Contas acessadas de um lugar suspeito, mas não encontro vírus causador.

[Piluco]

Recentemente, fui fazer um download de um programa na internet, mas acabei bobeando e se tratava de um vírus, logo meu antivírus (Avast) bloqueou alguns arquivos infectados e realizei um escaneamento completo do pc, mas constou que não havia mais nada e os arquivos infectados já haviam sido movidos para quarentena. Porém, nos outros dias que continuei utilizando o pc, de tempos em tempos aparecia um pop-up do próprio antivírus dizendo que bloqueou um programa infectado (no caso, era svchost). Depois disso, tentei escanear o pc novamente, mas dessa vez especificamente a pasta em que estava esse arquivo, mas no fim concluiu que ele estava limpo. Eu pesquisei depois sobre vírus que contaminavam arquivos do importantes do windows, como este, mas nenhum caso parecia com o meu, já que estes vírus causavam lentidão e no gerenciador de tarefas mostrava consumos altos de cpu e memória, coisas que aparentemente estão normais no meu. O que me fez realmente me preocupar agora foi que no dia 18 de junho às 11 horas da manhã, recebi um aviso no meu email que minha conta foi acessada em um outro computador por um aplicativo suspeito, e na localização aparecia Ucrânia. Não só isso, um tempo depois, o meu aplicativo da Steam Guard notificou um código pra acessar a conta, coisa que só acontece quando alguém tenta logar, que não era meu caso na hora. Já redefini todas as senhas das minhas contas, mas ainda receio que exista algum malware ou coisa do tipo no meu pc, e que dessa maneira ele roubou meus dados. Gostaria saber se existe algum jeito de identificar vírus que roubam dados, ou até mesmo se formatar o pc adiantaria. obs. Já tentei todos os escaneamentos do Avast, agora estava tentando pelo Kaspersky, mas por enquanto nenhum deles identificou nada.

[Lusitano]

@Piluco Para que possa ser devidamente auxiliado, por gentileza siga as instruções do tópico abaixo e na sua próxima resposta, coloque TODOS os resultados solicitados:

 

[Piluco]

@Lusitano Perdão a demora, aqui estão os arquivos solicitados:
AdwCleaner:
 

------------------------------

Mode: Clean

------------------------------

Start: 06-19-2022

Duration: 00:00:00

OS: Windows 10 Pro

Cleaned: 0

Failed: 0

**** [ Services ] *****

No malicious services cleaned.

**** [ Folders ] *****

No malicious folders cleaned.

**** [ Files ] *****

No malicious files cleaned.

**** [ DLL ] *****

No malicious DLLs cleaned.

**** [ WMI ] *****

No malicious WMI cleaned.

**** [ Shortcuts ] *****

No malicious shortcuts cleaned.

**** [ Tasks ] *****

No malicious tasks cleaned.

**** [ Registry ] *****

No malicious registry entries cleaned.

**** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

**** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

**** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

**** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

**** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

**** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

[+] Delete Tracing Keys [+] Reset Winsock

AdwCleaner[S00].txt - [1405 octets] - [19/06/2022 20:12:20] AdwCleaner[C00].txt - [1595 octets] - [19/06/2022 20:12:41] AdwCleaner[S01].txt - [1527 octets] - [19/06/2022 20:15:17]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

 

Addition.txt FRST.txt

[Lusitano]

@Piluco Olá,

 

Citação

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Kaspersky Security Cloud (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Avast Antivirus (Disabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}

Você tem 3 antivírus e apenas é recomendável que utilize um deles. Informe um dos programas acima que deseja ser a sua escolha para uso.

 

Citação

\uTorrent

\Yandex

 Este dois acima, são programas não recomendáveis. Informe se os deseja manter.

