Ir ao conteúdo
  • Cadastre-se
Luiz Felype Azevedo

Provavelmente infectado de forma vergonhosa

Recommended Posts

Olá a todos os profissionais e voluntários salvadores de vidas deste fórum.

 

Aparentemente fui infectado, e sou sincero admitir que provavelmente foi numa rápida e curiosa pesquisa num certo site de vídeos online pouco confiável que começa com a letra X. A pior parte é que realmente foi uma curiosidade, o vídeo não era o que eu esperava, não valeu nem um pouco a pena...

 

O importante é que, mesmo sendo navegador veterano destas águas turvas, fui pego desprevenido por um estranho Ad, que automaticamente abriu uma nova janela do meu navegador com aquelas pop-up's pedindo senha e que travou meu browser. Isso aconteceu algumas horas mais cedo e, desde então, meu notebook tem apresentado um comportamento mais 'preguiçoso'. O AVG não conseguiu detectar infecção, mas tenho quase certeza que alguma coisa se esgueirou e se escondeu no meu sistema enquanto eu estava surpreso.

 

Segue em anexo o log do ZA-Scan. Agradeço desde já a atenção :)

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @Luiz Felype Azevedo

 

Gostei da sua história! :lol:

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Clique duas vezes para executar o jrt.exe.
 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @diego_moicano

 

Executei os procedimentos pedidos (a segunda e terceira etapas executei com o wifi desligado, porque sou um pouco paranóico e a rede onde moro não é tão privativa...). Segue abaixo os logs.

 

 

Aparentemente o DriverEasy não é tão seguro quando o técnico da Dell disse que era... :huh:??

 

Agradeço a atenção e aguardo retorno. Abraços! :D

 

Log AdwCleaner[C1]:

Spoiler

 

# AdwCleaner v5.200 - Relatório criado 22/06/2016 às 13:26:35
# Atualizado 14/06/2016 por ToolsLib
# Banco de dados : 2016-06-21.2 [Servidor]
# Sistema operacional : Windows 8.1  (X64)
# Usuário : Luiz Felype - LUIZ-NOTE-DELL
# Executando de : C:\Users\Luiz Felype\Desktop\adwcleaner_5.200.exe
# Opção : Limpar
# Apoio : https://toolslib.net/forum

***** [ Serviços ] *****


***** [ Pastas ] *****

[-] Pasta Excluído : C:\Users\Luiz Felype\AppData\Roaming\Easeware
[-] Pasta Excluído : C:\Program Files\Easeware

***** [ Arquivos ] *****

[-] Arquivo Excluído : C:\END

***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Atalhos ] *****


***** [ Tarefas agendadas ] *****

[-] Tarefa Excluída : DriverEasy Scheduled Scan

***** [ Registro ] *****

[-] Chave Excluída : HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
[-] Chave Excluída : HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
[-] Chave Excluída : HKLM\SOFTWARE\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}
[-] Chave Excluída : HKLM\SOFTWARE\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] Chave Excluída : HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] Chave Excluída : HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] Chave Excluída : HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}

***** [ Navegadores ] *****


*************************

:: Políticas do IE excluídas
:: Políticas do Chrome excluídas

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [1546 bytes] - [22/06/2016 13:26:35]
C:\AdwCleaner\AdwCleaner[S1].txt - [1568 bytes] - [22/06/2016 13:15:05]

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1692 bytes] ##########

 

 

Log JRT:

Spoiler

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.6 (04.25.2016)
Operating System: Windows 8.1 x64
Ran by Luiz Felype (Administrator) on 22/06/2016 at 13:41:28,92
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


File System: 5

Successfully deleted: C:\ProgramData\Start Menu\Programs\drivereasy (Folder)
Successfully deleted: C:\Users\Public\Desktop\drivereasy.lnk (Shortcut)
Successfully deleted: C:\Windows\system32\Tasks\PCDEventLauncherTask (Task)
Successfully deleted: C:\Windows\system32\Tasks\PCDoctorBackgroundMonitorTask (Task)
Successfully deleted: C:\Windows\prefetch\DRIVEREASY.EXE-DD5F7CB1.pf (File)

Registry: 1

Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1A95DC8F-4A6D-4938-B715-50B59B516306} (Registry Key)


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 22/06/2016 at 13:44:51,98
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

Log ZHPCleaner:

Spoiler

 

~ ZHPCleaner v2016.6.18.75 by Nicolas Coolman (2016/06/18)
~ Run by Luiz Felype (Administrator)  (22/06/2016 14:00:06)
~ Site : http://www.nicolascoolman.com
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Type : Reparo
~ Report : C:\Users\Luiz Felype\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Luiz Felype\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8.1, 64-bit  (Build 9600)


---\\  Serviços (0)
~ Nenhum ítem malicioso o desnecessários foi encontrado.


