Ir ao conteúdo
  • Cadastre-se
lockenlow

Malwares

Recommended Posts

Caro @lockenlow

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

# Etapa nº 1 #
 
Baixe o AdwCleaner e salve em sua Área de trabalho (Desktop)

Execute o arquivo adwcleaner.exe

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • Clique na aba Opções e deixe marcado apenas "Restaurar Políticas do IE" e "Restaurar Políticas do Chrome"
  • Clique no botão Verificar e aguarde o exame finalizar.
  • Clique no botão Limpar.
  • Abrirá um bloco de notas com o resultado.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.
  • O log também será salvo em C:\AdwCleaner


NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar.
 
# Etapa nº 2 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe o Junkware Removal Tool (JRT) e salve em sua Área de trabalho (Desktop)

 

Clique duas vezes para executar o jrt.exe.
 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png 

  • A ferramenta começará o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Ao final um log se abrirá. Será salvo no desktop com o nome de JRT.txt.
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

 
# Etapa nº 3 #
 
Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua Área de trabalho (Desktop)

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite, obrigado pela resposta !

 

# AdwCleaner v6.010 - Relatório criado 29/08/2016 às 13:30:08
# *Updated on 12/08/2016 by ToolsLib
# Banco de dados : 2016-08-24.2 [*Local]
# Sistema operacional : Windows 7 Professional  (X64)
# Usuário : CLIENTE - CLIENTE-PC
# Executando de : C:\Users\CLIENTE\Desktop\adwcleaner_6.010.exe
# Limpar
# Apoio : https://toolslib.net/forum

***** [ Serviços ] *****

***** [ Pastas ] *****

[#] *Folder deleted on reboot: C:\ProgramData\AVG Security Toolbar
[#] *Folder deleted on reboot: C:\ProgramData\Application Data\AVG Security Toolbar


***** [ Arquivos ] *****

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Atalhos ] *****

***** [ Tarefas agendadas ] *****

***** [ Registro ] *****

[-] RestauradoHKLM\SOFTWARE\Classes\OCComSDK.ComSDK
[-] RestauradoHKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
[-] Restaurado[x64] HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
[-] Restaurado[x64] HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] Restaurado[x64] HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] Restaurado[x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] RestauradoHKLM\SOFTWARE\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}
[-] RestauradoHKLM\SOFTWARE\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] RestauradoHKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] RestauradoHKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] RestauradoHKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
[-] RestauradoHKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] RestauradoHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] RestauradoHKU\S-1-5-21-977941648-3823725021-237558696-1000\Software\APN PIP
[#] *Key deleted on reboot: HKCU\Software\APN PIP
[-] RestauradoHKLM\SOFTWARE\PIP
[-] RestauradoHKU\S-1-5-21-977941648-3823725021-237558696-1000\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] RestauradoHKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] RestauradoHKU\S-1-5-21-977941648-3823725021-237558696-1000\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] RestauradoHKU\S-1-5-21-977941648-3823725021-237558696-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[#] *Key deleted on reboot: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] RestauradoHKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[-] Restaurado[x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\vProt


***** [ Navegadores ] *****

*************************

:: Chaves "Tracing" excluídas
:: Políticas do IE excluídas
:: Políticas do Chrome excluídas

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [3029 *Bytes] - [29/08/2016 13:30:08]
C:\AdwCleaner\AdwCleaner[S0].txt - [3431 *Bytes] - [29/08/2016 13:29:02]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [3177 *Bytes] ##########
 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.7 (07.03.2016)
Operating System: Windows 7 Professional x64 
Ran by CLIENTE (Administrator) on 29/08/2016 at 23:16:15,98
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


File System: 8 

Successfully deleted: C:\Users\CLIENTE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KDE57HD (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\CLIENTE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\93ZIJWQV (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\CLIENTE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MS0AJB93 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\CLIENTE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NXZ0YUZP (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KDE57HD (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\93ZIJWQV (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MS0AJB93 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NXZ0YUZP (Temporary Internet Files Folder) 

Registry: 0 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29/08/2016 at 23:31:55,97
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 

 

 

 

O link do ZHPCLEANER não está funcionando, procurei no google e achei outro link. Na hora do scanner ele acha duas infecções e trava, mandei o print em anexo

 

Eu fiz tudo como indicado, executei como adm e desativei firewall e antivirus..

