Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
MTRAV93

Tela Azul com erro no fastfat.SYS (Antivírus Kasper não detectou infecção)

Recommended Posts

Meu Windows 7 Ultimate 64x vez ou outra aparece uma telinha azul e hoje ela apareceu com o seguinte erro (detalhe abaixo). Alguém poderia me dar uma força?
Ele trava às vezes, fica lento. Limpei os módulos de memória e tal, mas volta e meia a telinha azul me pega de surpresa. Meu antivírus (Kasper) não encontrou sinal de infecção. 

 

 

 

DETALHES DO PROBLEMA

 

ADDITIONAL_DEBUG_TEXT:  
Use '!findthebuild' command to search for the target build information.
If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.

MODULE_NAME: fastfat

FAULTING_MODULE: fffff80003053000 nt

DEBUG_FLR_IMAGE_TIMESTAMP:  58c2cc6e

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - A instru  o no 0x%08lx fez refer ncia   mem ria no 0x%08lx. A mem ria n o p de ser %s.

FAULTING_IP: 
fastfat+d538
fffff880`04a94538 448b4944        mov     r9d,dword ptr [rcx+44h]

EXCEPTION_PARAMETER1:  0000000000000000

EXCEPTION_PARAMETER2:  0000000000000044

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
 0000000000000044 

ERROR_CODE: (NTSTATUS) 0xc0000005 - A instru  o no 0x%08lx fez refer ncia   mem ria no 0x%08lx. A mem ria n o p de ser %s.

BUGCHECK_STR:  0x1E_c0000005

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

CURRENT_IRQL:  0

LAST_CONTROL_TRANSFER:  from fffff800031d6d98 to fffff800030f74a0

STACK_TEXT:  
fffff880`09abe648 fffff800`031d6d98 : 00000000`0000001e ffffffff`c0000005 fffff880`04a94538 00000000`00000000 : nt+0xa44a0
fffff880`09abe650 00000000`0000001e : ffffffff`c0000005 fffff880`04a94538 00000000`00000000 00000000`00000044 : nt+0x183d98
fffff880`09abe658 ffffffff`c0000005 : fffff880`04a94538 00000000`00000000 00000000`00000044 fffff880`0a7ab001 : 0x1e
fffff880`09abe660 fffff880`04a94538 : 00000000`00000000 00000000`00000044 fffff880`0a7ab001 fffffa80`07cff873 : 0xffffffff`c0000005
fffff880`09abe668 00000000`00000000 : 00000000`00000044 fffff880`0a7ab001 fffffa80`07cff873 fffff800`030a6231 : fastfat+0xd538


STACK_COMMAND:  kb

FOLLOWUP_IP: 
fastfat+d538
fffff880`04a94538 448b4944        mov     r9d,dword ptr [rcx+44h]

SYMBOL_STACK_INDEX:  4

SYMBOL_NAME:  fastfat+d538

FOLLOWUP_NAME:  MachineOwner

IMAGE_NAME:  fastfat.SYS

BUCKET_ID:  WRONG_SYMBOLS

Followup: MachineOwner
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

@MTRAV93

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento de torrent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Siga os passos abaixo:

ETAPA 1

Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
https://downloads.malwarebytes.org/file/mbam_current/
 
Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

  • Na aba Análise > Analise Personalizada marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho.


ATENÇÃO: Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

Clique em VERIFICAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.
 

ETAPA 3


Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.


Faça o download do ZHPCleaner no link abaixo e salve em sua Área de trabalho (Desktop)

https://www.nicolascoolman.com/download/zhpcleaner/


Execute o arquivo ZHPCleaner.exe Como Administrador

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Seguem os 3 relatórios:

 

Malwarebytes
www.malwarebytes.com

-Detalhes de registro-
Data do evento de proteção: 15/04/18
Hora do evento de proteção: 09:36
Arquivo de registro: 58c53fe0-3e85-11e8-af4f-00ff7034b73f.json
Administrador: Sim

-Informação do software-
Versão: 3.4.5.2467
Versão de componentes: 1.0.342
Versão do pacote de definições: 1.0.4714
Licença: Versão de Avaliação

