Ir ao conteúdo
  • Cadastre-se
Alex Braga

Arquivo infectado retornando a cada boot

Recommended Posts

Pessoal, tudo bom?

 

Recentemente o BitDefender detectou infecção no seguinte local: C:\ProgramData\winnit.exe

O malware detectado foi o Gen:Variant.Kazy.613486

 

Inicialmente o BitDefender alega ter bloqueado o arquivo e solicita um reboot para completar o processo de remoção. Acontece que o arquivo sempre volta e o processo se reinicia.

Realizei o procedimento com o ZA-Scan. Como o BitDefender detecta a infecção pouco depois que o Windows inicia, não sei se vou precisar refazer o scan para que ele revele o problema, enfim... aguardo novas instruções sobre o que fazer.

 

Obrigado desde já!

 

PS: o BitDefender estava desativado no momento do scan, conforme a instrução, mas não totalmente interrompido [como se eu tivesse aberto o gerenciador de tarefas e finalizado o processo]. Se for preciso retomar o procedimento com o BitDefender totalmente inativo mesmo, me avisem

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá @Alex Braga

 

Por favor, atente para o seguinte:
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

1)

 

Faça o download do Farbar Service Scanner e salve em seu Desktop
 

  • Marque as caixas:
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
  • Clique em Scan
  • Será criado um log (FSS.txt) no Desktop
  • Anexe o do log em sua próxima resposta.

2)

 

Baixe o RogueKiller e salve em sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Execute o arquivo RogueKiller.exe.

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo RogueKiller.exe, depois clique em execadmin.png.

Clique no botão Scan e aguarde o exame finalizar.

Clique no botão Relatório. Abrirá um bloco de notas com informações.

Anexe-o na sua próxima resposta.

OBS: não use o botão Deletar pois precisamos avaliar os itens antes de fazer isso.

 

 

3)

 

Baixe MbrScan.exe by Eric_71 > salve no desktop.

 

Dê um duplo-clique para executar a ferramenta. Clique no botão Scan. Ao final do exame clique no botão Report. Abrirá um bloco de notas com o resultado do exame. É salvo no desktop com o nome de MbrScan.log.

 

Selecione, copie e cole o seu conteúdo na próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Carlos, tudo bom?

Obrigado pelo retorno.

 

O MbrScan gerou 3 arquivos .mbr na área de trabalho durante o scan. Eles podem ser excluídos ou não?

 

Segue abaixo o log do MbrScan e os outros dois anexados no post:

[por alguma razão, cada arquivo foi anexado 2 vezes. Tentei editar o post para excluir os anexos adicionais, mas o botão para usar o editor completo não está funcionando]

 

