Clique no botão Executar.

Ao final será gerado um log, mas não é necessário postar.

 

# Etapa nº 2 #

 

Atualize o Java.
 
Atenção: Desinstale TODAS as versões antigas do Java.

  • Feche todos os programas especialmente o seu Navegador (IE, Firefox etc).
  • Acesse o site Java para Windows
  • Clique em 4531602912_e9606174d3_o.gif
  • Na janela que surgir clique em Executar;
  • Siga os procedimentos de instalação.

 
# Etapa nº 3 #
 
<<@>> Instale o CCleaner
 
O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner

 

IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!

  • Abra o programa e clique em Executar Limpeza;
  • clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...

Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!
<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!
 
Abraços. thumbsup.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites

CarlosTurco,

 

Eu executei o Delfix e ele não deletou o GMER nem o MBAM. Até aí tudo bem, mas, em seguida, quando eu fui tentar desinstalar manualmente o Java, deu erro.

 

E agora?

Compartilhar este post


Link para o post
Compartilhar em outros sites

CarlosTurco,

 

Quando liguei novamente o PC, a desinstalação do Java funcionou. Eu, então, baixei a nova versão e também baixei e executei o CCleaner.

 

A questão é que eu continuo com os problemas de antes e outros novos apareceram. O MS Word ora funciona, ora não, assim como outros programas. Em alguns momentos, o SO chega a me perguntar se eu não quero remover o programa da lista, pois ele não estaria instalado. Depois eu reinicio e tudo volta ao normal.

 

Além disso, estão aparecendo as extensões de todos os arquivos, sem que eu tenha feito qualquer alteração nas configurações para que elas fossem mostradas.

 

Se eu pelo menos conseguir fazer o backup dos meus arquivos eu ficarei satisfeito. Quando eu abri esse tópico, eu informei sobre uma pasta que não mostra todos os seus arquivos, embora eles não estejam ocultos e o número correto deles esteja indicado em "Propriedades". O próprio log do GMER citou alguns desses arquivos.

 

O que você me sugere?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Herweg,

Seus problemas não estão relacionado com infecção (malware).
 

Quando eu abri esse tópico, eu informei sobre uma pasta que não mostra todos os seus arquivos,

 
Seria essa pasta? "C:\Users\Herweg\Downloads\My Sighting"

Compartilhar este post


Link para o post
Compartilhar em outros sites

CarlosTurco,

Sim, exatamente. Por que o GMER a citou?

Eu imaginei que após ter rodado o Windows Repair e ter removido os malwares o computador ficaria bom. Além dos problemas que eu já disse, sempre que ligo o computador, o Chkdsk é automaticamente iniciado e, se eu esperar até o final, dá erro.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Além dos problemas que eu já disse, sempre que ligo o computador, o Chkdsk é automaticamente iniciado e, se eu esperar até o final, dá erro.

 

O log do FRST, mostra possível problema no seu HD.

 

Sim, exatamente. Por que o GMER a citou?

Devido os arquivos estarem ocultos.

 

Execute o passo abaixo e veja se tem acesso a pasta.

 

Baixe o anexo deste post e salve-o no desktop.

Execute o FRST64.exe e clique no botão Fix.

Aguarde e ao final, o log Fixlog.txt será salvo no seu desktop.

Anexe o log na sua próxima resposta.

fixlist.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Na verdade, eu consigo acessar a pasta, mas não consigo visualizar todos os arquivos. Eu também já executei o FRST e nada mudou (segue o log em anexo). Durante a execução, surgiu uma caixa de diálogo dizendo que um dos arquivos da tal pasta estava corrompido. Depois, o conserto seguiu normalmente até o programa informar que teria que reiniciar o computador.

 

Como eu disse quando abri o tópico, se eu for movendo os arquivos aos poucos, os que antes não apareciam surgem do nada. Porém, chegou a um ponto em que isso não foi mais possível.

 

Outra questão: é possível fazer a execução automática do Chkdsk parar?

Fixlog.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

CASO RESOLVIDO!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×