-Informação do sistema-
Sistema operacional: Windows 7 Service Pack 1
CPU: x64
Sistema de arquivos: NTFS
Usuário: System

-Detalhes do website bloqueado-
Website malicioso: 1
, , Bloqueado, [-1], [-1],0.0.0

-Dados do website-
Categoria: Malware
Domínio: www.guitars.ru
Endereço IP: 92.53.96.133
Porta: [54167]
Tipo: Saída
Arquivo: C:\Users\Mtrav93\AppData\Local\Google\Chrome\Application\chrome.exe

(end)

 

 

 

 

 

=========

# -------------------------------
# Malwarebytes AdwCleaner 7.1.0.0
# -------------------------------
# Build:    04-15-2018
# Database: 2018-04-11.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-15-2018
# Duration: 00:01:15
# OS:       Windows 7 Ultimate
# Cleaned:  4
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKU\S-1-5-18\SOFTWARE\d48bdcb534bd49
Deleted       HKU\.DEFAULT\SOFTWARE\d48bdcb534bd49

***** [ Chromium (and derivatives) ] *****

Deleted       bbjciahceamgodcoidkjpchnokgfpphh

***** [ Chromium URLs ] *****

Deleted       Ask Brasil
Not Deleted   Ask Brasil

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

 

 

 

 

 

====================

~ ZHPCleaner v2018.4.14.66 by Nicolas Coolman (2018/04/14)
~ Run by Mtrav93 (Administrator)  (15/04/2018 23:06:26)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Repair
~ Report : C:\Users\Mtrav93\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Mtrav93\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Ultimate, 64-bit Service Pack 1 (Build 7601)

---\  Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found. (ADS)

---\  Services (0)
~ No malicious or unnecessary items found. (Service)

---\  Browser internet (0)
~ No malicious or unnecessary items found. (Browser)

---\  Hosts file (1)
~ The hosts file is legitimate (27)

---\  Scheduled automatic tasks. (0)
~ No malicious or unnecessary items found. (Task)

---\\  Explorer ( File, Folder) (0)
~ No malicious or unnecessary items found.

---\  Registry ( Key, Value, Data) (2)
DELETED key*: HKLM\SOFTWARE\Wow6432Node\Winmend []  =>.SUP.SunnyDigit
DELETED key: HKLM\SOFTWARE\Winmend []  =>.SUP.SunnyDigit

---\  Summary of the elements found (1)
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.SunnyDigit

---\  Other deletions. (13)
~ Registry Keys Tracing deleted (13)
~ Remove the old reports ZHPCleaner. (0)

---\ Result of repair
~ Repair carried out successfully
~ Browser not found (Opera Software)

---\ Statistics
~ Items scanned : 1113
~ Items found : 0
~ Items cancelled : 0
~ Items options : 0/7
~ Space saving (bytes) : 0
~ End of clean in 00h00mn21s

---\  Reports (1)
ZHPCleaner-[R]-16042018-10_06_47.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

@MTRAV93

 

Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
roguekiller.exe (x64) << link

  • Feche todos os programas
  • Execute o RogueKiller.exe.
    ** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png.
  • Quando a janela da Eula aparecer, clique em Accept.
  • Selecione a aba SCAN
  • Clique em START SCAN
  • Aguarde ate que o scan termine...
  • Clique no botão OPEN REPORT
  • Clique na opção EXPORT TXT e salve na Área de Trabalho com o nome de roguekiller.txt
  • Clique em OK e feche o RogueKiller.


Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue...