 

Tem uns comentários desse erro no site do desenvolvedor, mas não tem nenhuma resolução, será que um malware esta bloqueando o app?

https://www.nicolascoolman.com/forum/erreur-execution-zhpcleaner-t1194.html

 

zhpcleaner.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Amigo,

 

Abra o prompt de comando (cmd) e digite:
 

Citação


for %x in (c:\windows\system32\*.dll) do regsvr32 %x /s

 

 

Depois tente executar no Adwcleaner novamente.

 

Aguardo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Após digitar, apareceu uma msg de erro(Sem titulo.jpg), mas o processo seguiu até o fim.

Fui executar o adwcleaner e deu um erro (adwcleaner.jpg). 

Tentei mais uma vez aí deu:

 

# AdwCleaner v6.010 - Relatório criado 30/08/2016 às 17:17:50
# *Updated on 12/08/2016 by ToolsLib
# Banco de dados : 2016-08-24.2 [*Local]
# Sistema operacional : Windows 7 Professional  (X64)
# Usuário : CLIENTE - CLIENTE-PC
# Executando de : C:\Users\CLIENTE\Desktop\adwcleaner_6.010.exe
# Limpar
# Apoio : https://toolslib.net/forum

***** [ Serviços ] *****

***** [ Pastas ] *****

***** [ Arquivos ] *****

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Atalhos ] *****

***** [ Tarefas agendadas ] *****

***** [ Registro ] *****

[-] RestauradoHKLM\SOFTWARE\Classes\s


***** [ Navegadores ] *****

[-] [br.ask.com] [Search Provider] Excluídobr.ask.com
[-] [mysearch.avg.com] [Search Provider] Excluídomysearch.avg.com
[-] [format-factory.softonic.com.br] [Search Provider] Excluídoformat-factory.softonic.com.br
[-] [gamevicio.com] [Search Provider] Excluídogamevicio.com
[-] [unlocker.softonic.com.br] [Search Provider] Excluídounlocker.softonic.com.br
[-] [virtual-clonedrive.softonic.com.br] [Search Provider] Excluídovirtual-clonedrive.softonic.com.br


*************************

:: Chaves "Tracing" excluídas
:: Políticas do IE excluídas
:: Políticas do Chrome excluídas

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [3277 *Bytes] - [29/08/2016 13:30:08]
C:\AdwCleaner\AdwCleaner[C2].txt - [1385 *Bytes] - [30/08/2016 17:17:50]
C:\AdwCleaner\AdwCleaner[S0].txt - [3431 *Bytes] - [29/08/2016 13:29:02]
C:\AdwCleaner\AdwCleaner[S1].txt - [1983 *Bytes] - [30/08/2016 17:16:13]

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1607 *Bytes] ##########

 

 

 

 

Tentei executar depois o ZHPCleaner e continua dando o mesmo erro ..

 

De acordo com esse relatório, o virtual clone drive ta sendo identificado como infeccao? Eu tenho usado ele..

Sem título.jpg

AdwCleaner.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @lockenlow

 

Não está não...

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

 

Baixe o Farbar Recovery Scan Tool e salve-o na Área de Trabalho (Desktop).


32 bit (x86) ou 64 bit (x64)

 

  • Clique duas vezes para executar a ferramenta.
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
  • Marque a caixa Arquivos 90 dias,  e clique no botão Examinar.
  • Aguarde e ao final os logs FRST.txt e Addition.txt serão salvos em sua Área de Trabalho (Desktop).
  • Selecione, copie e cole o conteúdo do log  FRST.txt em sua próxima resposta.
  • Anexe o log Addition.txt

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @lockenlow

 

Depois voltamos com esta ferramenta...

 

Leia as instruções contidas neste link: "Como usar o ComboFix"
 
Faça o download do ComboFix e salve em sua Área de Trabalho (Desktop).

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

 

  • Clique duas vezes em ComboFix.exe salvo em sua Área de Trabalho (Desktop).
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png
  • Leia e aceite as condições, teclando ENTER.
  • Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.
  • Poderá surgir o aviso que é necessário reiniciar o computador.  
  • NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.
  • Quando a ferramenta terminar, será gerado um log (o arquivo C:\ComboFix.txt).
  • Copie e cole o conteúdo desse arquivo em sua próxima resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia, eu desinstalei o AVG pra rodar o combofix direito, tem algum antivirus que você recomenda ?

