Ir ao conteúdo
  • Cadastre-se
Euller Junior

Malware - Sonic Train ads

Recommended Posts

Prezados analistas, boa tarde!

 

Estou enfrentando um problema chato com o malware "Sonic Train" que se instalou no meu PC e abre incontaveis anúncios em qualquer navegador de internet que uso (o meu favorito é o Chrome)

A navegação tem se tornado insuportável haja visto a quantidade absurda de propagandas falsas que aparecem no meio da tela, além de janelas que se abrem sozinhas a todo o momento.

Gostaria de uma ajuda para resolver esse problema.

Já rodei alguns programas de remoção de malware como o Malware-Bytes e o adwcleaner mas não obtive sucesso.

Meu log do ZA-Scan segue em anexo.

 

Muito obrigado!

 

Att.,

 

Euler Reis

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Euller Junior

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!
# Etapa nº 1 #

Faça o download Junkware Removal Tool e salve em seu Desktop.
  • Desative seus programas de proteção (antivírus etc) para evitar qualquer conflito.
  • Clique duas vezes JRT.exe
    • Se seu sistema for Windows Vista ou Windows 7 ou Windows 8, clique com o botão direito do mouse e peça para Executar como Administrador.

    [*]Seja paciente e aguarde o scan terminar.[*]Abra o log JRT.txt que está em seu Desktop.[*]Copie todo conteúdo e cole em sua próximo mensagem.



# Etapa nº 2 #

  • Clique duas vezes no adwcleaner.exe
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique em Pesquisar
  • No final do scan será aberto um log com o resultado.
  • Caso algo seja detectado, clique então no botão Remover.
  • Novamente, no final do scan será aberto um log com o resultado.
  • Copie todo seu conteúdo e cole em sua próxima resposta.



# Etapa nº 3 #

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

Baixe o Farbar Recovery Scan Tool e salve na sua área de trabalho.
32 bit (x86)ou 64 bit (x64)

Dê um duplo-clique para executar a ferramenta. Aceite o contrato e depois clique no botão Scan.

Aguarde e ao final, os logs FRST.txt e Addition.txt serão salvos no seu desktop.

Anexe os logs na sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Diego, seguem os logs conforme solicitado.

Obirgado

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.6.4 (09.28.2015:1)
OS: Windows 8.1 Single Language x64
Ran by paulo nicoletti on 03/11/2015 at 12:44:45,09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
 
 
 
~~~ Services
 
Successfully deleted: [service] ihpmserver [Reboot required]
 
 
 
~~~ Tasks
 
 
 
~~~ Registry Values
 
Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleChromeAutoLaunch_FB667DB96931DB69F94AA761E656A52B
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL
 
 
 
~~~ Registry Keys
 
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc}
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc}
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc}
 
 
 
~~~ Files
 
Successfully deleted: [File] C:\Windows\SysWOW64\findit.xml
Successfully deleted: [File] C:\Users\paulo nicoletti\Appdata\Local\google\chrome\user data\default\local storage\hxxp_static.boostsaves.com_0.localstorage
Successfully deleted: [File] C:\Users\paulo nicoletti\Appdata\Local\google\chrome\user data\default\local storage\hxxp_static.boostsaves.com_0.localstorage-journal
Successfully deleted: [File] C:\Users\paulo nicoletti\Appdata\Local\google\chrome\user data\default\local storage\hxxps_static.boostsaves.com_0.localstorage
Successfully deleted: [File] C:\Users\paulo nicoletti\Appdata\Local\google\chrome\user data\default\local storage\hxxps_static.boostsaves.com_0.localstorage-journal
 
 
 
