Meu Sistema da Tela Azul após fazer uma varredura com o Microsoft Defender e out

Novich · 13 de fevereiro de 2022

Meu computador tá dando tela azul há 3 dias então fui fazer uma varredura básica para verificar se é um possível vírus, mas toda tipo de varredura que eu faço o sistema logo da Tela Azul e reinicia, já fiz de tudo mas sempre que uso uma aplicativo de varredura o sistema reinicia, estou com suspeita que fui invadido por um hack ou um vírus que detecta essas ações de remoção, quem puder me ajudar serei eternamente grato, ;x

Lusitano · 15 de fevereiro de 2022

@Novich

Caro usuário, desculpe a demora.

Caso ainda necessite do nosso auxilio, por gentileza siga as instruções deste tópico:

Novich · 16 de fevereiro de 2022

Boa noite, sim gostaria da sua ajuda, tenho sofrido todo tipo de problema, computador reiniciando sozinho, problemas de conexão entre outros, tem nem 4 meses que formatei, mal baixo jogos de torrent e sofro bastante por isso, estou quase saindo do windows 10 pra ir pro 7, fico na espera de uma resposta, grato desde de já.

Lusitano · 16 de fevereiro de 2022

@NovichAmigo, necessito que siga as instruções do tópico abaixo e que coloque os resultados das análises solicitadas. Sem isso, não tem como eu o poder ajudar:

Novich · 17 de fevereiro de 2022

Desculpa Lusitano, tive um probleminha pessoa e só agr cedo pude liga o computador pra resolver esse problema, muito obrigado pela sua compreensão e tempo.

Seguindo as etapa

# Etapa nº 1 #
# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build: 11-18-2021
# Database: 2022-02-03.4 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 02-17-2022
# Duration: 00:00:00
# OS: Windows 10 Pro
# Cleaned: 0
# Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1405 octets] - [17/02/2022 06:02:38]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Etapa 2

O FRST64.exe eu inicia no modo windows normal, não sei se é mais preciso iniciar ele no modo seguro ou não faz diferencia.

ficarei no aguardo por uma resposta, obrigado

Addition.txt FRST.txt Shortcut.txt

Lusitano · 17 de fevereiro de 2022

@NovichOlá,

Antes de poder lhe passar o script de limpeza, necessito de saber algumas coisas:

Citação

GroupPolicy: Restrição ? <==== ATENÇÃO

Foi você que fez ou é do seu conhecimento estas políticas de grupo?

Citação

Hosts: O arquivo Hosts não foi detectado no seu diretório padrão
Tcpip\Parameters: [DhcpNameServer] 181. 213.132.2 181.213.132.3

Isso também é do seu conhecimento ou foi você a fazer?

Citação

C:\Users\Novich\Desktop\asdasdasdads

Isso também é do seu conhecimento ou foi você a fazer?

Programas:

C:\Windows\Trend Micro <== Não usa, quer manter?
C:\Program Files\SUPERAntiSpyware <== Não recomendo, quer manter?
C:\Users\Public\Desktop\Driver Easy <== Não recomendo, quer manter?

Novich · 17 de fevereiro de 2022

Bom dia

esse pasta C:\Users\Novich\Desktop\asdasdasdads criei pra coloca o Malwarebytes pra tenta remover mas pode apagar,

Programas:

C:\Windows\Trend Micro <== Não usa, quer manter?

