Infecção Persistente no notebook

Kleber Pereira da Silva · 3 de junho de 2022

Boa Noite.

Estou com uma infecção de virus, ou malware no meu notebook, recente, que tem deixado meu pc em situação estranha, mudança de leitura de arquivos, tela preta ao iniciar o Windows, tenho instalado como AV, o Avast Free AV, realizei os procedimentos referidos do tópico de remoção...e abaixo estão os arquivos do Adcleaner e FRT

Fico grato pela ajuda.

Addition.txt FRST.txt

Lusitano · 3 de junho de 2022

@Kleber Pereira da Silva Olá,

1. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
Task: {0DE29099-98D1-4516-924A-180531622B7E} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {327575EF-0CD1-4893-B193-E7BA1E3B4912} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Nenhum Arquivo <==== ATENÇÃO
Task: {3CC7946E-17A0-48EF-AE55-A428C61AF2AE} - \Lenovo\ImController\TimeBasedEvents\34215183-9d66-4ed1-a346-57f3214d837d -> Nenhum Arquivo <==== ATENÇÃO
Task: {6BCD62DC-8ACE-4EE0-8C81-7BB8C4B84DB2} - \Lenovo\ImController\TimeBasedEvents\8fadf67d-48e6-447f-84cb-e741421fef19 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6FB8226C-C713-4925-8239-3EB81700F23D} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Nenhum Arquivo <==== ATENÇÃO
Task: {7CD93D25-26BF-40C6-9C8D-E148388D6EE3} - \Lenovo\ImController\TimeBasedEvents\7afb0bb5-2567-456b-bc4f-179285ccbd14 -> Nenhum Arquivo <==== ATENÇÃO
Task: {B3259F09-ABFB-405A-976C-ABFEF3B6A95F} - \Lenovo\ImController\TimeBasedEvents\43d8aa6e-8a5c-4f1b-a945-339b63bc8e13 -> Nenhum Arquivo <==== ATENÇÃO
Task: {F440DD53-D538-4175-9008-499D83722385} - \Lenovo\ImController\TimeBasedEvents\fef10064-eb00-4604-b122-ce5b4f855060 -> Nenhum Arquivo <==== ATENÇÃO
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Nenhum Arquivo
FirewallRules: [TCP Query User{FA1EDE3D-6704-4C25-9451-BC243B1A7188}C:\program files\java\jre1.8.0_301\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_301\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{303F3F0D-C961-41A9-83B2-5B1E89B08028}C:\program files\java\jre1.8.0_301\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_301\bin\javaw.exe => Nenhum Arquivo

startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

2. Execute novamente a ferramenta AdwCleaner e por gentileza não esqueça de anexar. Na sua resposta anterior, faltou anexar.

3. Na sua próxima resposta, vou querer:

Anexe o arquivo Fixlog.txt
Anexe o arquivo do AdwCleaner

[]'s

Kleber Pereira da Silva · 4 de junho de 2022

Boa Noite, Lusitano..

Segue em anexos os logs, realizei os procedimentos.

Quanto ao problema relatado, no momento, esta normal o pc, a tela liga normalmente e meus arquivos pdf, estão corretos.

AdwCleaner[C01].txt Fixlog.txt

Lusitano · 4 de junho de 2022

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Kleber Pereira da Silva · 5 de junho de 2022

Oi Lusitano, boa tarde..

Realizei o ultimo processo, o programa efetuou todas as ações. Agradeço pela ajuda, e vou seguir sua recomendação...

Obrigado.

Lusitano · 6 de junho de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.