~~~ Folders
 
Successfully deleted: [Folder] C:\Program Files (x86)\raydld
Successfully deleted: [Folder] C:\Program Files (x86)\sonic train
Successfully deleted: [Folder] C:\ProgramData\productdata
Successfully deleted: [Folder] C:\Users\paulo nicoletti\Appdata\Local\stormfall
Successfully deleted: [Folder] C:\users\Public\Documents\guid
Successfully deleted: [Folder] C:\ProgramData\aphibkimlkdbdmleeejkcmdoghhginoi
Successfully deleted: [Folder] C:\ProgramData\dbdnjdbcfkebnkannfkbhbdemfimignf
Successfully deleted: [Folder] C:\ProgramData\nnigkgdnijkfpldmeolfnabioopmlbcf
 
 
 
~~~ Chrome
 
 
[C:\Users\paulo nicoletti\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - default search provider reset
 
 
# AdwCleaner v5.017 - Relatório criado 03/11/2015 às 12:52:15
# Atualizado 03/11/2015 por Xplode
# Banco de dados : 2015-11-01.2 [servidor]
# Sistema operacional : Windows 8.1 Single Language  (x64)
# Usuário : paulo nicoletti - EULER-LOGIX
# Executando de : C:\Users\paulo nicoletti\Desktop\adwcleaner_5.017.exe
# Opção : Limpar
 
***** [ Serviços ] *****
 
[-] Serviço Excluído : ihpmServer
 
***** [ Pastas ] *****
 
[-] Pasta Excluído : C:\Program Files\Concom
[-] Pasta Excluído : C:\Program Files (x86)\AppendMonitor
[-] Pasta Excluído : C:\Program Files (x86)\ToolsUpdatePlatform
[-] Pasta Excluído : C:\Program Files (x86)\UniDEalse
[-] Pasta Excluído : C:\ProgramData\ToolsUpdatePlatform
[-] Pasta Excluído : C:\ProgramData\{0d64f61e-5183-6630-0d64-4f61e518d879}
[-] Pasta Excluído : C:\ProgramData\{322437ea-555f-d665-3224-437ea555dfa9}
[-] Pasta Excluído : C:\ProgramData\{9ddee151-ce09-d8ef-9dde-ee151ce08547}
[-] Pasta Excluído : C:\ProgramData\{aed0b2ef-dd94-c1f2-aed0-0b2efdd9cbbf}
[-] Pasta Excluído : C:\ProgramData\{c1f20086-4bd3-de76-c1f2-200864bd0219}
[-] Pasta Excluído : C:\ProgramData\{d29f28da-4cf7-51ee-d29f-f28da4cfa369}
[-] Pasta Excluído : C:\ProgramData\{f7fd1cec-090a-e298-f7fd-d1cec09073b0}
[-] Pasta Excluído : C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ScreenSnapshotTool
 
***** [ Arquivos ] *****
 
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.boostsaves.com_0.localstorage
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.boostsaves.com_0.localstorage-journal
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.boostsaves.com_0.localstorage
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.boostsaves.com_0.localstorage-journal
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_nps.pastaleads.com_0.localstorage
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_nps.pastaleads.com_0.localstorage-journal
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_pstatic.kingtopdeals.com_0.localstorage
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_pstatic.kingtopdeals.com_0.localstorage-journal
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_combofix.softonic.com.br_0.localstorage
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_combofix.softonic.com.br_0.localstorage-journal
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.tradeadexchange.com_0.localstorage
[-] Arquivo Excluído : C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.tradeadexchange.com_0.localstorage-journal
 
***** [ DLLs ] *****
 
 
***** [ Atalhos ] *****
 
 
***** [ Tarefas agendadas ] *****
 
[-] Tarefa Excluída : bvxvexvbg
 
***** [ Registro ] *****
 
[-] Chave Excluída : HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE
[-] Chave Excluída : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\Stpro.exe
[-] Chave Excluída : HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1}