 

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Nenhum Arquivo)
HKLM\...\Run: [WSVCUUpdateHelper.exe] => C:\Program Files (x86)\Wondershare\Wondershare UniConverter 13 para Windows(Portuguese)\WSVCUUpdateHelper.exe (Nenhum Arquivo)
HKLM-x32\...\Run: [Autodesk Desktop App] => "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe" -tray (Nenhum Arquivo)
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => C:\Program Files\Genshin Impact\launcher.exe (Nenhum Arquivo)
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKU\S-1-5-21-1296352862-3926534353-2412911790-1001\...\Run: [utweb] => "C:\Users\victo\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Nenhum Arquivo)
HKU\S-1-5-21-1296352862-3926534353-2412911790-1001\...\Run: [com.blitz.app] => C:\Users\victo\AppData\Local\Programs\Blitz\Blitz.exe --autostart (Nenhum Arquivo)
HKU\S-1-5-21-1296352862-3926534353-2412911790-1001\...\Run: [Free Download Manager] => C:\Program Files\Softdeluxe\Free Download Manager\fdm.exe [4882432 2021-10-16] (Softdeluxe) [Arquivo não assinado]
HKU\S-1-5-21-1296352862-3926534353-2412911790-1001\...\Policies\Explorer: []
HKLM\...\Print\Monitors\Adobe PDF Port Monitor: C:\WINDOWS\system32\AdobePDF.dll [203936 2021-12-24] (Adobe Inc. -> Adobe Systems Inc)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
Task: {CD2E7370-14BC-4BD4-A1FB-2883A389E10F} - System32\Tasks\Opera scheduled Autoupdate 1615743443 => C:\Users\victo\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Nenhum Arquivo)
Edge Extension: (Sem Nome) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [não encontrado (a)]
Edge Extension: (Sem Nome) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [não encontrado (a)]
Edge Extension: (Sem Nome) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [não encontrado (a)]
Edge Extension: (Sem Nome) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [não encontrado (a)]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
S2 AdAppMgrSvc; "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AdAppMgrSvc.exe" [X]
S2 Apache2.4; "C:\program files\xaamp\apache\bin\httpd.exe" -k runservice [X]
S2 AMDRyzenMasterDriverV19; \??\C:\Program Files\AMD\CNext\CNext\AMDRyzenMasterDriver.sys [X]
FirewallRules: [TCP Query User{0F8DE872-B0F5-4F1B-9BD2-5BDF01078C3E}C:\users\victo\appdata\local\temp\rar$exa3940.25465\among us\among us.exe] => (Block) C:\users\victo\appdata\local\temp\rar$exa3940.25465\among us\among us.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{DC6D7D94-36F2-4117-894F-7BA40834A5FF}C:\users\victo\appdata\local\temp\rar$exa3940.25465\among us\among us.exe] => (Block) C:\users\victo\appdata\local\temp\rar$exa3940.25465\among us\among us.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{40EBC921-2BEB-483C-9690-1374A9E7111A}C:\users\victo\downloads\among us\among us.exe] => (Allow) C:\users\victo\downloads\among us\among us.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{933739D1-EEE8-466A-B12B-60D7D68DA6D1}C:\users\victo\downloads\among us\among us.exe] => (Allow) C:\users\victo\downloads\among us\among us.exe => Nenhum Arquivo
FirewallRules: [{0C7E034A-DAD4-4C0E-85B6-9C9DA25B5797}] => (Block) C:\users\victo\downloads\among us\among us.exe => Nenhum Arquivo
FirewallRules: [{02DE6FF9-1460-4203-966F-4DE64FBA608B}] => (Block) C:\users\victo\downloads\among us\among us.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{0B2F6959-BF07-4023-B295-BA8CA65564DD}C:\program files (x86)\Steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe] => (Block) C:\program files (x86)\Steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{52282A09-2E78-4D86-B344-5F2CA7144ECD}C:\program files (x86)\Steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe] => (Block) C:\program files (x86)\Steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{DA3C7288-4644-4034-BCEC-89130D7E4A13}C:\program files\java\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_281\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{01C448D4-CB2F-4E42-8902-85453749A55B}C:\program files\java\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_281\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [{721614B1-E226-4D3B-A640-474526466F5B}] => (Allow) C:\program files\java\jre1.8.0_281\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [{9590BEEA-8160-4ECC-97CB-9FB5E128938C}] => (Allow) C:\program files\java\jre1.8.0_281\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{64875089-79EC-40F4-814E-DD25407599DD}C:\users\victo\documents\joguito\among us 2020.12.9 suscribete a jeylini\among us.exe] => (Allow) C:\users\victo\documents\joguito\among us 2020.12.9 suscribete a jeylini\among us.