C:\Program Files\SUPERAntiSpyware <== Não recomendo, quer manter? R: Não

C:\Users\Public\Desktop\Driver Easy <== Não recomendo, quer manter? R: Não

Hosts: O arquivo Hosts não foi detectado no seu diretório padrão
Tcpip\Parameters: [DhcpNameServer] 181. 213.132.2 181.213.132.3

Esses Hosts não conheço bem mas eu uso o programa da Cloudflare que é tipo uma VPN pra diminuir o ping dos jogos não sei se tem alguma ligação

Esse GroupPolicy: Restrição ? <==== ATENÇÃO

Não sei se foi porque usei o OOSU10.exe pra restringir algumas coisas desnescessaria do windows que roda em segundo plano, pos uso pra priorizar FPS, Low Latency e Inputlag, não sei isso tem alguma ligação

Lusitano · 17 de fevereiro de 2022

@NovichOlá,

1. Desinstalação de programas:

    Pressione as teclas win + R;
    Na caixa que abrir, digite: appwiz.cpl e dê enter;
    Localize e desinstale os seguintes programas (caso existam):

Driver Easy
SUPERAntiSpyware
Easeware

2. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente:

Citação

Start::
closeprocesses:
createrestorepoint:
SystemRestore: On
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0
HKLM\...\Policies\Explorer: [AllowOnlineTips] 0
HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\...\Policies\Explorer: [NoWinkeys] 0
HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\...\Policies\Explorer: [NoTrayContextMenu] 0
HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\...\Policies\Explorer: [NoSetTaskbar] 0
HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\...\Policies\Explorer: [HideSCAMeetNow] 1
GroupPolicy: Restrição ? <==== ATENÇÃO
GroupPolicy\User: Restrição - Edge <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restrição <==== ATENÇÃO
HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\SOFTWARE\Policies\Microsoft\Edge: Restrição <==== ATENÇÃO
Task: {F46170FE-FDAE-4B54-B406-B2DAAF2A8C3B} - System32\Tasks\Driver Easy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [3984136 2022-01-17] (Easeware Technology Limited -> Easeware)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <==== ATENÇÃO
Edge HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [llbjbkhnmlidjebalopleeepgdfgcpec] - C:\Program Files (x86)\Internet Download Manager\IDMEdgeExt.crx <não encontrado (a)>
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF HKU\S-1-5-21-2831142046-2021815002-3639406133-1001\...\SeaMonkey\Extensions: [[email protected]] - C:\Program Files (x86)\Internet Download Manager\idmmzcc2.xpi => não encontrado (a)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.50918.0\npctrl.dll [Nenhum Arquivo]
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <não encontrado (a)>
CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <não encontrado (a)>
S3 HWiNFO_165; C:\Users\Novich\AppData\Local\Temp\HWiNFO64A_165.SYS [56888 2022-02-15] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) <==== ATENÇÃO
S3 npf; \??\C:\Users\Novich\AppData\Local\Temp\HouseCall\tmase\nmap\npf\x64\npf.sys [X] <==== ATENÇÃO
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Novich\AppData\Local\Microsoft\OneDrive\22.002.0103.0004\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{20894375-46AE-46E2-BAFD-CB38975CDCE6}\InprocServer32 -> C:\Users\Novich\AppData\Local\Microsoft\OneDrive\22.002.0103.0004\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{3f5d0051-61b8-0f45-6166-996cfb4f914f}\localserver32 -> "C:\Program Files\PowerToys\modules\launcher\PowerToys.PowerLauncher.exe" -ToastActivated => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> "C:\Users\Novich\AppData\Local\Microsoft\OneDrive\22.002.0103.0004\Microsoft.SharePoint.exe" => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Novich\AppData\Local\Microsoft\OneDrive\22.002.0103.0004\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Novich\AppData\Local\Microsoft\OneDrive\22.002.0103.0004\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2831142046-2021815002-3639406133-1001_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> "C:\Users\Novich\AppData\Local\Microsoft\OneDrive\22.002.0103.0004\Microsoft.SharePoint.exe" => Nenhum Arquivo
FirewallRules: [{20FE39D5-8BAD-4A7C-B140-64EBA2C870E2}] => (Allow) C:\Users\Novich\AppData\Local\Temp\HouseCall\tmase\nmap\nmap.exe => Nenhum Arquivo
FirewallRules: [{45E7E852-148A-4D87-81F4-AD3AE0D4F266}] => (Allow) LPort=31104
FirewallRules: [{E0F1B008-6937-446E-9371-588823301987}] => (Allow) LPort=31105
FirewallRules: [{26A534CB-D648-4DC5-B126-E1313A579B03}] => (Allow) LPort=31106
FirewallRules: [{1C25D257-8F51-40CC-983F-70F055CA824A}] => (Allow) LPort=31107
FirewallRules: [{E498A1B9-44E7-4A12-827E-2AA5F600FE3D}] => (Allow) LPort=31108
FirewallRules: [{D4CA3617-D06C-4489-BCA1-B7DDCB15CF5F}] => (Allow) LPort=31109
FirewallRules: [{5AD3BF86-D21E-457E-B184-9BE3F16FAF6A}] => (Allow) LPort=31110
FirewallRules: [{B7834472-AF81-4ABA-A391-46B0A8179560}] => (Allow) LPort=31111
FirewallRules: [{41BA2823-E42C-4EA0-B2CF-F1498F0373D8}] => (Allow) LPort=31112
FirewallRules: [{ADD6561D-4F4D-47E5-887A-4992E52B5304}] => (Allow) LPort=31113
FirewallRules: [{26CB169B-89EF-4ACC-AD62-D434F0EDD920}] => (Allow) LPort=31114
FirewallRules: [{B0F5F0E6-8CAB-4EAB-9648-D1BC1872E7A0}] => (Allow) LPort=31115
FirewallRules: [{57645C7F-DCB8-4E3C-AAD4-63BDA2A37EFA}] => (Allow) LPort=31116
FirewallRules: [{712EB902-37E1-4EC2-8947-AEF446E362B9}] => (Allow) LPort=31117
Folder:
C:\Users\Novich\Desktop\asdasdasdads
C:\Program Files\SUPERAntiSpyware
C:\Users\Novich\AppData\Roaming\Easeware
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Easy
C:\Program Files\Easeware
File:
C:\Users\Public\Desktop\Driver Easy.lnk
C:\Windows\Tasks\Driver Easy Scheduled Scan.job
C:\Windows\system32\Tasks\Driver Easy Scheduled Scan
Hosts:
RemoveProxy:
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: ipconfig /flushDNS
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Emptytemp:
Reboot:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Também modificamos a firewall e poderá ser necessário permitir alguns programas.