MBRScan v1.1.1 OS             : Windows 7 Service Pack 1 (64 bit)PROCESSOR      : Intel64 Family 6 Model 26 Stepping 4, GenuineIntelBOOT           : Normal BootDATE           : 2015/06/14 (ISO 8601) at 15:23:13________________________________________________________________________________ DISK           : Device\Harddisk0\DR0 __ST3400833AS (3.AAH)BUS_TYPE       : (0x03)  P-ATAUSE_PIO        : NOMAX_TRANSFER   : 128 KbALIGNMENT_MASK : word aligned________________________________________________________________________________ DISK           : Device\Harddisk1\DR1 __WDC WD5000AAKS-00A7B0 (01.03B01)BUS_TYPE       : (0x03)  P-ATAUSE_PIO        : NOMAX_TRANSFER   : 128 KbALIGNMENT_MASK : word aligned________________________________________________________________________________ DISK           : Device\Harddisk2\DR2 __WDC WD5000AAKX-001CA0 (15.01H15)BUS_TYPE       : (0x03)  P-ATAUSE_PIO        : NOMAX_TRANSFER   : 128 KbALIGNMENT_MASK : word aligned________________________________________________________________________________ Device\Harddisk0\DR0 372.6 Go  [Fixed] ==> 7 MBR Code MBR_MD5   : 737AECCAE421F5F016AD50BB5CA2DB71MBR_SHA1  : 3A092E5B2A29EF005C21B1803237D023AC86C335 Device\Harddisk0\Partition1 372.6 Go   0x07 NTFS / HPFS________________________________________________________________________________ Device\Harddisk1\DR1 465.8 Go  [Fixed] ==> 7 MBR Code MBR_MD5   : 934152F8F969AAC30CDF4FE3D49FFD71MBR_SHA1  : A5358E8E270172956DE314FCC6A2CDC0B6DD3FAA Device\Harddisk1\Partition1 241.1 Go   0x07 NTFS / HPFS __ BOOTABLE __Device\Harddisk1\Partition2 224.6 Go   0x07 NTFS / HPFS________________________________________________________________________________ Device\Harddisk2\DR2 465.8 Go  [Fixed] ==> 7 MBR Code MBR_MD5   : 113B838FD5D5204B07EE4C74D14C640CMBR_SHA1  : 7CDC0817007A9CD49B0108179EF0C5EDCFCA7337 Device\Harddisk2\Partition1 368.1 Go   0x07 NTFS / HPFSDevice\Harddisk2\Partition2 97.66 Go   0x07 NTFS / HPFS________________________________________________________________________________ ############################### Additional scan ################################ DRIVER  : C:\Windows\system32\hal.dll => Invisible on the diskADDRESS : 0x035EA000SIZE    : 292.0 Ko DRIVER  : C:\Windows\system32\kdcom.dll => Invisible on the diskADDRESS : 0x00BD2000SIZE    : 40.0 Ko DRIVER  : C:\Windows\system32\mcupdate_GenuineIntel.dll => Invisible on the diskADDRESS : 0x00CBC000SIZE    : 316.0 Ko DRIVER  : C:\Windows\system32\CLFS.SYS => Invisible on the diskADDRESS : 0x00D1F000SIZE    : 376.0 Ko DRIVER  : C:\Windows\system32\CI.dll => Invisible on the diskADDRESS : 0x00E1F000SIZE    : 768.0 Ko DRIVER  : C:\Windows\system32\drivers\Wdf01000.sys => Invisible on the diskADDRESS : 0x00EDF000SIZE    : 776.0 Ko DRIVER  : C:\Windows\system32\drivers\WDFLDR.SYS => Invisible on the diskADDRESS : 0x00FA1000SIZE    : 64.0 Ko DRIVER  : C:\Windows\System32\Drivers\sptd.sys => Invisible on the diskADDRESS : 0x01060000SIZE    : 1.45 Mo DRIVER  : C:\Windows\system32\drivers\ACPI.sys => Invisible on the diskADDRESS : 0x01000000SIZE    : 348.0 Ko DRIVER  : C:\Windows\system32\drivers\WMILIB.SYS => Invisible on the diskADDRESS : 0x01057000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\drivers\msisadrv.sys => Invisible on the diskADDRESS : 0x011D4000SIZE    : 40.0 Ko DRIVER  : C:\Windows\system32\drivers\vdrvroot.sys => Invisible on the diskADDRESS : 0x011DE000SIZE    : 52.0 Ko DRIVER  : C:\Windows\system32\drivers\pci.sys => Invisible on the diskADDRESS : 0x00FB1000SIZE    : 204.0 Ko DRIVER  : C:\Windows\System32\drivers\partmgr.sys => Invisible on the diskADDRESS : 0x011EB000SIZE    : 84.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\trufos.sys => Invisible on the diskADDRESS : 0x00D7D000SIZE    : 480.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\FLTMGR.SYS => Invisible on the diskADDRESS : 0x00C00000SIZE    : 304.0 Ko DRIVER  : C:\Windows\system32\drivers\volmgr.sys => Invisible on the diskADDRESS : 0x00FE4000SIZE    : 84.0 Ko DRIVER  : C:\Windows\System32\drivers\volmgrx.sys => Invisible on the diskADDRESS : 0x00C4C000SIZE    : 368.0 Ko DRIVER  : C:\Windows\system32\drivers\pciide.sys => Invisible on the diskADDRESS : 0x00FF9000SIZE    : 28.0 Ko DRIVER  : C:\Windows\system32\drivers\PCIIDEX.SYS => Invisible on the diskADDRESS : 0x00E00000SIZE    : 64.0 Ko DRIVER  : C:\Windows\System32\drivers\mountmgr.sys => Invisible on the diskADDRESS : 0x012BC000SIZE    : 104.0 Ko DRIVER  : C:\Windows\system32\drivers\vmbus.sys => Invisible on the diskADDRESS : 0x012D6000SIZE    : 240.0 Ko DRIVER  : C:\Windows\system32\drivers\winhv.sys => Invisible on the diskADDRESS : 0x01312000SIZE    : 80.0 Ko DRIVER  : C:\Windows\system32\drivers\atapi.sys => Invisible on the diskADDRESS : 0x01326000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\drivers\ataport.SYS => Invisible on the diskADDRESS : 0x0132F000SIZE    : 168.0 Ko DRIVER  : C:\Windows\system32\drivers\amdxata.sys => Invisible on the diskADDRESS : 0x01359000SIZE    : 44.0 Ko DRIVER  : C:\Windows\system32\drivers\fileinfo.sys => Invisible on the diskADDRESS : 0x01364000SIZE    : 80.