 

 

RogueKiller V12.12.13.0 (x64) [Apr 16 2018] (Free) por Adlice Software
mail : http://www.adlice.com/contact/
Feedback : https://forum.adlice.com
Site : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Iniciou : Modo normal
Usuário : Mtrav93 [Administrador]
Started from : C:\Program Files\RogueKiller\RogueKiller64.exe
Modo : Escanear -- Data : 04/16/2018 14:42:34 (Duration : 00:51:27)

¤¤¤ Processos : 3 ¤¤¤
[PUP.HackTool|VT.Detected] KMS-R@1nHook.exe(4272) -- C:\Windows\KMS-R@1nHook.exe[-] -> Encontrado
[PUP.uTorrentAds|VT.Detected] utorrentie.exe(4768) -- C:\Users\Mtrav93\AppData\Roaming\uTorrent\updates\3.5.3_44358\utorrentie.exe[7] -> Encontrado
[PUP.uTorrentAds|VT.Detected] utorrentie.exe(5000) -- C:\Users\Mtrav93\AppData\Roaming\uTorrent\updates\3.5.3_44358\utorrentie.exe[7] -> Encontrado

¤¤¤ Registro : 18 ¤¤¤
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KMS-R@1n (C:\Windows\KMS-R@1n.exe) -> Encontrado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\KMS-R@1n (C:\Windows\KMS-R@1n.exe) -> Encontrado
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Encontrado
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Encontrado
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{629806E0-69F0-44D6-ABE8-8023CFDD338C} | DhcpNameServer : 172.20.10.1 ([])  -> Encontrado
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{629806E0-69F0-44D6-ABE8-8023CFDD338C} | DhcpNameServer : 172.20.10.1 ([])  -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{AA367EDD-EAEB-43B8-BBE5-2F8CE680A8E9}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{C64A9C59-8304-441E-86AB-1BABFB5EFFE3}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Encontrado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {2264B4CF-820D-4852-8E52-C9E5290A43D1} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Encontrado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {4DEC1F22-5DF4-4743-B70D-B20BDA4A7092} : v2.10|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{AA367EDD-EAEB-43B8-BBE5-2F8CE680A8E9}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{C64A9C59-8304-441E-86AB-1BABFB5EFFE3}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Encontrado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {2264B4CF-820D-4852-8E52-C9E5290A43D1} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Encontrado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {4DEC1F22-5DF4-4743-B70D-B20BDA4A7092} : v2.10|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Encontrado
[PUP.HackTool|VT.Detected] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> Encontrado
[PUP.HackTool|VT.Detected] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> Encontrado
[PUP.HackTool|VT.Detected] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> Encontrado
[PUP.HackTool|VT.Detected] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> Encontrado

¤¤¤ Tarefas : 1 ¤¤¤
[Hj.Name] \MindManagerV18 Notifications Check {S-1-5-21-3915900886-2842767957-3865804-1000} -- rundll32.exe ("C:\Program Files\Mindjet\MindManager 18\MmProductNotifications.dll",InvokeNotificationsShellable) -> Encontrado

¤¤¤ Arquivos : 5 ¤¤¤
[PUP.HackTool][Arquivo] C:\Windows\KMS-R@1nHook.exe -> Encontrado
[PUP.uTorrentAds][Arquivo] C:\Users\Mtrav93\AppData\Roaming\uTorrent\updates\3.5.0_44090\utorrentie.exe -> Encontrado
[PUP.uTorrentAds][Arquivo] C:\Users\Mtrav93\AppData\Roaming\uTorrent\updates\3.5.0_44294\utorrentie.exe -> Encontrado
[PUP.uTorrentAds][Arquivo] C:\Users\Mtrav93\AppData\Roaming\uTorrent\updates\3.5.1_44332\utorrentie.exe -> Encontrado
[PUP.uTorrentAds][Arquivo] C:\Users\Mtrav93\AppData\Roaming\uTorrent\updates\3.5.3_44358\utorrentie.exe -> Encontrado

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Arquivos de hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

¤¤¤ Navegadores : 1 ¤¤¤
[PUM.Proxy][Firefox:Config] wmnwb9k0.default : user_pref("network.proxy.type", 2); -> Encontrado

¤¤¤ Verificação da MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AVCS-632DY1 ATA Device +++++
--- User ---
[MBR] 181e00dfcffd6dd7a6e7b582a270a686
[BSP] 316c489727e81e4c13e71aef77efc9e1 : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 220996 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 452808090 | Size: 255839 MB
User = LL1 ... OK
User = LL2 ... OK

Compartilhar este post


Link para o post
Compartilhar em outros sites

@MTRAV93

 