[-] Chave Excluída : HKLM\SOFTWARE\Classes\Interface\{6B3732AA-F6D4-4F16-9E22-49EDC52C9514}
[-] Chave Excluída : HKLM\SOFTWARE\Classes\TypeLib\{920D90DA-DF4C-4891-B1E4-6EBC87CB924D}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{69A72A8A-84ED-4A75-8CE7-263DBEF3E5D3}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{98279C38-DE4B-4BCF-93C9-8EC26069D6F4}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C900B400-CDFE-11D3-976A-00E02913A9E0}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E8DAAA30-6CAA-4B58-9603-8E54238219E2}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F9765480-72D1-11D4-A75A-004F49045A87}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FC87A650-207D-4392-A6A1-82ADBC56FA64}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E99D4D0C-EB54-46AF-B62A-3AA1F31D53E5}
[-] Chave Excluída : [x64] HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
[-] Chave Excluída : HKCU\Software\DAILYPCCLEAN
[-] Chave Excluída : HKCU\Software\OB
[-] Chave Excluída : HKLM\SOFTWARE\RayDld
[-] Chave Excluída : HKLM\SOFTWARE\ihpmserver
[-] Chave Excluída : HKLM\SOFTWARE\TOOLSUPDATEPLATFORM
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6A128791-4857-4484-9BB2-71D4C1257200}
[-] Chave Excluída : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{85098E38-ACE8-495D-A246-44D0CF7C2B2E}
[-] Dados Restaurar : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Dados Restaurar : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page]
[-] Dados Restaurar : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Dados Restaurar : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Dados Restaurar : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page]
 
***** [ Navegadores ] *****
 
 
*************************
 
:: Chaves "Tracing" excluídas
:: Configurações Winsock restauradas
 
########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [6379 bytes] ##########
 

 

Addition.txt

FRST.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Euller Junior

 

Um DNS malicioso, mas deixa ele comigo! ;)

 

Abra o Bloco de Notas e crie um arquivo chamado Fixlist.txt
Salve em sua Área de Trabalho (Desktop);
Copie todo o conteúdo abaixo e cole no aquivo criado acima:

CreateRestorePoint:CloseProcesses:CMD: bitsadmin /util /setieproxy localsystem NO_PROXY RESETHKLM-x32\...\Run: [] => [X]HKLM\...\Policies\Explorer: [NoFolderOptions] 0HKLM\...\Policies\Explorer: [NoControlPanel] 0AppInit_DLLs: C:\ProgramData\Zitenop\Fundox.dll => No FileAppInit_DLLs-x32: C:\ProgramData\Zitenop\Ronlight.dll => No FileProxyServer: [S-1-5-21-3177613377-117450760-1548058831-1001] => 10.22.31.74:80Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [NameServer] 208.67.222.222CHR Extension: (Google Apresentações) - C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-11] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTIONCHR Extension: (Google Docs) - C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-11] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTIONCHR Extension: (Google Drive) - C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-09] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTIONCHR Extension: (Planilhas do Google) - C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-11] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTIONCHR Extension: (Google Wallet) - C:\Users\paulo nicoletti\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-03] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTIONCHR Extension: (Extutil) - C:\Users\PAULON~1\AppData\Local\Temp\D8ADFCCA-EE7E-442C-9999-C4D14FEF360B [2015-10-30]CHR Extension: (Managera) - C:\Users\PAULON~1\AppData\Local\Temp\39fdaae5-8e0e-493c-88ec-e05c3be06e42 [2015-10-30]S2 prmdbctpro; C:\Users\paulo nicoletti\AppData\Local\E-dex.exe productupd prmdbctpro [X]C:\Users\paulo nicoletti\AppData\Local\E-dex.exe productupd prmdbctproS3 RsiKtControl; \SystemRoot\system32\RSIKT.SYS [X]S3 RSSERIAL; \SystemRoot\SYSTEM32\RSSERIAL.SYS [X]S3 usb6xxxk; \??