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\avc3.sys => Invisible on the diskADDRESS : 0x01457000SIZE    : 1.27 Mo DRIVER  : C:\Windows\system32\DRIVERS\gzflt.sys => Invisible on the diskADDRESS : 0x0159D000SIZE    : 212.0 Ko DRIVER  : C:\Windows\System32\Drivers\Ntfs.sys => Invisible on the diskADDRESS : 0x0163D000SIZE    : 1.66 Mo DRIVER  : C:\Windows\System32\Drivers\msrpc.sys => Invisible on the diskADDRESS : 0x01378000SIZE    : 376.0 Ko DRIVER  : C:\Windows\System32\Drivers\ksecdd.sys => Invisible on the diskADDRESS : 0x01600000SIZE    : 108.0 Ko DRIVER  : C:\Windows\System32\Drivers\cng.sys => Invisible on the diskADDRESS : 0x01200000SIZE    : 456.0 Ko DRIVER  : C:\Windows\System32\drivers\pcw.sys => Invisible on the diskADDRESS : 0x0161B000SIZE    : 68.0 Ko DRIVER  : C:\Windows\System32\Drivers\Fs_Rec.sys => Invisible on the diskADDRESS : 0x0162C000SIZE    : 40.0 Ko DRIVER  : C:\Windows\system32\drivers\ndis.sys => Invisible on the diskADDRESS : 0x01854000SIZE    : 968.0 Ko DRIVER  : C:\Windows\system32\drivers\NETIO.SYS => Invisible on the diskADDRESS : 0x01946000SIZE    : 384.0 Ko DRIVER  : C:\Windows\System32\Drivers\ksecpkg.sys => Invisible on the diskADDRESS : 0x019A6000SIZE    : 176.0 Ko DRIVER  : C:\Windows\System32\drivers\tcpip.sys => Invisible on the diskADDRESS : 0x01A00000SIZE    : 2.00 Mo DRIVER  : C:\Windows\System32\drivers\fwpkclnt.sys => Invisible on the diskADDRESS : 0x01800000SIZE    : 292.0 Ko DRIVER  : C:\Windows\system32\drivers\vmstorfl.sys => Invisible on the diskADDRESS : 0x019D2000SIZE    : 64.0 Ko DRIVER  : C:\Windows\system32\drivers\volsnap.sys => Invisible on the diskADDRESS : 0x01400000SIZE    : 304.0 Ko DRIVER  : C:\Windows\System32\Drivers\spldr.sys => Invisible on the diskADDRESS : 0x019E2000SIZE    : 32.0 Ko DRIVER  : C:\Windows\System32\drivers\rdyboost.sys => Invisible on the diskADDRESS : 0x01272000SIZE    : 232.0 Ko DRIVER  : C:\Windows\System32\Drivers\mup.sys => Invisible on the diskADDRESS : 0x019EA000SIZE    : 72.0 Ko DRIVER  : C:\Windows\System32\drivers\hwpolicy.sys => Invisible on the diskADDRESS : 0x01849000SIZE    : 36.0 Ko DRIVER  : C:\Windows\System32\DRIVERS\fvevol.sys => Invisible on the diskADDRESS : 0x01C0B000SIZE    : 232.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\disk.sys => Invisible on the diskADDRESS : 0x01C45000SIZE    : 88.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\CLASSPNP.SYS => Invisible on the diskADDRESS : 0x01C5B000SIZE    : 192.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\cdrom.sys => Invisible on the diskADDRESS : 0x01CC1000SIZE    : 168.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\RsFx0153.sys => Invisible on the diskADDRESS : 0x01CEB000SIZE    : 324.0 Ko DRIVER  : C:\Windows\System32\Drivers\Null.SYS => Invisible on the diskADDRESS : 0x01D3C000SIZE    : 36.0 Ko DRIVER  : C:\Windows\System32\Drivers\Beep.SYS => Invisible on the diskADDRESS : 0x01D45000SIZE    : 28.0 Ko DRIVER  : C:\Windows\System32\drivers\vga.sys => Invisible on the diskADDRESS : 0x01D4C000SIZE    : 56.0 Ko DRIVER  : C:\Windows\System32\drivers\VIDEOPRT.SYS => Invisible on the diskADDRESS : 0x01D5A000SIZE    : 148.0 Ko DRIVER  : C:\Windows\System32\drivers\watchdog.sys => Invisible on the diskADDRESS : 0x01D7F000SIZE    : 64.0 Ko DRIVER  : C:\Windows\System32\DRIVERS\RDPCDD.sys => Invisible on the diskADDRESS : 0x01D8F000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\drivers\rdpencdd.sys => Invisible on the diskADDRESS : 0x01D98000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\drivers\rdprefmp.sys => Invisible on the diskADDRESS : 0x01DA1000SIZE    : 36.0 Ko DRIVER  : C:\Windows\System32\Drivers\Msfs.SYS => Invisible on the diskADDRESS : 0x01DAA000SIZE    : 44.0 Ko DRIVER  : C:\Windows\System32\Drivers\Npfs.SYS => Invisible on the diskADDRESS : 0x01DB5000SIZE    : 68.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\tdx.sys => Invisible on the diskADDRESS : 0x013D6000SIZE    : 136.