Feche todos os programas

  • Execute RogueKiller.exe.
    ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png
  • Quando a Eula aparecer, clique em Accept.
  • Selecione a aba SCAN e clique em START SCAN
  • Aguarde ate que o scan termine.
  • >>>>>>> Navegue entre as abas e marque todas as entradas encontradas <<<<<<<
  • Clique em REMOVE SELECTED
  • Aguarde ate que o programa termine de deletar as infecções.
  • Clique no botão OPEN REPORT e depois em EXPORT TXT
  • Salve como report.txt na sua Área de Trabalho

Abra o arquivo report.txt salvo no sua Área de Trabalho, copie e cole todo o conteudo na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Elias Pereira

 

Teria algum problema de eu ter executado em Modo Seguro?

Segue o relatório...

 

 

RogueKiller V12.12.13.0 (x64) [Apr 16 2018] (Free) por Adlice Software
mail : http://www.adlice.com/contact/
Feedback : https://forum.adlice.com
Site : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Iniciou : Modo de segurança com rede
Usuário : Mtrav93 [Administrador]
Started from : C:\Program Files\RogueKiller\RogueKiller64.exe
Modo : Deletar -- Data : 04/19/2018 13:27:50 (Duration : 00:37:51)

¤¤¤ Processos : 0 ¤¤¤

¤¤¤ Registro : 26 ¤¤¤
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132442897\Software\Headlight -> Deletado
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132442897\Software\Headlight -> Deletado
[PUP.Funmoods|PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132442897\Software\Microsoft\Windows\CurrentVersion\Uninstall\funmoods -> Deletado
[PUP.Funmoods|PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132442897\Software\Microsoft\Windows\CurrentVersion\Uninstall\funmoods -> Deletado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KMS-R@1n (C:\Windows\KMS-R@1n.exe) -> Deletado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\KMS-R@1n (C:\Windows\KMS-R@1n.exe) -> Deletado
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132442897\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal  -> Substituído (http://go.microsoft.com/fwlink/p/?LinkId=255141)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132442897\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal  -> Substituído (http://go.microsoft.com/fwlink/p/?LinkId=255141)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Substituído (http://search.msn.com/spbasic.htm)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Substituído (http://search.msn.com/spbasic.htm)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132436628\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Substituído (http://search.msn.com/spbasic.htm)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-3915900886-2842767957-3865804-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04192018132436628\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Substituído (http://search.msn.com/spbasic.htm)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{629806E0-69F0-44D6-ABE8-8023CFDD338C} | DhcpNameServer : 172.20.10.1 ([])  -> Substituído ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{629806E0-69F0-44D6-ABE8-8023CFDD338C} | DhcpNameServer : 172.20.10.1 ([])  -> Substituído ()
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{AA367EDD-EAEB-43B8-BBE5-2F8CE680A8E9}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Não selecionado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{C64A9C59-8304-441E-86AB-1BABFB5EFFE3}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Não selecionado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {2264B4CF-820D-4852-8E52-C9E5290A43D1} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Não selecionado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {4DEC1F22-5DF4-4743-B70D-B20BDA4A7092} : v2.10|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Não selecionado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{AA367EDD-EAEB-43B8-BBE5-2F8CE680A8E9}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Deletado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{C64A9C59-8304-441E-86AB-1BABFB5EFFE3}C:\windows\kmsemulator.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\windows\kmsemulator.exe|Name=KMSEmulator|Desc=KMSEmulator|Defer=User| [x] -> Deletado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {2264B4CF-820D-4852-8E52-C9E5290A43D1} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Deletado
[PUP.HackTool] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {4DEC1F22-5DF4-4743-B70D-B20BDA4A7092} : v2.10|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|LPort=1688|App=C:\Windows\KMS-R@1n.exe|Name=KMS-R@1n| [x] -> Deletado
[PUP.HackTool|VT.Detected] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> Deletado
[PUP.HackTool|VT.Detected] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> Deletado
[PUP.HackTool|VT.Detected] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> ERROR [2]
[PUP.HackTool|VT.Detected] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppSvc.exe | Debugger : KMS-R@1nHook.exe [-] -> ERROR [2]