Novich · 17 de fevereiro de 2022

Baixei esse Debloater 3 dias antes de tudo isso ocorrer, mas não sei se talvez foi o que agravou todo o problema, no site do desenvolvedor desse script fala que o que tem ai não prejudica o sistema então vou mostra o print do que tem nele e se desativando algum desses recursos do Windows desnecessário causaria algum problema de segurança dando brecha pra virus ou algo do tipo, fora isso percebe um grande ganho de desempenho tanto em jogos quanto em uso geral.

*Privacidade do Windows

*Segurança do Windows

*Serviços do Windows

Tweaks para o Windows

Tweaks para Jogos

Fora isso não mexo em mais nada, só faço esses ajuste para remover coisas desnecessárias do Windows, como feed de noticias, coisas rodando em segundo plano serviços de bluetooth que nunca uso, sistema de biometria que não uso e etc.. coisas que fica rodando desnecessário, então se puder me informa sobre ficarei feliz, o Fix ta logo a baixo

Fixlog.txt

Lusitano · 17 de fevereiro de 2022

Do que eu consegui ver desse software, há coisas que não tem problema em você mexer e outras que o melhor é deixar como o padrão que vem por defeito no windows. Como não estou inteiramente por dentro desse software, não posso ser completamente objetivo no que você pode ou não fazer.

Por gentileza, informe como está seu pc agora? Algo errado que você esteja notando ainda?