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{0646B90F-E961-48C8-92C3-E253C934E87D}C:\users\victo\documents\joguito\among us 2020.12.9 suscribete a jeylini\among us.exe] => (Allow) C:\users\victo\documents\joguito\among us 2020.12.9 suscribete a jeylini\among us.exe => Nenhum Arquivo
FirewallRules: [{85048D54-35E2-4EFB-85D5-00F6B1F36F1B}] => (Block) C:\users\victo\documents\joguito\among us 2020.12.9 suscribete a jeylini\among us.exe => Nenhum Arquivo
FirewallRules: [{40564F82-FB2D-4C2E-93F1-3D916B637D61}] => (Block) C:\users\victo\documents\joguito\among us 2020.12.9 suscribete a jeylini\among us.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{141C0590-9071-4CDF-94A7-380A5FE95CAC}C:\program files (x86)\epic games\alienisolation\ai.exe] => (Block) C:\program files (x86)\epic games\alienisolation\ai.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{94F6069E-1A9F-4609-91E9-D797592A4C0D}C:\program files (x86)\epic games\alienisolation\ai.exe] => (Block) C:\program files (x86)\epic games\alienisolation\ai.exe => Nenhum Arquivo
FirewallRules: [{1BF48FA5-2D79-43EF-9FFB-4774DAEA630F}] => (Allow) C:\Users\victo\AppData\Local\Programs\Opera\74.0.3911.218\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{1BA79F63-049B-4D72-A01F-D047F877BC23}C:\users\victo\documents\joguito\[bloons.td](http://bloons.td/)\bloons.td.6.v23.2.3593\bloonstd6.exe] => (Allow) C:\users\victo\documents\joguito\[bloons.td](http://bloons.td/)\bloons.td.6.v23.2.3593\bloonstd6.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{DBC4045D-DD4B-4C59-8694-9ED5F4587F81}C:\users\victo\documents\joguito\[bloons.td](http://bloons.td/)\bloons.td.6.v23.2.3593\bloonstd6.exe] => (Allow) C:\users\victo\documents\joguito\[bloons.td](http://bloons.td/)\bloons.td.6.v23.2.3593\bloonstd6.exe => Nenhum Arquivo
FirewallRules: [{FEF17AB9-664E-4280-B84B-5C29E256EBE5}] => (Block) C:\users\victo\documents\joguito\[bloons.td](http://bloons.td/)\bloons.td.6.v23.2.3593\bloonstd6.exe => Nenhum Arquivo
FirewallRules: [{FAF5B99B-11FA-420C-9A41-969D048C0ACC}] => (Block) C:\users\victo\documents\joguito\[bloons.td](http://bloons.td/)\bloons.td.6.v23.2.3593\bloonstd6.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{D6DDF4FD-81AA-4AD1-BFF6-6D5A37DD32E7}C:\program files\xaamp\apache\bin\httpd.exe] => (Block) C:\program files\xaamp\apache\bin\httpd.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{79614340-B063-4354-9C5A-E5BA704D9414}C:\program files\xaamp\apache\bin\httpd.exe] => (Block) C:\program files\xaamp\apache\bin\httpd.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{BE5CABD0-7ADC-4173-A18E-B92175ADBE5A}C:\program files\xaamp\mysql\bin\mysqld.exe] => (Allow) C:\program files\xaamp\mysql\bin\mysqld.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{4628DBBB-FEA2-4D80-8D12-4400D5FBE84E}C:\program files\xaamp\mysql\bin\mysqld.exe] => (Allow) C:\program files\xaamp\mysql\bin\mysqld.exe => Nenhum Arquivo
FirewallRules: [{E1379AB8-9393-4DF0-BEDF-1E616FB4B48D}] => (Block) C:\program files\xaamp\mysql\bin\mysqld.exe => Nenhum Arquivo
FirewallRules: [{DCDDD2C8-29C4-4B71-8079-0395EA9D3A6C}] => (Block) C:\program files\xaamp\mysql\bin\mysqld.exe => Nenhum Arquivo