---\\  Navegadores de Internet (1)
SUPRIMIDO dados: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : <local>]  =>Hijacker.Proxy


---\\  Arquivo hosts (1)
~ O arquivo hosts é legítimo (21)


---\\  Tarefas automáticas agendadas. (0)
~ Nenhum ítem malicioso o desnecessários foi encontrado.


---\\  Explorer ( Arquivos, Pastas) (13)
MOVIDO pasta*: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92}\chrome    =>.Superfluous.VidAdBlock
MOVIDO pasta: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92}\chrome.manifest    =>.Superfluous.VidAdBlock
MOVIDO pasta: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92}\install.rdf    =>.Superfluous.VidAdBlock
MOVIDO pasta^: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92}\modules    =>.Superfluous.VidAdBlock
MOVIDO pasta: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\storage\temporary\http+++game258863.konggames.com\.metadata    =>PUP.Optional.KongGames
MOVIDO pasta: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\storage\temporary\http+++game258863.konggames.com\asmjs\metadata    =>PUP.Optional.KongGames
MOVIDO pasta: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\storage\temporary\http+++game258863.konggames.com\asmjs\module15    =>PUP.Optional.KongGames
MOVIDO arquivo: C:\Users\Luiz Felype\AppData\Roaming\Mozilla\Firefox\Profiles\2udv2t88.default\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92}  =>.Superfluous.VidAdBlock
MOVIDO arquivo: C:\ProgramData\{D2ABC610-2659-46DB-9F27-05B0EDAB055F}  =>PUP.Optional.BundleInstaller
MOVIDO arquivo: C:\Windows\Installer\MSI6633.tmp-  =>Empty
MOVIDO arquivo: C:\Windows\Installer\MSI69CE.tmp-  =>Empty
MOVIDO arquivo: C:\Windows\Installer\MSIBD01.tmp-  =>Empty
MOVIDO arquivo: C:\Windows\Installer\MSIBF16.tmp-  =>Empty


---\\  Registro ( Chaves, Valores, Dados ) (0)
~ Nenhum ítem malicioso o desnecessários foi encontrado.


---\\  Resumo dos elementos encontrados na sua estação de trabalho (4)
https://www.nicolascoolman.info/2016/06/09/pirate-de-serveur-proxy-hijacker-proxy/ =>Hijacker.Proxy
http://www.nicolascoolman.fr/?p=5145 =>.Superfluous.VidAdBlock
http://www.nicolascoolman.fr/?p=4664 =>PUP.Optional.KongGames
http://www.nicolascoolman.fr/?p=4664 =>PUP.Optional.BundleInstaller


---\\  Dodatkowe oczyszczenie. (26)
~ Chave de registro Tracing Supprimido (26)
~ Remover os relatórios antigos ZHPCleaner. (0)


---\\ Resultado de reparação
Reparação efectuada com sucesso
~ Este navegador está faltando ! (Google Chrome)
~ Este navegador está faltando ! (Opera Software)
~ O sistema foi reiniciado.


---\\ Estatísticas
~ Items scan : 834
~ Items encontrado : 0
~ items cancelados : 0
~ Items réparo : 14


~ End of clean in 00h00mn45s
~====================
ZHPCleaner-[R]-22062016-14_00_51.txt
ZHPCleaner-[S ]-22062016-13_58_43.txt

 

 

PS: Esse final está saindo tachado sem motivo na pré-visualização :P

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @Luiz Felype Azevedo

 

Realmente, não é...

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

 

Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


32 bit (x86) ou 64 bit (x64)

 

  • Clique duas vezes para executar a ferramenta.
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
  • Marque a caixa Arquivos 90 dias,  e clique no botão Examinar.
  • Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop).
  • Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta.
  • Anexe o log Addition.txt

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

 

CarlosTurco

diego_moicano

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×