Chaves de registro com caracteres chineses, o que são?

[luiz_l]

Eu estava deletando alguns registro no regedit e encontrei isso㈜荱痿耀绝�ﰉ萂䕲ꦨ煒䡦垩

Computador\HKEY_USERS\S-1-5-21-2542068703-144574761-1523392838-1001_Classes\㈜荱痿耀绝�ﰉ萂䕲ꦨ煒䡦垩

 

Alguém sabe o que é isso?

 

Não lembro de ter baixado algum programa ou jogo japonês ou chinês, se ele for um malware ele não foi detectado, eu já rodei o Kaspersky e o rougue killer e nada foi acusado, primeira que eu pensei que foi algum malware também, mas eu resolvi perguntar aqui antes, se alguém já tinha visto.

Se esses registros não tem nada relacionado ao windows, entao eu posso deletar? E ver o que acontece?

[Lusitano]

@luiz_l

Caro usuário,

Algumas regras básicas a ter em conta:

• Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
• Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
• Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
• Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
• Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
• Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Instruções:

 

1. Faça o download e execute esta ferramenta.

 

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

Na sua próxima resposta, por gentileza coloque:

• Resultado do ponto nº 1
• Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)

[]'s

[luiz_l]

1°AdwCleaner[S00].txt

 

2°Addition.txtFRST.txt

[Lusitano]

@luiz_l

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente

Citação

Start::
closeprocesses:
createrestorepoint:

HKLM-x32\...\Run: [TeamsMachineUninstallerProgramData] => %ProgramData%\Microsoft\Teams\Update.exe --uninstall --msiUninstall --source=default (Nenhum Arquivo)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrição <==== ATENÇÃO
ShortcutTarget: Enviar para o OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Nenhum Arquivo)
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Google: Restrição <==== ATENÇÃO
Task: {AFB89005-2B8B-4279-BC64-F6879E3690CA} - System32\Tasks\CareCenter\cmsc_Reg_HKLMWow6432Run => c:\program files (x86)\cmcm\Clean Master\cmtray.exe -autorun (Nenhum Arquivo)
Task: {B73565F3-E73E-462B-B3F5-E4E07E8E6984} - System32\Tasks\App Explorer => C:\Users\luize\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7822896 2021-12-15] (SweetLabs Inc. -> SweetLabs, Inc) <==== ATENÇÃO
Task: {BCDBB474-F25E-4585-8834-CF1DBF626042} - System32\Tasks\CareCenter\SecurityHealth_Reg_HKLMRun => C:\Program Files\Windows Defender\MSASCuiL.exe (Nenhum Arquivo)
App Explorer (HKU\S-1-5-21-2542068703-144574761-1523392838-1001\...\Host App Service) (Version: 0.273.4.369 - SweetLabs) <==== ATENÇÃO
App Explorer (HKU\S-1-5-21-2542068703-144574761-1523392838-1004\...\Host App Service) (Version: 0.272.1.295 - SweetLabs) <==== ATENÇÃO
App Explorer (HKU\S-1-5-21-2542068703-144574761-1523392838-500\...\Host App Service) (Version: 0.273.4.346 - SweetLabs) <==== ATENÇÃO
ContextMenuHandlers1: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} =>  -> Nenhum Arquivo
ContextMenuHandlers2: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} =>  -> Nenhum Arquivo
ContextMenuHandlers4: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} =>  -> Nenhum Arquivo
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Nenhum Arquivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Nenhum Arquivo
IE trusted site: HKU\S-1-5-21-2542068703-144574761-1523392838-1001\...\webcompanion.com -> hxxp://webcompanion.com
FF Plugin-x32: @tools.CryptoTab.com/CryptoTab Update;version=3 -> C:\Program Files (x86)\CryptoCompany\Update\1.3.99.31\npCryptoTabUpdate3.dll [Nenhum Arquivo]
FF Plugin-x32: @tools.CryptoTab.com/CryptoTab Update;version=9 -> C:\Program Files (x86)\CryptoCompany\Update\1.3.99.31\npCryptoTabUpdate3.dll [Nenhum Arquivo]
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]

Emptytemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

[luiz_l]

Executei e corrigi com FRST64.exe porém aqueles caracteres chinês/japonês continuam.

 

Fixlog.txt

 

 

[Lusitano]

39 minutos atrás, luiz_l disse:

aqueles caracteres chinês/japonês continuam.

@luiz_l Ainda não chegámos a essa fase. Seu sistema estava com alguns malwares e começámos desde logo por eliminar boa parte deles, mas o processo tem de ser feito por etapas e só vamos podendo corrigir aquilo que vamos vendo

 

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
• Clique direito em esetonlinescanner_enu.exe e execute como administrador
• Clique em Computer Scan
• Clique em Full scan
• Selecione Enable ESET to detect and quarantine potentially unwanted applications
• Clique em Start scan
• Quando terminar, salve o resultado no seu desktop como ESETScan.txt
• Clique Continue e depois em Close
• Execute novamente a ferramenta FRST, tal como indicado no meu primeiro post.
• Anexe o arquivo ESETScan.txt e os dois novos arquivos frst.txt e addition.txt

 

[luiz_l]

ESETScan.txtAddition.txtFRST.txt

[Lusitano]

Olá @luiz_l

Para podermos verificar essas chaves de registro com esses caracteres, faça o seguinte:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente

Citação

 

Start::
closeprocesses:
createrestorepoint:

ExportKey: HKEY_USERS\S-1-5-21-2542068703-144574761-1523392838-1001_Classes

End::

 

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta.

[luiz_l]

@Lusitano Fixlog.zip

[Lusitano]

@luiz_lOlá,

Essas chaves com esses caracteres eu não creio estarem relacionadas com malware. Nós já removemos os malwares que o seu sistema continha e portanto caso não note nada estranho com o seu pc, eu não removeria essas chaves, mas caso você opte por remover essas chaves, lembre-se primeiro de fazer um backup do registro, assim caso algo errado aconteça, você pode reverter isso facilmente.

 

Por gentileza, informe se nota algo errado com o seu pc agora

 

[luiz_l]

@Lusitano Ola,

Antes de todo o processo de remoção, eu não percebia nada de anormal no notebook, nem lentidão ou paginas estranhas no browser, mesmo com todo aqueles malware no note. Apenas me deixou ressabiado aqueles registros com caracteres estranhos, após a remoção dos malware do note, por enquanto não vejo nada de diferente no notebook.

 

Agradeço pela Ajuda.

Obrigado.

[Lusitano]

@luiz_l

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

Faça o download de KpRm e salve no seu desktop.

• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais.

 

Abraço

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.