\C:\Windows\system32\drivers\usb6xxxkl.sys [X]S1 VirtualBackplane; \SystemRoot\System32\Drivers\VirtualBackplane.sys [X]RemoveProxy:CMD: bitsadmin /reset /allusersCMD:ipconfig /flushdnsEmptyTemp:
Execute novamente o Farbar Recovery Scan Tool e clique no botão Fix;
Aguarde e poste o log em sua próxima resposta.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Euller Junior

 

# Etapa nº 1 #

 

Apenas mantendovc informado, o problema ainda persiste.

 

Teria como me enviar um print?

 

# Etapa nº 2 #

 

Baixe a Malwarebytes' Anti-Malware (MBAM).
 
Dê um duplo-clique no mbam-setup.exe para instalar o programa.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas..
  • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
  • Volte ao Painel e por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver itens encontrados, clique no botão Mover todos para a Quarentena.
  • Clique em Aplicar ações.
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Logs de aplicativos na janela principal do programa.
  • Dê um duplo-clique no log. Utilize o formato .txt para exportar o log.
     
    2mwt7yh.jpg
     
  • NÃO USE O FORMATO .XML PARA EXPORTAR O LOG.
  • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
  • Anexe o log na sua próxima resposta.


NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Diego,

 

seguem print e log de verificação do MBAM.

Pelo log, aparentemente o adware foi localizado e enviado para a quarentena e eliminado, mas o problema ainda persiste!!

Estou preocupado com a possibilidade de não resolver o problema sem uma formatação da máquina...

MBAM.txt

post-786630-0-01187600-1447004583_thumb.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Euller Junior

 

Faça um novo log com o FRST, porém antes de clicar no botão scan, marque a opção Addition. Anexe os logs, por favor.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Euller Junior

 

Muito provavelmente o culpado, vamos dizer assim, é este programa:

 

Software do National Instruments (HKLM-x32\...\NI Uninstaller) (Version:  - National Instruments)

 

E sua família:

NI Atomic PXIe Peripheral Module Driver 2.3.0 (x32 Version: 2.30.49152 - National Instruments) HiddenNI Authentication 13.0.0 (64-bit) (Version: 13.0.326 - National Instruments) HiddenNI Authentication 13.0.0 (x32 Version: 13.0.326 - National Instruments) HiddenNI Certificates Deployment Support (x32 Version: 1.04.49153 - National Instruments) HiddenNI Curl 13.0.0 (64-bit) (Version: 13.0.324 - National Instruments) HiddenNI Curl 13.0.0 (x32 Version: 13.0.324 - National Instruments) HiddenNI Error Reporting Interface Installer 5.5 (x32 Version: 5.50.49152 - National Instruments) HiddenNI Error Reporting Interface Installer 5.5 for Windows 64-bit (Version: 5.50.49152 - National Instruments) HiddenNI Ethernet Device Enumerator (x32 Version: 1.01.49152 - National Instruments) HiddenNI Ethernet Device Enumerator 64-Bit (Version: 1.01.49152 - National Instruments) HiddenNI EulaDepot (x32 Version: 3.20.356 - National Instruments) HiddenNI GMP Windows 32-bit Installer 13.0.0 (x32 Version: 13.0.45.0 - National Instruments) HiddenNI GMP Windows 64-bit Installer 13.0.0 (Version: 