¤¤¤ Tarefas : 0 ¤¤¤

¤¤¤ Arquivos : 1 ¤¤¤
[PUP.HackTool][Arquivo] C:\Windows\KMS-R@1nHook.exe -> Deletado

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Arquivos de hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Não carregado [0xc000035f]) ¤¤¤

¤¤¤ Navegadores : 1 ¤¤¤
[PUM.Proxy][Firefox:Config] wmnwb9k0.default : user_pref("network.proxy.type", 2); -> Substituído (0)

¤¤¤ Verificação da MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AVCS-632DY1 ATA Device +++++
--- User ---
[MBR] 181e00dfcffd6dd7a6e7b582a270a686
[BSP] 316c489727e81e4c13e71aef77efc9e1 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 220996 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 452808090 | Size: 255839 MB
User = LL1 ... OK
User = LL2 ... OK

Compartilhar este post


Link para o post
Compartilhar em outros sites

@MTRAV93

 

Pressione as teclas Windows tecla-windows.gif + R e digite: msconfig
 
- Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo
- Clique na guia Inicialização de Programas e clique em Desativar tudo
 
Siga as mensagens ate que seja solicitado a reiniciar.

Após isso me informe se os problemas em relação a malwares ainda persistem.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Elias , 

Bom, impossível negar que o computador não tenha dado uma melhorada muito boa, visto que os constantes travamentos cessaram. Agora  confesso que fiquei com muito receio de realizar por completo este último procedimento, porque da última vez que eu fiz isso, o meu outro computador simplesmente não ligou mais, aí eu tive que recuperar meus documentos através de um tal de "Live-CD", porém o Windows foi pro "beleléu", daí tive que formatá-lo. Agora dá uma verificada nos processos da aba "INICIALIZAÇÃO DE PROGRAMAS" que eu não desabilitei por puro receio, segue a imagem mais abaixo.

Olha, nesse exato momento o meu Windows ainda tá com um travamentozinho, principalmente quando tento acessar o "MEU COMPUTADOR" ou alguma outra janela pela primeira vez depois do S.O já carregado, ele demora muito pra abrir. Fora isso, você conseguiu recuperá-lo divinamente bem. Deixando aqui já de antemão um obrigado com louvor pra você.

image.png.b15774ae1c44a69da983aa82f1384a40.png

Editado por MTRAV93

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Elias Pereira

 

Ok, aí eu fui até o caminho dos executáveis, em vez de eles aparecerem lá com a extensão ".exe", eu me deparei com os dois primeiros do msconfig compactados (fig.1). Daí abri os compactados e encontrei o executável deles com um sinal de asterisco (fig.2). Até aí, beleza! O problema é que quando tentei descompactar, foi pedido uma senha, como não tinha a senha, resolvi subir os compactados assim mesmo, e no final da varredura, teve apenas um único antivírus que detectou o "compulsório.zip" como "PossibleThreat" (fig.3). Já o terceiro desconhecido, o "BgMonitor", o caminho mostrado no msconfig pra ele não existe. (fig.4). E aí, o que poderia ser, seria uma ameaça?! Porque embutiram uma senha justamente pra não descompactar os executáveis.

image.png.9dedcd83d9e0e40f88d42dbec11df99a.png

 

image.png.05e4fd51d4178237977c8e39f5c06100.png

 

image.png.2d922eb5945d770791041842c20f6e2c.png

 

image.thumb.png.328601a719661241fbae8a164e6d97d0.png

 

Scan do compulsorio: https://www.virustotal.com/#/file/7a1137464b5fd67287f4232ebf5fa0453dbe2d5e439162d4d6c332b993eaf2ab/detection

Scan do liskidisa: https://www.virustotal.com/#/file/346fec86af1789b3c5d135fd8be85a2a919abfaca85c4c8fccd67c94258cf917/detection

Não escaneou o "BgMonitor" pelo motivo citado acima.

Editado por MTRAV93
Havia esquecido de adicionar os links solicitados

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário






Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×