 

ComboFix 16-08-31.01 - CLIENTE 03/09/2016   8:12.2.4 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.55.1046.18.8139.6196 [GMT -3:00]
Executando de: c:\users\CLIENTE\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Execuções precedente -------
.
C:\prefs.js
c:\users\CLIENTE\ZHPCleaner.exe
c:\windows\SysWow64\DEBUG.log
.
-- Execuções precedente --
.
c:\windows\system32\Services.exe . . . está infectado!!
.
--------
.
c:\windows\SysWow64\kernel32.dll . . . está infectado!!
.
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Serviços   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Service KMSELDI
.
.
((((((((((((((((   Arquivos/Ficheiros criados de 2016-08-03 to 2016-09-03  ))))))))))))))))))))))))))))
.
.
2016-09-03 11:22 . 2016-09-03 11:22    --------    d-----w-    c:\users\Default\AppData\Local\temp
2016-09-03 11:05 . 2016-09-03 11:08    --------    d-----w-    c:\users\CLIENTE\AppData\Local\AvgSetupLog
2016-09-01 20:23 . 2016-09-01 22:59    --------    d-----w-    C:\FRST
2016-08-30 20:13 . 2016-08-30 20:13    --------    d-----w-    c:\programdata\GroupPolicy
2016-08-30 02:43 . 2016-08-30 20:27    --------    d-----w-    c:\users\CLIENTE\AppData\Roaming\ZHP
2016-08-29 16:27 . 2016-08-30 20:17    --------    d-----w-    C:\AdwCleaner
2016-08-27 12:33 . 2016-08-27 12:33    --------    d-----w-    C:\zoek_backup
2016-08-21 17:51 . 2016-08-21 17:51    967    ----a-w-    c:\windows\ScUnin.pif
2016-08-21 17:51 . 2016-08-21 17:51    68096    ----a-w-    c:\windows\ScUnin.exe
.
.
.
(((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-09-03 11:07 . 2015-07-28 01:18    28888    ----a-w-    c:\windows\system32\drivers\gbpddfac64.sys
2016-09-03 11:07 . 2015-11-20 01:30    101080    ----a-w-    c:\windows\system32\drivers\wsddfac.sys
2016-08-31 22:48 . 2015-07-12 01:36    348856    ----a-w-    c:\windows\SysWow64\PnkBstrB.xtr
2016-08-31 22:48 . 2015-07-11 21:42    348856    ----a-w-    c:\windows\SysWow64\PnkBstrB.exe
2016-08-31 22:35 . 2015-07-11 21:42    291296    ----a-w-    c:\windows\SysWow64\PnkBstrB.ex0
2016-07-13 23:28 . 2015-07-07 19:01    796352    ----a-w-    c:\windows\SysWow64\FlashPlayerApp.exe
2016-07-13 23:28 . 2015-07-07 19:01    142528    ----a-w-    c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro1 (ErrorConflict)]
@="{8BA85C75-763B-4103-94EB-9470F12FE0F7}"
[HKEY_CLASSES_ROOT\CLSID\{8BA85C75-763B-4103-94EB-9470F12FE0F7}]
2012-10-01 23:33    1720976    ----a-w-    c:\progra~2\MICROS~1\Office15\GROOVEEX.DLL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro2 (SyncInProgress)]
@="{CD55129A-B1A1-438E-A425-CEBC7DC684EE}"
[HKEY_CLASSES_ROOT\CLSID\{CD55129A-B1A1-438E-A425-CEBC7DC684EE}]
2012-10-01 23:33    1720976    ----a-w-    c:\progra~2\MICROS~1\Office15\GROOVEEX.DLL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro3 (InSync)]
@="{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}"
[HKEY_CLASSES_ROOT\CLSID\{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}]
2012-10-01 23:33    1720976    ----a-w-    c:\progra~2\MICROS~1\Office15\GROOVEEX.DLL
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCleaner Monitoring"="c:\program files\CCleaner\CCleaner64.exe" [2015-05-08 8322328]
"EADM"="c:\programas\Origin\Origin.exe" [2016-06-09 3639280]
"Steam"="c:\programas\Steam\steam.exe" [2016-08-23 2857248]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2015-04-30 334896]
"IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2013-09-16 134616]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-05-20 291648]
"EEventManager"="c:\program files (x86)\Epson Software\Event Manager\EEventManager.exe" [2012-01-26 1058400]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"= "c:\program files (x86)\GbPlugin\gbiehuni.dll" [2015-07-06 1759992]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2016-06-16 14:34    1947872    ----a-w-    c:\program files (x86)\GbPlugin\gbieh.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginUni]
2015-07-06 18:20    1759992    ----a-w-    c:\program files (x86)\GbPlugin\gbiehuni.dll
.
R0 gbpddreg;Gbpddreg svc;c:\windows\system32\drivers\gbpddreg64.sys;c:\windows\SYSNATIVE\drivers\gbpddreg64.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 Intel(R) Capability Licensing Service TCP IP Interface;Intel(R) Capability Licensing Service TCP IP Interface;c:\program files\Intel\iCLS Client\SocketHeciServer.exe;c:\program files\Intel\iCLS Client\SocketHeciServer.exe [x]
R3 Origin Client Service;Origin Client Service;c:\programas\Origin\OriginClientService.exe;c:\programas\Origin\OriginClientService.exe [x]