13.0.45.0 - National Instruments) HiddenNI LabVIEW C Interface (x32 Version: 1.0.1 - National Instruments) HiddenNI Logos 5.5 (64-bit) (Version: 5.5.293 - National Instruments) HiddenNI Logos 5.5 (x32 Version: 5.5.293 - National Instruments) HiddenNI Logos XT Support (x32 Version: 5.5.294 - National Instruments) HiddenNI Logos64 XT Support (Version: 5.5.294 - National Instruments) HiddenNI MDF Support (x32 Version: 3.20.356 - National Instruments) HiddenNI mDNS Responder 2.2 for Windows 64-bit (Version: 2.20.49152 - National Instruments) HiddenNI mDNS Responder 2.2.0 (x32 Version: 2.20.49152 - National Instruments) HiddenNI MXS 5.5.0 (x32 Version: 5.50.49152 - National Instruments) HiddenNI MXS 5.5.0 for 64 Bit Windows (Version: 5.50.49152 - National Instruments) HiddenNI Portable Configuration 5.5.0 (x32 Version: 5.50.49152 - National Instruments) HiddenNI Portable Configuration for 64 Bit Windows 5.5.0 (Version: 5.50.49152 - National Instruments) HiddenNI PXI Hardware 64-bit Support 3.2.3 (Version: 3.23.49152 - National Instruments) HiddenNI PXI Platform Framework 1.6.3 (x32 Version: 1.63.49152 - National Instruments) HiddenNI PXI Platform Framework 1.6.3 64-bit (Version: 1.63.49152 - National Instruments) HiddenNI PXI Platform Services 3.2.3 (x32 Version: 3.23.49152 - National Instruments) HiddenNI PXI Platform Services 3.2.3 Expert (x32 Version: 3.23.49152 - National Instruments) HiddenNI PXI SystemAPI Expert 3.2.3 (x32 Version: 3.23.49152 - National Instruments) HiddenNI PXI SystemAPI Expert 64-bit 3.2.3 (Version: 3.23.49152 - National Instruments) HiddenNI RTSI Cable Core Installer 1.5.0 (x32 Version: 1.50.49152 - National Instruments) HiddenNI RTSI Cable Core Installer for 64 Bit Windows 1.5.0 (Version: 1.50.49152 - National Instruments) HiddenNI RTSI PAL Device Library Installer 1.5.0 (x32 Version: 1.50.49152 - National Instruments) HiddenNI RTSI PAL Device Library Installer for 64 Bit Windows 1.5.0 (Version: 1.50.49152 - National Instruments) HiddenNI Security Update (KB 67L8LCQW) (64-bit) (Version: 1.0.29.0 - National Instruments) HiddenNI Security Update (KB 67L8LCQW) (x32 Version: 1.0.29.0 - National Instruments) HiddenNI Service Locator 13.0 (x32 Version: 13.0.303 - National Instruments) HiddenNI SSL Support (64-bit) (Version: 13.0.319 - National Instruments) HiddenNI SSL Support (x32 Version: 13.0.324 - National Instruments) HiddenNI System API Windows 32-bit 5.5.0 (x32 Version: 5.50.589 - National Instruments) HiddenNI System API Windows 64-bit 5.5.0 (Version: 5.50.588 - National Instruments) HiddenNI System Monitor 3.2.3 (x32 Version: 3.23.49152 - National Instruments) HiddenNI System Monitor 3.2.3 64-bit (Version: 3.23.49152 - National Instruments) HiddenNI System State Publisher (64-bit) (Version: 13.0.299 - National Instruments) HiddenNI System State Publisher (x32 Version: 13.0.304 - National Instruments) HiddenNI System Web Server 13.0 (x32 Version: 13.0.330 - National Instruments) HiddenNI System Web Server Base 13.0.0 (64-bit) (Version: 13.0.323 - National Instruments) HiddenNI System Web Server Base 13.0.0 (x32 Version: 13.0.323 - National Instruments) HiddenNI Trace Engine (64-bit) (Version: 13.0.324 - National Instruments) HiddenNI Trace Engine (x32 Version: 13.0.324 - National Instruments) HiddenNI Uninstaller (x32 Version: 3.20.356 - National Instruments) HiddenNI VC2005MSMs x64 (Version: 8.05.0 - National Instruments) HiddenNI VC2005MSMs x86 (x32 Version: 8.05.0 - National Instruments) HiddenNI VC2008MSMs x64 (Version: 9.0.401 - National Instruments) HiddenNI VC2008MSMs x86 (x32 Version: 9.0.401 - National Instruments) HiddenNI Web Application Server 13.0 (64-bit) (Version: 13.0.319 - National Instruments) HiddenNI Web Application Server 13.0 (x32 Version: 13.0.324 - National Instruments) HiddenNI Xerces Delay Load 2.7.3 (x32 Version: 2.7.180.0 - National Instruments) HiddenNI Xerces Delay Load 2.7.3 64-bit (Version: 2.7.190.0 - National Instruments) HiddenNI-APAL 2.3 64-Bit Error Files (Version: 2.30.49152 - National Instruments) HiddenNI-APAL 2.3 Error Files (x32 Version: 2.30.49152 - National Instruments) HiddenNI-APAL 2.3 Error Files for LabVIEW RT (x32 Version: 2.30.49152 - National Instruments) HiddenNI-DAQ INF Files 19.8.0 (x32 Version: 19.80.3000 - National Instruments) HiddenNI-DAQmx 653x Installer 2.0.0 (x32 Version: 2.00.49152 - National Instruments) HiddenNI-DAQmx 653x Installer for 64 Bit Windows 2.0.0 (Version: 2.00.49152 - National Instruments) HiddenNI-DAQmx 9.8.0 (x32 Version: 9.80.49152 - National Instruments) HiddenNI-DAQmx Common Digital 2.1.0 (x32 Version: 2.10.49152 - National Instruments) HiddenNI-DAQmx Common Digital for 64 Bit Windows 2.1.0 (Version: 2.10.49152 - National Instruments) HiddenNI-DAQmx Dynamic Signal Acquisition for 64 Bit Windows 2.7.0 (Version: 2.70.49153 - National Instruments) HiddenNI-DAQmx Dynamic Signal Acquisition Installer 2.7.0 (x32 Version: 2.70.49153 - National Instruments) HiddenNI-DAQmx FSL Installer 2.4.0 (x32 Version: 2.40.49152 - National Instruments) HiddenNI-DAQmx FSL Installer for 64-Bit Windows 2.4.0 (Version: 2.40.49152 - National Instruments) HiddenNI-DAQmx MIO Device Drivers 2.11.0 (x32 Version: 2.110.49153 - National Instruments) HiddenNI-DAQmx MIO Device Drivers for 64 Bit Windows 2.11.0 (Version: 2.110.49153 - National Instruments) HiddenNI-DAQmx MX Expert Framework 2.15.0 (x32 Version: 2.150.49152 - National Instruments) HiddenNI-DAQmx MX Expert Framework for 64 Bit Windows 2.15.0 (Version: 2.150.49152 - National Instruments) HiddenNI-DAQmx SCXI 2.1.1 (x32 Version: 2.11.49152 - National Instruments) HiddenNI-DAQmx SCXI for 64 Bit Windows 2.1.1 (Version: 2.11.49152 - National Instruments) HiddenNI-DAQmx STC 1.12.0 (x32 Version: 1.120.49152 - National Instruments) HiddenNI-DAQmx STC for 64 Bit Windows 1.12.0 (Version: 1.120.49152 - National Instruments) HiddenNI-DAQmx Switch Core 2.6.0 (x32 Version: 2.60.49152 - National Instruments) HiddenNI-DAQmx Switch Core for 64 Bit Windows 2.6.0 (Version: 2.60.49152 - National Instruments) HiddenNI-DAQmx Timing for 64 Bit Windows 2.8.0 (Version: 2.80.49152 - National Instruments) HiddenNI-DAQmx Timing Installer 2.8.0 (x32 Version: 2.80.49152 - National Instruments) HiddenNI-DIM 3.0.0f0 (x32 Version: 3.00.49152 - National Instruments) HiddenNI-DIM 3.0.0f0 for 64 Bit Windows (Version: 3.00.49152 - National Instruments) HiddenNI-MDBG 3.0.0f0 (x32 Version: 3.00.49152 - National Instruments) HiddenNI-MDBG 3.0.0f0 for 64 Bit Windows (Version: 3.00.49152 - National Instruments) HiddenNI-MRU 3.0.0f0 (x32 Version: 3.00.49152 - National Instruments) HiddenNI-MRU 3.0.0f0 for 64 Bit Windows (Version: 3.00.49152 - National Instruments) HiddenNI-MXDF 3.0.0f0 (x32 Version: 3.00.49152 - National Instruments) HiddenNI-MXDF 3.0.0f0 for 64 Bit Windows (Version: 3.00.49152 - National Instruments) HiddenNI-MXLC Core (32-bit) (x32 Version: 3.5.22 - National Instruments) HiddenNI-MXLC Core (64-bit) (Version: 3.5.22 - National Instruments) HiddenNI-ORB 3.0 (x32 Version: 3.00.49152 - National Instruments) HiddenNI-ORB 3.0 for 64-bit Windows (Version: 3.00.49152 - National Instruments) HiddenNI-PAL 2.9.1 64-Bit Error Files (Version: 2.91.49152 - National Instruments) HiddenNI-PAL 2.9.1 Error Files (x32 Version: 2.91.49152 - National Instruments) HiddenNI-PAL 2.9.1f0 (x32 Version: 10.101.49152 - National Instruments) HiddenNI-PAL 2.9.1f0 for 64 Bit Windows (Version: 10.101.49152 - National Instruments) HiddenNI-RPC 4.4.0f0 (x32 Version: 4.40.49152 - National Instruments) HiddenNI-RPC 4.4.0f0 for 64 Bit Windows (Version: 4.40.49152 - National Instruments) HiddenNI-RPC 4.4.0f0 for Phar Lap ETS (x32 Version: 4.40.49152 - National Instruments) Hidden