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\TDI.SYS => Invisible on the diskADDRESS : 0x01DF2000SIZE    : 52.0 Ko DRIVER  : C:\Windows\system32\drivers\afd.sys => Invisible on the diskADDRESS : 0x048F5000SIZE    : 548.0 Ko DRIVER  : C:\Windows\System32\DRIVERS\netbt.sys => Invisible on the diskADDRESS : 0x0497E000SIZE    : 276.0 Ko DRIVER  : C:\Windows\system32\drivers\ws2ifsl.sys => Invisible on the diskADDRESS : 0x049C3000SIZE    : 44.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\wfplwf.sys => Invisible on the diskADDRESS : 0x049CE000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\pacer.sys => Invisible on the diskADDRESS : 0x049D7000SIZE    : 152.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\netbios.sys => Invisible on the diskADDRESS : 0x04800000SIZE    : 60.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\wanarp.sys => Invisible on the diskADDRESS : 0x0480F000SIZE    : 108.0 Ko DRIVER  : C:\Windows\system32\drivers\termdd.sys => Invisible on the diskADDRESS : 0x0482A000SIZE    : 80.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\rdbss.sys => Invisible on the diskADDRESS : 0x0483E000SIZE    : 324.0 Ko DRIVER  : C:\Windows\system32\drivers\nsiproxy.sys => Invisible on the diskADDRESS : 0x0488F000SIZE    : 48.0 Ko DRIVER  : C:\Windows\system32\drivers\mssmbios.sys => Invisible on the diskADDRESS : 0x0489B000SIZE    : 44.0 Ko DRIVER  : C:\Windows\System32\drivers\discache.sys => Invisible on the diskADDRESS : 0x048C4000SIZE    : 60.0 Ko DRIVER  : C:\Windows\system32\drivers\csc.sys => Invisible on the diskADDRESS : 0x04CA9000SIZE    : 524.0 Ko DRIVER  : C:\Windows\System32\Drivers\dfsc.sys => Invisible on the diskADDRESS : 0x04D2C000SIZE    : 120.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\blbdrive.sys => Invisible on the diskADDRESS : 0x04D4A000SIZE    : 68.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\bdvedisk.sys => Invisible on the diskADDRESS : 0x04D5B000SIZE    : 88.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\tunnel.sys => Invisible on the diskADDRESS : 0x04D71000SIZE    : 152.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\intelppm.sys => Invisible on the diskADDRESS : 0x04D97000SIZE    : 88.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\nvlddmkm.sys => Invisible on the diskADDRESS : 0x0F400000SIZE    : 12.60 Mo DRIVER  : C:\Windows\System32\drivers\dxgkrnl.sys => Invisible on the diskADDRESS : 0x10099000SIZE    : 980.0 Ko DRIVER  : C:\Windows\System32\drivers\dxgmms1.sys => Invisible on the diskADDRESS : 0x1018E000SIZE    : 280.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\e1y62x64.sys => Invisible on the diskADDRESS : 0x04DAD000SIZE    : 304.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\usbuhci.sys => Invisible on the diskADDRESS : 0x101D4000SIZE    : 52.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\USBPORT.SYS => Invisible on the diskADDRESS : 0x04C00000SIZE    : 344.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\usbehci.sys => Invisible on the diskADDRESS : 0x101E1000SIZE    : 72.0 Ko DRIVER  : C:\Windows\system32\drivers\ctaud2k.sys => Invisible on the diskADDRESS : 0x04E91000SIZE    : 668.0 Ko DRIVER  : C:\Windows\system32\drivers\portcls.sys => Invisible on the diskADDRESS : 0x04F38000SIZE    : 244.0 Ko DRIVER  : C:\Windows\system32\drivers\drmk.sys => Invisible on the diskADDRESS : 0x04F75000SIZE    : 136.0 Ko DRIVER  : C:\Windows\system32\drivers\ks.sys => Invisible on the diskADDRESS : 0x04F97000SIZE    : 268.0 Ko DRIVER  : C:\Windows\system32\drivers\ctoss2k.sys => Invisible on the diskADDRESS : 0x04E00000SIZE    : 196.0 Ko DRIVER  : C:\Windows\system32\drivers\ctprxy2k.sys => Invisible on the diskADDRESS : 0x04E31000SIZE    : 32.0 Ko DRIVER  : C:\Windows\system32\drivers\ksthunk.sys => Invisible on the diskADDRESS : 0x04E39000SIZE    : 24.0 Ko DRIVER  : C:\Windows\system32\drivers\1394ohci.sys => Invisible on the diskADDRESS : 0x04E3F000SIZE    : 248.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\fdc.sys => Invisible on the diskADDRESS : 0x04E7D000SIZE    : 52.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\intelsmb.sys => Invisible on the diskADDRESS : 0x04FDA000SIZE    : 36.0 Ko DRIVER  : C:\Windows\System32\Drivers\awrukxfa.SYS => Invisible on the diskADDRESS : 0x04C56000SIZE    : 324.0 Ko DRIVER  : C:\Windows\System32\Drivers\SCSIPORT.SYS => Invisible on the diskADDRESS : 0x052FC000SIZE    : 188.0 Ko DRIVER  : C:\Windows\system32\drivers\wmiacpi.sys => Invisible on the diskADDRESS : 0x0532B000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\drivers\CompositeBus.sys => Invisible on the diskADDRESS : 0x05334000SIZE    : 64.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\vncmirror.sys => Invisible on the diskADDRESS : 0x05344000SIZE    : 28.0 Ko DRIVER  : C:\Windows\system32\drivers\dfx11_1x64.sys => Invisible on the diskADDRESS : 0x0534B000SIZE    : 40.