FirewallRules: [{57B825F6-4D53-4931-9033-414C478F36B1}] => (Allow) C:\Program Files\BlueStacks_bgp64\HD-Player.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{8F895A29-87F3-4C57-B1AD-9EF4B8EAAA26}C:\program files (x86)\Steam\steamapps\common\ittakestwo\nuts\binaries\win64\ittakestwo.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\ittakestwo\nuts\binaries\win64\ittakestwo.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{5467CB51-C8B0-4536-8D4B-1300C675CE4B}C:\program files (x86)\Steam\steamapps\common\ittakestwo\nuts\binaries\win64\ittakestwo.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\ittakestwo\nuts\binaries\win64\ittakestwo.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{D01DF0B9-C131-4645-ACBD-5C48BC3B30C6}C:\program files (x86)\origin games\knockout city\knockoutcity.exe] => (Allow) C:\program files (x86)\origin games\knockout city\knockoutcity.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{B5E8D1E0-CC92-41EA-A112-7A3422BF3A5E}C:\program files (x86)\origin games\knockout city\knockoutcity.exe] => (Allow) C:\program files (x86)\origin games\knockout city\knockoutcity.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{D5E73F76-5F0D-475B-8FFD-C210113EEFB4}C:\program files (x86)\epic games\overcooked2\overcooked2.exe] => (Block) C:\program files (x86)\epic games\overcooked2\overcooked2.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{8F34DB1A-B6C6-4BC2-B897-F2B34E1A4921}C:\program files (x86)\epic games\overcooked2\overcooked2.exe] => (Block) C:\program files (x86)\epic games\overcooked2\overcooked2.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{F6FCD49F-45E1-494B-8162-CC376420E036}C:\program files (x86)\planet coaster\planetcoaster.exe] => (Block) C:\program files (x86)\planet coaster\planetcoaster.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{941841D7-A37A-404E-BCAE-B79111A21AC0}C:\program files (x86)\planet coaster\planetcoaster.exe] => (Block) C:\program files (x86)\planet coaster\planetcoaster.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{73B9097D-4AD4-470D-A3E9-BEE6F93FC0C0}C:\program files (x86)\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Block) C:\program files (x86)\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{B435FAA4-6D0D-4453-9E80-0F12CF8D6A77}C:\program files (x86)\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Block) C:\program files (x86)\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{16216F00-A35E-4497-A37D-B866E947687C}C:\program files\genshin impact\genshin impact game\genshinimpact.exe] => (Allow) C:\program files\genshin impact\genshin impact game\genshinimpact.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{3B76D530-1006-4089-A501-48DC71680FF7}C:\program files\genshin impact\genshin impact game\genshinimpact.exe] => (Allow) C:\program files\genshin impact\genshin impact game\genshinimpact.exe => Nenhum Arquivo
FirewallRules: [{9BA4B28D-6A2E-461E-AA7B-33E9060D4D0F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Life Is Strange\Binaries\Win32\LifeIsStrange.exe => Nenhum Arquivo
FirewallRules: [{0B4FDDC8-A28A-4963-9717-25D3DB1EF4A1}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Life Is Strange\Binaries\Win32\LifeIsStrange.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{3E63133D-FE77-49E1-AF54-5D26140B6724}C:\program files (x86)\Steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{D23FAC29-B2E8-4E64-BD74-3E5113CE9EEC}C:\program files (x86)\Steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Nenhum Arquivo
FirewallRules: [{187C47A8-2308-448B-98C4-9BD06D65EE5A}] => (Block) C:\program files (x86)\Steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Nenhum Arquivo
FirewallRules: [{B5145196-5C6D-4C53-9056-17DDD420B9F7}] => (Block) C:\program files (x86)\Steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{4F5DF322-E11C-4557-8DC7-6163B38DB8C8}C:\program files (x86)\epic games\back4bloodbeta\gobi\binaries\win64\back4blood.exe] => (Allow) C:\program files (x86)\epic games\back4bloodbeta\gobi\binaries\win64\back4blood.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{BE494E41-8F48-4068-9557-511317CD9464}C:\program files (x86)\epic games\back4bloodbeta\gobi\binaries\win64\back4blood.exe] => (Allow) C:\program files (x86)\epic games\back4bloodbeta\gobi\binaries\win64\back4blood.exe => Nenhum Arquivo