Ele configura uma dll, no Winsock (é uma especificação técnica que define como o software de rede do Windows deve acessar serviços de rede, especialmente TCP/IP). Veja aqui:

 

Winsock: Catalog5 08 C:\Program Files (x86)\National Instruments\Shared\mDNS Responder\nimdnsNSP.dll [26512 2013-05-11] (National Instruments Corporation)
Winsock: Catalog5-x64 08 C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsNSP.dll [28560 2013-05-11] (National Instruments Corporation)

 

Veja aqui a quantidade de IPs (alguns legítimos, outros não) da sua rede:
 

 

Tcpip\Parameters: [DhcpNameServer] 192.168.25.1
Tcpip\..\Interfaces\{23F3D943-FF52-48A8-AD43-69430961ACEB}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [NameServer] 10.0.0.1,208.67.222.222
Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [DhcpNameServer] 192.168.25.1
Tcpip\..\Interfaces\{48C3E838-71AE-457D-BAA7-DCA3194AA444}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{5B6B74D5-9232-408A-BA21-B87F94A5248F}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

 

Você utiliza este programa?

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Diego,

 

Este software compoe alguns programas utilizados para instumentação eletronica virtual. Atualmente nao utilizo, mas estes ja estavam instalados há algum tempo, bem antes dos problemas começarem.

A menos que haja chance deles terem sido infectados por algum malware.

Em todo caso, posso efetuar a desisntalação deste programa e verificar.

Alguma recomendação?

 

Obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok... vamos supor então que não seja este programa, você me disse que fica pingando com seu notebook de rede em rede, certo? Provavelmente alguma delas esteja infectada.

 

Veja a situação do primeiro log (já tradado) do FRST:

 

ProxyServer: [s-1-5-21-3177613377-117450760-1548058831-1001] => 10.22.31.74:80
Winsock: Catalog5 08 C:\Program Files (x86)\National Instruments\Shared\mDNS Responder\nimdnsNSP.dll [26512 2013-05-11] (National Instruments Corporation)
Winsock: Catalog5-x64 08 C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsNSP.dll [28560 2013-05-11] (National Instruments Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.25.1
Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [NameServer] 10.0.0.1,208.67.222.222
Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [DhcpNameServer] 192.168.25.1
Tcpip\..\Interfaces\{857C1298-115F-4515-8F46-0D1FC0C04FCE}: [DhcpNameServer] 192.168.25.1

 

E, como já mostrei, o do segundo log:

 

Winsock: Catalog5 08 C:\Program Files (x86)\National Instruments\Shared\mDNS Responder\nimdnsNSP.dll [26512 2013-05-11] (National Instruments Corporation)
Winsock: Catalog5-x64 08 C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsNSP.dll [28560 2013-05-11] (National Instruments Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.25.1
Tcpip\..\Interfaces\{23F3D943-FF52-48A8-AD43-69430961ACEB}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [NameServer] 10.0.0.1,208.67.222.222
Tcpip\..\Interfaces\{308B3284-F093-4DD7-A517-D7B7C5C0CD65}: [DhcpNameServer] 192.168.25.1