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\AgileVpn.sys => Invisible on the diskADDRESS : 0x05355000SIZE    : 88.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\rasl2tp.sys => Invisible on the diskADDRESS : 0x0536B000SIZE    : 144.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\ndistapi.sys => Invisible on the diskADDRESS : 0x0538F000SIZE    : 48.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\ndiswan.sys => Invisible on the diskADDRESS : 0x0539B000SIZE    : 188.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\raspppoe.sys => Invisible on the diskADDRESS : 0x053CA000SIZE    : 108.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\raspptp.sys => Invisible on the diskADDRESS : 0x05200000SIZE    : 132.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\rassstp.sys => Invisible on the diskADDRESS : 0x05221000SIZE    : 104.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\appliand.sys => Invisible on the diskADDRESS : 0x0523B000SIZE    : 44.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\rdpbus.sys => Invisible on the diskADDRESS : 0x05246000SIZE    : 44.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\kbdclass.sys => Invisible on the diskADDRESS : 0x05251000SIZE    : 60.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\mouclass.sys => Invisible on the diskADDRESS : 0x05260000SIZE    : 60.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\seehcri.sys => Invisible on the diskADDRESS : 0x0526F000SIZE    : 48.0 Ko DRIVER  : C:\Windows\system32\drivers\swenum.sys => Invisible on the diskADDRESS : 0x0527B000SIZE    : 8.0 Ko DRIVER  : C:\Windows\system32\drivers\LGBusEnum.sys => Invisible on the diskADDRESS : 0x0527D000SIZE    : 16.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\avchv.sys => Invisible on the diskADDRESS : 0x05281000SIZE    : 276.0 Ko DRIVER  : C:\Windows\system32\drivers\umbus.sys => Invisible on the diskADDRESS : 0x052C6000SIZE    : 72.0 Ko DRIVER  : C:\Windows\system32\drivers\nvvad64v.sys => Invisible on the diskADDRESS : 0x052D8000SIZE    : 52.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\usbhub.sys => Invisible on the diskADDRESS : 0x056AA000SIZE    : 360.0 Ko DRIVER  : C:\Windows\system32\drivers\ha20x2k.sys => Invisible on the diskADDRESS : 0x06404000SIZE    : 1.50 Mo DRIVER  : C:\Windows\System32\Drivers\NDProxy.SYS => Invisible on the diskADDRESS : 0x06585000SIZE    : 84.0 Ko DRIVER  : C:\Windows\system32\drivers\emupia2k.sys => Invisible on the diskADDRESS : 0x0659A000SIZE    : 296.0 Ko DRIVER  : C:\Windows\system32\drivers\ctsfm2k.sys => Invisible on the diskADDRESS : 0x05704000SIZE    : 224.0 Ko DRIVER  : C:\Windows\system32\drivers\ctac32k.sys => Invisible on the diskADDRESS : 0x0573C000SIZE    : 696.0 Ko DRIVER  : C:\Windows\System32\drivers\CTHWIUT.SYS => Invisible on the diskADDRESS : 0x065E4000SIZE    : 108.0 Ko DRIVER  : C:\Windows\System32\drivers\CT20XUT.SYS => Invisible on the diskADDRESS : 0x05600000SIZE    : 212.0 Ko DRIVER  : C:\Windows\System32\drivers\CTEXFIFX.SYS => Invisible on the diskADDRESS : 0x06859000SIZE    : 1.36 Mo DRIVER  : C:\Windows\System32\win32k.sys => Invisible on the diskADDRESS : 0x00020000SIZE    : 3.13 Mo DRIVER  : C:\Windows\System32\drivers\Dxapi.sys => Invisible on the diskADDRESS : 0x069B6000SIZE    : 48.0 Ko DRIVER  : C:\Windows\System32\Drivers\crashdmp.sys => Invisible on the diskADDRESS : 0x069C2000SIZE    : 56.0 Ko DRIVER  : C:\Windows\System32\Drivers\dump_dumpata.sys => Invisible on the diskADDRESS : 0x069D0000SIZE    : 48.0 Ko DRIVER  : C:\Windows\System32\Drivers\dump_atapi.sys => Invisible on the diskADDRESS : 0x069DC000SIZE    : 36.0 Ko DRIVER  : C:\Windows\System32\Drivers\dump_dumpfve.sys => Invisible on the diskADDRESS : 0x069E5000SIZE    : 76.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\dccmtr.sys => Invisible on the diskADDRESS : 0x06800000SIZE    : 40.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\USBSTOR.SYS => Invisible on the diskADDRESS : 0x0680A000SIZE    : 108.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\USBD.SYS => Invisible on the diskADDRESS : 0x06825000SIZE    : 8.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\LGSUsbFilt.Sys => Invisible on the diskADDRESS : 0x06827000SIZE    : 64.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\hidusb.sys => Invisible on the diskADDRESS : 0x06837000SIZE    : 56.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\HIDCLASS.SYS => Invisible on the diskADDRESS : 0x05635000SIZE    : 100.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\HIDPARSE.SYS => Invisible on the diskADDRESS : 0x06845000SIZE    : 36.