Novich · 17 de fevereiro de 2022

Compreendi, até o momento parece normal, mas o que vejo muito é o uso muito alto fora do comum em navegador e em jogos principalmente no navegador, uso o OperaGx e uso o limitador de Hardware, mas mesmo assim olho no gerenciador de tarefa fica com consumo muito alto quando assisto um vídeo no youtube por exemplo, tava até pensando que era possível um virus de minerador no meu pc, porque até a placa de vídeo fica muito quente sem usa em torno de 60º fazendo nada, minha placa é uma RX 580 8G e um processador Ryzen 5 3600 16GB de Ram 36000mhz, então acho muito suspeito ta tendo um excesso consumo de energia com tão pouco recurso aberto, inclusive estou com o ventilador colado no gabinete pra poder resfriar.

Lusitano · 17 de fevereiro de 2022

@NovichOlá,

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop

Clique direito em esetonlinescanner_enu.exe e execute como administrador
Clique em Computer Scan
Clique em Full scan
Selecione Enable ESET to detect and quarantine potentially unwanted applications
Clique em Start scan
Quando terminar, salve o resultado no seu desktop como ESETScan.txt
Clique Continue e depois em Close
Anexe o arquivo ESETScan.txt

Na sua próxima resposta, por gentileza:

Anexe o log ESETScan.txt

Novich · 18 de fevereiro de 2022

Boa tarde, observei também que o consumo de memoria fica cravado em 24% isso sem usar nada ou com o navegador aberto, e o outra coisa que observei é que quando uso o scan de qual quer antivirus até mesmo o da microsoft o consumo de energia sobe muito.

ESETScan.txt

Lusitano · 18 de fevereiro de 2022

@Novich Do que consigo analisar, você deveria ter melhor performance no seu pc.

O seu problema não está relacionado a malware, mas vamos correr umas rotinas para manutenção e ver se resolvemos isso

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente:

Citação

start::
cmd: ECHO Y|CHKDSK C: /F
cmd: pushd\windows\system32
cmd: net stop bits
cmd: net stop cryptSvc
cmd: net stop wuauserv
cmd: net stop msiserver
cmd: del /s /q C:\Windows\SoftwareDistribution\download\*.*
cmd: net start cryptSvc
cmd: net start bits
cmd: net start wuauserv
cmd: net start msiserver
cmd: sfc /scannow
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start mpsdrv
net start bfe
net start MpsSvc
net start winmgmt
netsh winhttp reset proxy
Bitsadmin /Reset /Allusers
cmd: winmgmt /verifyrepository
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
C:\Users\USER-D~1\AppData\Local\Temp\*.sys
Endbatch:
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
Reboot:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta.

Novich · 19 de fevereiro de 2022

vishe mopai, quando vi no final do log umas escrita em chinês ou japonês sei lá, realmente alguma coisa não esta certa, detalhe, eu não em torrent é muito raro ja pra evitar essas dores de cabeça e dps que formatei esse pc não instalei nada em torrent ou baixei em site duvidosos, sinceramente não sei como esse tipo de arquivo nessa língua apareceu ai.

Fixlog.txt

Lusitano · 19 de fevereiro de 2022

@NovichOlá, corrigimos e fizemos uma boa limpeza no seu software. Caso ainda existam problemas, eles não estão relacionados a malwares e deverá procurar os outros setores do fórum para que mais gente o possa continuar a ajudar.

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e criar um novo ponto de restauro.

Faça o download de KpRm e salve no seu desktop.

Clique direito em kprm_(versão).exe e selecione executar como Administrador.

Leia e aceite o Aviso Legal.

Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.

Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".

Quando completar, clique em OK

Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt).

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais.

Abraço

Novich · 20 de fevereiro de 2022

Obrigado Lusitano pelo tempo e a ajuda, o consumo de energia percebe que é devido ao antmalware do windows rodando junto ao navegador, meio que fazendo analise enquanto estou navegando, desativei e vi que manteve o consumo baixo ou normal então fora isso estou despreocupado e feliz pela sua ajuda, valeu

kprm-20220220030501.txt

Lusitano · 20 de fevereiro de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.