FirewallRules: [{F1B83DC0-F3BE-462F-8B1C-8F72B624F850}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Splitgate\PortalWars\Binaries\Win64\PortalWars-Win64-Shipping.exe => Nenhum Arquivo
FirewallRules: [{64A1E7AA-B0F2-4A5F-85A4-5074D7D10C93}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Splitgate\PortalWars\Binaries\Win64\PortalWars-Win64-Shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{AAE11FA7-A4ED-44A0-B50E-23F92EE49335}C:\program files (x86)\Steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{DA714CEF-7F00-40E6-AED0-7C352E574C43}C:\program files (x86)\Steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Nenhum Arquivo
FirewallRules: [{F3E27DCE-9DD4-445D-9DF2-72C6C7D96AF4}] => (Block) C:\program files (x86)\Steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Nenhum Arquivo
FirewallRules: [{A1290709-0A6C-46BE-91E7-2FC8B121FFCD}] => (Block) C:\program files (x86)\Steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{66BAC857-7544-4EFE-A8F1-69A8A59B9605}C:\users\victo\downloads\we.were.here.too.v1.2.0\we were here too\we were here too.exe] => (Allow) C:\users\victo\downloads\we.were.here.too.v1.2.0\we were here too\we were here too.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{EE6984AF-4E9E-4236-9100-AD581885C743}C:\users\victo\downloads\we.were.here.too.v1.2.0\we were here too\we were here too.exe] => (Allow) C:\users\victo\downloads\we.were.here.too.v1.2.0\we were here too\we were here too.exe => Nenhum Arquivo
FirewallRules: [{5DF856E6-6F44-40F8-B106-FA3C71EF340C}] => (Block) C:\users\victo\downloads\we.were.here.too.v1.2.0\we were here too\we were here too.exe => Nenhum Arquivo
FirewallRules: [{BCA11C06-045A-4C5B-9559-245F04911396}] => (Block) C:\users\victo\downloads\we.were.here.too.v1.2.0\we were here too\we were here too.exe => Nenhum Arquivo
FirewallRules: [{77CF6431-7B84-46E0-8D49-9A4E0FE07A59}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\FarCry5\bin\ArcadeEditor64.exe => Nenhum Arquivo
FirewallRules: [{08385881-21B1-48A7-9A00-B97DD7BC29E9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\FarCry5\bin\ArcadeEditor64.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{A68E6951-414A-4AAA-A1B3-EC7DE698CE90}C:\users\victo\downloads\stardew valley v1.5.4 by omtstm\stardew valley.exe] => (Allow) C:\users\victo\downloads\stardew valley v1.5.4 by omtstm\stardew valley.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{10B6663F-4154-4BC9-A38D-87405E9E6E45}C:\users\victo\downloads\stardew valley v1.5.4 by omtstm\stardew valley.exe] => (Allow) C:\users\victo\downloads\stardew valley v1.5.4 by omtstm\stardew valley.exe => Nenhum Arquivo
FirewallRules: [{815D240E-0D9C-497F-B24C-AB1899F7E9DA}] => (Block) C:\users\victo\downloads\stardew valley v1.5.4 by omtstm\stardew valley.exe => Nenhum Arquivo
FirewallRules: [{561F9FC3-2560-4D2B-8A90-4B200D18BE92}] => (Block) C:\users\victo\downloads\stardew valley v1.5.4 by omtstm\stardew valley.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{6A845D3D-092C-40D6-B7A8-AF67471CA75E}C:\program files (x86)\Steam\steamapps\common\awayout\haze1\binaries\win64\awayout.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\awayout\haze1\binaries\win64\awayout.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{50ED4822-4477-40E7-8ACF-52AF1198482F}C:\program files (x86)\Steam\steamapps\common\awayout\haze1\binaries\win64\awayout.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\awayout\haze1\binaries\win64\awayout.exe => Nenhum Arquivo
FirewallRules: [{90A7758E-7F0C-4827-A524-7BEC644D47EE}] => (Block) C:\program files (x86)\Steam\steamapps\common\awayout\haze1\binaries\win64\awayout.exe => Nenhum Arquivo
FirewallRules: [{A26BE696-310A-4084-9FB2-829459C04F92}] => (Block) C:\program files (x86)\Steam\steamapps\common\awayout\haze1\binaries\win64\awayout.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{7835778E-BDF3-4CB6-BF88-6FBDFF01D5F4}C:\program files (x86)\Steam\steamapps\common\batman arkham asylum goty\binaries\shippingpc-bmgame.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\batman arkham asylum goty\binaries\shippingpc-bmgame.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{550A035E-7C91-4390-B5C2-DF3531F6C019}C:\program files (x86)\Steam\steamapps\common\batman arkham asylum goty\binaries\shippingpc-bmgame.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\batman arkham asylum goty\binaries\shippingpc-bmgame.exe => Nenhum Arquivo