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\LGSHidFilt.Sys => Invisible on the diskADDRESS : 0x0564E000SIZE    : 84.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\mouhid.sys => Invisible on the diskADDRESS : 0x05663000SIZE    : 52.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\monitor.sys => Invisible on the diskADDRESS : 0x05670000SIZE    : 56.0 Ko DRIVER  : C:\Windows\System32\TSDDD.dll => Invisible on the diskADDRESS : 0x004F0000SIZE    : 40.0 Ko DRIVER  : C:\Windows\System32\cdd.dll => Invisible on the diskADDRESS : 0x00640000SIZE    : 156.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\usbccgp.sys => Invisible on the diskADDRESS : 0x0567E000SIZE    : 116.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\kbdhid.sys => Invisible on the diskADDRESS : 0x0569B000SIZE    : 56.0 Ko DRIVER  : C:\Windows\system32\drivers\luafv.sys => Invisible on the diskADDRESS : 0x01C8B000SIZE    : 140.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\avckf.sys => Invisible on the diskADDRESS : 0x09206000SIZE    : 676.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\lltdio.sys => Invisible on the diskADDRESS : 0x092AF000SIZE    : 84.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\rspndr.sys => Invisible on the diskADDRESS : 0x092C4000SIZE    : 96.0 Ko DRIVER  : C:\Windows\system32\drivers\HTTP.sys => Invisible on the diskADDRESS : 0x092DC000SIZE    : 804.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\bowser.sys => Invisible on the diskADDRESS : 0x093A5000SIZE    : 120.0 Ko DRIVER  : C:\Windows\System32\drivers\mpsdrv.sys => Invisible on the diskADDRESS : 0x093C3000SIZE    : 96.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\mrxsmb.sys => Invisible on the diskADDRESS : 0x0967C000SIZE    : 180.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\mrxsmb10.sys => Invisible on the diskADDRESS : 0x096A9000SIZE    : 312.0 Ko DRIVER  : C:\Windows\system32\DRIVERS\mrxsmb20.sys => Invisible on the diskADDRESS : 0x096F7000SIZE    : 144.0 Ko DRIVER  : C:\Windows\system32\drivers\npf.sys => Invisible on the diskADDRESS : 0x09726000SIZE    : 60.0 Ko DRIVER  : C:\Windows\system32\drivers\LGVirHid.sys => Invisible on the diskADDRESS : 0x09735000SIZE    : 12.0 Ko DRIVER  : C:\Windows\system32\drivers\peauth.sys => Invisible on the diskADDRESS : 0x09738000SIZE    : 664.0 Ko DRIVER  : C:\Windows\System32\Drivers\secdrv.SYS => Invisible on the diskADDRESS : 0x097DE000SIZE    : 44.0 Ko DRIVER  : C:\Windows\System32\DRIVERS\srvnet.sys => Invisible on the diskADDRESS : 0x09600000SIZE    : 196.0 Ko DRIVER  : C:\Windows\System32\drivers\tcpipreg.sys => Invisible on the diskADDRESS : 0x09631000SIZE    : 72.0 Ko DRIVER  : C:\Windows\System32\DRIVERS\srv2.sys => Invisible on the diskADDRESS : 0x0CB42000SIZE    : 420.0 Ko DRIVER  : C:\Windows\System32\DRIVERS\srv.sys => Invisible on the diskADDRESS : 0x0CA00000SIZE    : 608.0 Ko DRIVER  : C:\Windows\system32\WinDivert64.sys => Invisible on the diskADDRESS : 0x0CAA2000SIZE    : 56.0 Ko DRIVER  : C:\Windows\system32\drivers\WudfPf.sys => Invisible on the diskADDRESS : 0x0CBE1000SIZE    : 100.0 Ko DRIVER  : C:\Windows\System32\smss.exe => Invisible on the diskADDRESS : 0x47EE0000SIZE    : 128.0 Ko BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020) SystemStartOptions :  NOEXECUTE=OPTIN ________________________________________________________________________________ _______MBR   \Device\Harddisk0\DR0   0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.faz.þ0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst0x000001B0   65 6D 00 00 00 63 7B 9A 70 9C 11 65 00 00 00 20   em...c{.p..e... 0x000001C0   21 00 07 DF FF FF 00 08 00 00 00 80 93 2E 00 00   !..ß............0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª _______MBR   \Device\Harddisk1\DR1   0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.faz.þ0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst0x000001B0   65 6D 00 00 00 63 7B 9A 47 33 0C B4 00 00 80 20   em...c{.G3.´... 0x000001C0   21 00 07 FE FF FF 00 08 00 00 F8 C7 24 1E 00 FE   !..þ......øÇ$..þ0x000001D0   FF FF 07 FE FF FF 00 D0 24 1E 00 80 13 1C 00 00   ...þ...Ð$.......0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª _______MBR   \Device\Harddisk2\DR2   0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.faz.þ0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst0x000001B0   65 6D 00 00 00 63 7B 9A C0 BD 4B E1 00 00 00 20   em...c{.À½Ká... 0x000001C0   21 00 07 FE FF FF 00 08 00 00 00 48 03 2E 00 FE   !..þ.......H...þ0x000001D0   FF FF 07 FE FF FF 00 50 03 2E 00 00 35 0C 00 00   ...þ...P....5...0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª

FSS.txt

RKreport_SCN_06142015_150731.log

FSS.txt

RKreport_SCN_06142015_150731.log

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Eles podem ser excluídos ou não?

 

Por enquanto não, ao final vamos utilizar um ferramenta que vai fazer isso.

 

Baixe o 51a5f31352b88-icon_MBAR.pngMalwarebytes Anti-Rootkit (MBAR)

Extraia o arquivos para sua área de trabalho

  • Acesse a pasta mbar e execute o arquivo mbar.exe
  • Clique no botão Next, depois em Update,
  • Clique novamente em Next, e em seguida em Scan.
  • Ao final, Não clique no Cleanup, basta apenas sair do programa.
  • Anexe os logs mbar-log.txt e system-log.txt , localizado na pasta mbar

Compartilhar este post


Link para o post
Compartilhar em outros sites

Procedimento realizado! Seguem os logs em anexo.

 

Estranho é que tanto no RogueKiller quanto no MBAR eu não vi o winnit.exe sendo identificado nos resultados. Será porque meu antivirus está limpando o arquivo logo que o Windows inicia e quando os scans são feitos eles já não conseguem identificar os rastros dele?

mbar-log-2015-06-15 (15-19-30).txt

system-log.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

 

Baixe o anexo desse post e salve no mesmo local do ZA-Scan.

 

Execute novamente o ZA-Scan.exe, aguarde e ao final anexe o log gerado

 

zascript.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

1)
 
Baixe o AdwCleaner e salve no desktop.
https://toolslib.net...loads/finish/1/

Execute o arquivo adwcleaner.exe

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo adwcleaner.exe, depois clique em execadmin.png.

Clique no botão Examinar e aguarde o exame finalizar.

Clique no botão Limpar.

Abrirá um bloco de notas com o resultado. Anexe o log na sua próxima resposta.

NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.
 
2)

 

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe 1268r49.png e salve no desktop. Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

* No Windows Vista e Windows 7:

Clique com o direito sobre o JRT.exe e selecione run_as_adm1.png

A ferramenta começara o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Anexe o log na sua próxima resposta.

 

3)

 

Baixe a Malwarebytes' Anti-Malware (MBAM).
 
Dê um duplo-clique no mbam-setup.exe para instalar o programa.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas..
  • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
  • Volte ao Painel e por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Logs de aplicativos na janela principal do programa.
  • Dê um duplo-clique no log (Scan log). Utilize o formato .txt para exportar o log.
  • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
  • Anexe o log na sua próxima resposta.

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antes de executar os procedimentos da 1a etapa, queria saber uma coisa:

 

Após fazer a varredura no sistema, reparei que na aba referente às pastas, o AdwCleaner marcou os caminhos de 2 programas que possuo [Zona e Replay Media Catcher] e uma extensão do Google Chrome que não identifiquei [apesar de estar ciente de todas as que utilizo], entre outras coisas nas outras abas. Se executar a função de limpeza, isso irá remover os programas do meu sistema e a extensão do Chrome?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu havia desmarcado o que não queria que fosse apagado pelo AdwCleaner, mas o JRT acabou removendo depois, já que não me deu a opção de escolher. Como parte dessas remoções eram extensões do Chrome [todas instaladas conscientemente e de fontes seguras], foram reinstaladas depois devido à sincronização da conta. Mas não creio, de forma alguma, que tenham sido responsáveis de alguma forma pelo tal winnit.exe.