Tcpip\..\Interfaces\{48C3E838-71AE-457D-BAA7-DCA3194AA444}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{5B6B74D5-9232-408A-BA21-B87F94A5248F}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

 

Notável né!!! ;)

 

Eu posso tratar deste agora, mas não posso te garantir nada, devido ao nomadismo de seu notebook, beleza?

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Diego, sem problemas, vamos cuidar disso da maneira que for.

Tão logo conseguirmos remover esse problema, tomarei maiores cuidados com as redes as quais me conectarei futuramente.

 

Esse problema está me atrapalhando demais, visto que faço muito homeworking, usando a internet e a navegação está impraticável.

 

Muito obrigado e aguardo mais instruções!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok amigo, então preciso que se fixe em um local, de preferência na sua casa. Aliás, este último log foi feita na rede da sua casa?

 

Curiosidade: trabalha em quê?

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Diego,

 

O ultimo log foi feito na rede da empresa em que trabalho, onde estou utilizando o PC nas ultimas semanas.

A partir da semana que vem volto a viajar a trabalho, pingando de rede em rede.

O ideal é que a gente consiga tentar resolver até o final de semana, quando estarei logado em uma mesma rede.

 

Eu sou engenheiro eletricista especializado em proteção de subestações de energia, por isso viajo bastante.

Mas faço trabalhos autônomos na minha própria área em casa, a noite, nos tempos livres. Então geralmente me conecto a redes de minha casa ou hotéis, pousadas, etc, quando estou em viagem a trabalho.

 

Mais uma vez, obrigado pela atenção.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Prezado Diego,

 

Informo que consegui solucionar o problema.

Andei dano uma lida nos logs do MalwareBytes identifiquei os registros suspeitos. Então eu acessei os registros listados nos logs pelo "regedit" e deletei manualmente cada um dos registros suspeitos. Por algum motivo, não sei porque, os programas para remoção não estavam excluindo estas entradas.

Após deletar, desinstalei o google Chrome e instalei novamente, e após uma limpeza de qualquer outro registro que tenha ficado e apagando pastas que sobraram manualmente, o problema não voltou.

 

Acha que preciso fazer mais alguma coisa?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Prezado Diego, desculpe a demora.

 

Os registros que apaguei, de acordo com o log do MBAM foram estes:

 

PUP.Optional.Trovi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\chrome.exe|{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb, 130906778505039425, Quarentena, [62331f5cc6c5191df351dab9f013f40c]
PUP.Optional.Trovi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\explorer.xxx|{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb, 130906778505039425, Quarentena, [4f4634475a3194a2ee56d0c321e21ce4]
PUP.Optional.Trovi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\firefox.exe|{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb, 130906778505039425, Quarentena, [b8dddc9fbbd04ceaef55464d39cac937]
PUP.Optional.Trovi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\iexplore.exe|{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb, 130906778505039425, Quarentena, [3164a5d6c1caea4c9ba9a8ebad56de22]
 
Rodei outros programas que localizaram mais registros que deletei, mas não foi gerado log.
 
Enfim, problema resolvido!
Mais um vez, obrigado pela atenção e paciência.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×