FirewallRules: [{060D7DB6-20C5-4419-8957-11AC43E1C98C}] => (Block) C:\program files (x86)\Steam\steamapps\common\batman arkham asylum goty\binaries\shippingpc-bmgame.exe => Nenhum Arquivo
FirewallRules: [{BE211853-D462-4745-93E6-7392DAA5589F}] => (Block) C:\program files (x86)\Steam\steamapps\common\batman arkham asylum goty\binaries\shippingpc-bmgame.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{E02161AA-5C3B-425A-A6CF-CF5E9812F1B6}C:\users\victo\downloads\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe] => (Allow) C:\users\victo\downloads\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{70B2E69B-CAEE-498F-95E3-D739F73AA85F}C:\users\victo\downloads\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe] => (Allow) C:\users\victo\downloads\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [{B95A1A2B-9CF7-4494-970C-B7E3BC101E67}] => (Block) C:\users\victo\downloads\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [{C2D7A4BA-2A16-4741-9518-8DC5C02E0AF4}] => (Block) C:\users\victo\downloads\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{E874977B-F33D-41BA-8451-F0E1EC034A42}C:\users\victo\documents\joguito\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe] => (Allow) C:\users\victo\documents\joguito\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{9152CBA7-2784-4181-875A-CF593E5D6E2E}C:\users\victo\documents\joguito\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe] => (Allow) C:\users\victo\documents\joguito\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [{80DB7F91-B27A-4024-86F7-DAE9062A02AF}] => (Block) C:\users\victo\documents\joguito\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [{2426A368-2D28-4986-9EB1-E10D6EC549A4}] => (Block) C:\users\victo\documents\joguito\minecraft.dungeons.v1.10.1.0-0xdeadc0de\dungeons.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{A02622DE-6C8E-4603-A460-F2D794C58FFE}C:\users\victo\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe] => (Allow) C:\users\victo\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{1CA1C8F5-2371-4629-A95D-16E5D251EA99}C:\users\victo\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe] => (Allow) C:\users\victo\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [{E7AD6328-74D0-4607-863A-5988E969354E}] => (Block) C:\users\victo\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [{7BDEDA25-CBA6-400A-956A-B42737F887D7}] => (Block) C:\users\victo\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{CEB69A23-B850-4495-8873-837433005ED7}C:\program files (x86)\Steam\steamapps\common\fifa 22\fifa22.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\fifa 22\fifa22.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E514E447-F3CD-4528-8187-E1983299B70E}C:\program files (x86)\Steam\steamapps\common\fifa 22\fifa22.exe] => (Allow) C:\program files (x86)\Steam\steamapps\common\fifa 22\fifa22.exe => Nenhum Arquivo
FirewallRules: [{26C75577-78B3-4201-AFBB-3D3AAC0B245C}] => (Block) C:\program files (x86)\Steam\steamapps\common\fifa 22\fifa22.exe => Nenhum Arquivo
FirewallRules: [{FA864728-7F81-4B70-8D1C-1F37D737A5F9}] => (Block) C:\program files (x86)\Steam\steamapps\common\fifa 22\fifa22.exe => Nenhum Arquivo
FirewallRules: [{B8BB8B34-48AF-4B38-B7AD-C3660FEAE546}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\WindowsNoEditor\Poppy_Playtime.exe => Nenhum Arquivo
FirewallRules: [{557542B1-82D8-4601-BD44-2FA85C93345B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\WindowsNoEditor\Poppy_Playtime.exe => Nenhum Arquivo
FirewallRules: [{55B7FA3D-12ED-4D80-993C-1D7FC7419F7F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Nenhum Arquivo
FirewallRules: [{6852B640-39EA-4D82-9C54-294D995A7740}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Nenhum Arquivo
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Piluco]