S0 iusb3hcs;Driver de comutação do controlador host Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S1 gbpddfac;Warsaw File Access svc;c:\windows\system32\drivers\gbpddfac64.sys;c:\windows\SYSNATIVE\drivers\gbpddfac64.sys [x]
S1 wsddfac;wsddfac;c:\windows\system32\drivers\wsddfac.sys;c:\windows\SYSNATIVE\drivers\wsddfac.sys [x]
S1 wsddpp;Warsaw - Driver (PP);c:\windows\system32\drivers\wsddpp.sys;c:\windows\SYSNATIVE\drivers\wsddpp.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 EpsonCustomerParticipation;EpsonCustomerParticipation;c:\program files\EPSON\EpsonCustomerParticipation\EPCP.exe;c:\program files\EPSON\EpsonCustomerParticipation\EPCP.exe [x]
S2 EpsonScanSvc;Epson Scanner Service;c:\windows\system32\EscSvc64.exe;c:\windows\SYSNATIVE\EscSvc64.exe [x]
S2 GbpSv;Gbp Service;c:\progra~2\GbPlugin\GbpSv.exe;c:\progra~2\GbPlugin\GbpSv.exe [x]
S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe;c:\program files\Intel\iCLS Client\HeciServer.exe [x]
S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [x]
S2 Warsaw Technology;Warsaw Technology;c:\program files\Diebold\Warsaw\core.exe;c:\program files\Diebold\Warsaw\core.exe [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys;c:\windows\SYSNATIVE\drivers\AtihdW76.sys [x]
S3 GBPRCM;Service for G-Buster Driver (PM);c:\program files (x86)\GbPlugin\gbprcm64.sys;c:\program files (x86)\GbPlugin\gbprcm64.sys [x]
S3 iusb3hub;Driver para hub Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Driver de controlador host eXtensível Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 Warsaw_PP;Warsaw Protector;c:\progra~2\GbPlugin\wsftprp64.sys;c:\progra~2\GbPlugin\wsftprp64.sys [x]
S4 WinDivert1.1;WinDivert1.1;c:\program files\Diebold\Warsaw\WinDivert64.sys;c:\program files\Diebold\Warsaw\WinDivert64.sys [x]
.
.
--- =Outros Serviços/Drivers Na Memória ---
.
*Deregistered* - GbFtIn
*Deregistered* - mad_inj_driver
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2016-08-09 01:05    1262408    ----a-w-    c:\program files (x86)\Google\Chrome\Application\52.0.2743.116\Installer\chrmstp.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2016-09-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-07-07 23:28]
.
2016-09-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2015-07-08 02:41]
.
2016-09-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2015-07-08 02:41]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro1 (ErrorConflict)]
@="{8BA85C75-763B-4103-94EB-9470F12FE0F7}"
[HKEY_CLASSES_ROOT\CLSID\{8BA85C75-763B-4103-94EB-9470F12FE0F7}]
2012-10-01 23:47    2322576    ----a-w-    c:\progra~1\MICROS~1\Office15\GROOVEEX.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro2 (SyncInProgress)]
@="{CD55129A-B1A1-438E-A425-CEBC7DC684EE}"
[HKEY_CLASSES_ROOT\CLSID\{CD55129A-B1A1-438E-A425-CEBC7DC684EE}]
2012-10-01 23:47    2322576    ----a-w-    c:\progra~1\MICROS~1\Office15\GROOVEEX.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro3 (InSync)]
@="{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}"
[HKEY_CLASSES_ROOT\CLSID\{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}]
2012-10-01 23:47    2322576    ----a-w-    c:\progra~1\MICROS~1\Office15\GROOVEEX.DLL
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2012-01-16 12445288]
"Diebold - Warsaw"="c:\program files\Diebold\Warsaw\core.exe" [2016-06-22 925744]
"StartCN"="c:\program files\AMD\CNext\CNext\cnext.exe" [2015-11-18 4859592]
.
------- Scan Suplementar -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = 
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Enviar para o OneNote - c:\progra~2\MICROS~1\Office15\ONBttnIE.dll/105
IE: E&xportar para o Microsoft Excel - c:\progra~2\MICROS~1\Office15\EXCEL.EXE/3000
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
Trusted Zone: google.com\www
Trusted Zone: google.com.br\www
Trusted Zone: itau.b.br
Trusted Zone: itau.b.br\www
Trusted Zone: itau.com.br
Trusted Zone: itau.com.br\bankline
Trusted Zone: itau.com.br\banklineplus
Trusted Zone: itau.com.br\clickbanking
Trusted Zone: itau.com.br\guardiao
Trusted Zone: itau.com.br\www
Trusted Zone: itaupersonnalite.com.br\www
TCP: DhcpNameServer = 177.127.32.60 177.100.32.7 192.168.0.1
Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - c:\program files (x86)\Common Files\microsoft shared\OFFICE15\MSOXMLMF.DLL
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Tempo para conclusão: 2016-09-03  08:27:20
ComboFix-quarantined-files.txt  2016-09-03 11:27
.
Pré-execução: 70.488.559.616 bytes disponíveis
Pós execução: 69.835.984.896 bytes disponíveis
.
- - End Of File - - DFEE493640BDF073B57A937904110304
A36C5E4F47E84449FF07ED3517B43A31
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @lockenlow