 

Aliás, o pc hoje iniciou já com o BitDefender desativado como havia programado, então o arquivo infectado não foi bloqueado logo de cara, mas ainda assim nenhuma das varreduras dos outros programas foi capaz de identificá-lo, caso ainda esteja alojado no sistema.

 

No mais, seguem os anexos abaixo:

AdwCleanerS0.txt

JRT.txt

MBAM-log.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

Leia as instruções contidas neste link:
 

##### "Como usar o ComboFix" #####



Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  • Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:
  • Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).
  • Duplo clique no icone desktopicon.png que está no desktop.
  • Leia e aceite as condições, digitando 1 e enter.
  • Computadores com Windows XP deverão instalar o Console de Recuperação:
    • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
    • Clique em "OK" ao EULA.
    • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.
  • O ComboFix será executado, por favor seja paciente e aguarde.
  • Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.
  • Poderá surgir o aviso que é necessário reiniciar o computador.
    NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.
  • Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Anexe- o em sua proxima resposta.

 

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.
  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Desculpe a demora! Estive fora durante o final de semana e hoje custei a conseguir navegar no Forum por problemas com o servidor, pelo visto, enfim

Antes mesmo de rodar o ComboFix já vinha notando que o BitDefender não estava mais acusando a infecção em C:\ProgramData\winnit.exe

De toda forma, rodei o ComboFix mesmo assim e parece ter corrigido mais alguns problemas. Segue o log em anexo

ComboFix.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.


Selecione e copie o texto dentro do CODE. Abra o Bloco de Notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.
 

ClearJavaCache::Driver::BfilterBfmonBnbaseBndefBprotectFile::c:\windows\System32\drivers\Bfilter.sysc:\windows\System32\drivers\Bfmon.sysc:\windows\system32\drivers\bnbasex64.sysc:\windows\System32\drivers\bndef64.sysc:\windows\System32\drivers\Bprotect.sysADS::

 
cfscript.gif

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.
* Caso isso não aconteça, então reinicie manualmente.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes.

Aos visitantes: Se estiverem com um problema semelhante, não utilizem esse script, pois o uso sem supervisão pode causar danos ao sistema.


Quando acabar, será gerado um log, que estará em C:\ComboFix.txt. Anexe-o na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Desative temporiariamente seu AntiVirus

  • Segure o botão Ctrl e clique neste link para abrir o ESET Online Scanner em uma nova janela.
  • Clique neste botão: j9Byf.png?1
  • Para navegadores alternativos: (Caso use o Internet Explorer, pule esta etapa)esetsmartinstaller_enu.png
    • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop.
    • Duplo clique no ícone em seu desktop.
  • Marque "YES, I accept the Terms of Use."
  • Clique em Start.
  • Aceite qualquer aviso de segurança de seu browser.
  • Marque: "Enable detection of potentially unwanted applications"
  • Clique em Hide Advanced settings e marque o seguinte:
    • Remove found threats
    • Scan archives
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Clique Change e marque também a caixa Computador.
  • Clique em Start.
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Export to text file e salve o log na sua área de trabalho.
  • Clique em Back.
  • Clique em Finish.
  • Anexe o conteúdo do log

Compartilhar este post


Link para o post
Compartilhar em outros sites

OK,

 

Para finalizar:

 

# Etapa nº 1 #

 

Vá em Iniciar > Executar > digite (ou copie e cole): ComboFix /Uninstall

2egd02b.png

Dê o OK. Aguarde, pois isso irá desinstalar o ComboFix.
 
# Etapa nº 2 #

Baixe o Delfix by Xplode e salve na sua área de trabalho.

Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo delfix.exe, depois clique em execadmin.png.

2mez6ld.png

Clique no botão Executar.

Ao final será gerado um log, mas não é necessário postar.
 
# Etapa nº 3 #
 
Atualize o Java.
 
Atenção: Desinstale TODAS as versões antigas do Java.

  • Feche todos os programas especialmente o seu Navegador (IE, Firefox etc).
  • Acesse o site Java para Windows
  • Clique em 4531602912_e9606174d3_o.gif
  • Na janela que surgir clique em Executar;
  • Siga os procedimentos de instalação.

# Etapa nº 4 #

 

<<@>> Instale o CCleaner
 
O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner

 

  • Abra o programa e clique o botão Analisar em seguida em Executar Limpeza.

Obs: Não recomendo a limpeza do registro, isso pode deixa o sistema inoperante.

 

 

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!
 
Abraços. thumbsup.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×