 

Baixe o RogueKiller e salve em sua Área de Trabalho (Desktop).
32 bit (x86) ou 64 bit (x64)

Execute o arquivo RogueKiller.exe.

 

Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique na aba Scan, depois Start Scan. Aguarde o exame finalizar.
  • Clique no botão Open Report, e seguida em Open TXT
  • Abrirá um bloco de notas com informações.
  • Copie e cole o conteúdo desse arquivo em sua próxima resposta.

OBS: não use o botão Remove Selected pois precisamos primeiro avaliar os itens encontrados.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro @lockenlow

 

Vamos tentar com outro programa. ;)

 

Baixe a Malwarebytes Anti-Malware (MBAM).
 
Clique duas vezes no mbam-setup.exe para instalar o programa.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas..
  • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
  • Volte ao Painel e por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Registros do aplicativo na janela principal do programa.
  • Clique duas vezes no log (Registro de verificação). Utilize o formato .txt para exportar o log.
  • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
  • Selecione, copie e cole o conteúdo deste log em sua próxima resposta.

 

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa, agora foi !

 

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Data da verificação: 07/09/2016
Hora da verificação: 09:00
Arquivo de registro: malwarebytes.txt
Administrador: Sim

Versão: 2.2.1.1043
Banco de dados de malware: v2016.09.07.04
Banco de dados de rootkit: v2016.08.15.01
Licença: Gratuita
Proteção contra malware: Desabilitado
Proteção contra website malicioso: Desabilitado
Autoproteção: Desabilitado

Sistema operacional: Windows 7
CPU: x64
Sistema de arquivos: NTFS
Usuário: CLIENTE

Tipo de verificação: Verificação da ameaça
Resultado: Concluído
Objetos verificados: 305226
Tempo decorrido: 5 min, 25 seg

Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Habilitado
PUM: Habilitado

Processos: 0
(Nenhum item malicioso detectado)

Módulos: 0
(Nenhum item malicioso detectado)

Chaves de registro: 0
(Nenhum item malicioso detectado)

Valores de registro: 0
(Nenhum item malicioso detectado)

Dados de registro: 0
(Nenhum item malicioso detectado)

Pastas: 0
(Nenhum item malicioso detectado)

Arquivos: 3
HackTool.AutoKMS, C:\Program Files\KMSpico\AutoPico.exe, Quarentena, [d080e689e6b41125584a8dc96b9540c0], 
HackTool.AutoKMS, C:\Program Files\KMSpico\KMSELDI.exe, Quarentena, [6de33d32faa083b361922ab2d62e59a7], 
HackTool.AutoKMS, C:\Program Files\KMSpico\Service_KMS.exe, Quarentena, [81cf7bf44c4eaf8744aeb725659f936d], 

Setores físicos: 0
(Nenhum item malicioso detectado)


(end)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Amigo

 

O que foi detectado pelo Malwarebytes são ferramentas para legalizar programas, ou seja, pirataria.

 

De acordo com as regras desta área e do fórum, tópicos contendo produtos piratas serão trancados:

 

http://forum.clubedohardware.com.br/topic/558719-leia-antes-de-postar/

 

E itens 3 e 4 das regras gerais:

 

http://forum.clubedohardware.com.br/topic/690576-regras-do-fórum-atualizadas-em-14042016/

 

Espero que compreenda. Obrigado!

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×