@Lusitano Vou manter o Avast apenas, o Kaspersky baixei a versão limitada.
Sobre os programas, não tenho conhecimento sobre este Yandex, até excluí a pasta em que ele estava, mas uTorrent pretendo mantê-lo, se possível.
Meu computador agora está apresentando alguns problemas, mas imagino que não seja por causa disso, já que são problemas que vem de antes da infecção. Em relação as minhas contas, por enquanto não houve mais nenhuma invasão, mas também não utilizei nenhuma delas no meu computador desde que mudei as suas senhas, então não posso deduzir nada ainda.

Fixlog.txt

[Lusitano]

@Piluco 

23 minutos atrás, Piluco disse:

Meu computador agora está apresentando alguns problemas, mas imagino que não seja por causa disso, já que são problemas que vem de antes da infecção

Execute novamente a ferramenta FRST tal como no inicio e anexe os dois logs (frst.txt e addition.txt) para eu ver se vejo erros de software.

 

 

[Piluco]

@Lusitano Aqui estão.

[Piluco]

3 horas atrás, Piluco disse:

@Lusitano Aqui estão.

Addition.txt

FRST.txt

 

[Piluco]

19 horas atrás, Piluco disse:

Addition.txt 92 kB · 0 downloads

FRST.txt 58 kB · 0 downloads

 

Estou respondendo aqui pra informar uma detecção do meu Antivirus a alguns minutos, enquanto usava normalmente o pc: 

[Lusitano]

@Piluco 

Citação

µTorrent (HKU\S-1-5-21-1296352862-3926534353-2412911790-1001\...\uTorrent) (Version: 3.5.5.46206 - BitTorrent Inc.)

Enquanto você insistir em utilizar esse tipo de software, ambos estamos a perder nosso tempo a remover o malware para novamente você ser infetado.

[Piluco]

@Lusitano Ok, eu posso desinstalar o aplicativo, mas por favor veja sobre o que citei do meu Antivírus.

[Lusitano]

@Piluco por gentileza gere e anexe novos logs da ferramenta FRST (frst.txt e addition.txt)

[Piluco]

@Lusitano Aqui.

Addition (1).txt FRST (1).txt

[Lusitano]

1. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKU\S-1-5-21-1296352862-3926534353-2412911790-1001\...\Run: [Adobe Acrobat Synchronizer] => "C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe" (Nenhum Arquivo)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
S4 LMIGuardianSvc; "C:\Program Files (x86)\LogMeIn Hamachi\x64\LMIGuardianSvc.exe" [X]
FirewallRules: [TCP Query User{1BA79F63-049B-4D72-A01F-D047F877BC23}C:\users\victo\documents\joguito\bloons.td\bloons.td.6.v23.2.3593\bloonstd6.exe] => (Allow) C:\users\victo\documents\joguito\bloons.td\bloons.td.6.v23.2.3593\bloonstd6.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{DBC4045D-DD4B-4C59-8694-9ED5F4587F81}C:\users\victo\documents\joguito\bloons.td\bloons.td.6.v23.2.3593\bloonstd6.exe] => (Allow) C:\users\victo\documents\joguito\bloons.td\bloons.td.6.v23.2.3593\bloonstd6.exe => Nenhum Arquivo
FirewallRules: [{3A44DF09-D960-4B5B-A2E2-26160B102E0F}] => (Allow) C:\Program Files\Softdeluxe\Free Download Manager\fdm.exe => Nenhum Arquivo
FirewallRules: [{9E9104F9-F845-41F2-A8FA-28B8A6A250E2}] => (Allow) C:\Program Files\Softdeluxe\Free Download Manager\fdm.exe => Nenhum Arquivo
FirewallRules: [{40460DD3-696E-43BB-83D7-029C128A552C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Nenhum Arquivo
FirewallRules: [{2C165BA4-043C-48D2-97E6-BEF6F0D506F2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Nenhum Arquivo
FirewallRules: [{EAE02447-A37C-431F-9819-9FAC0157AC15}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Nenhum Arquivo
FirewallRules: [{FB4CED7E-B8BE-495F-BFBF-EEA0A3EA3272}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Nenhum Arquivo
FirewallRules: [{32EB3772-7A1C-4BE0-8EE0-9EDCFFD9330C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Nenhum Arquivo
FirewallRules: [{5B7A4B92-2BD0-4F01-9E43-DB9C7AFFC010}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Nenhum Arquivo
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

2. Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt juntamente com o arquivo fixlog.txt gerado no ponto nº 1

 

[Piluco]

@Lusitano  Aqui.

Fixlog.txt ESETScan.txt

[Lusitano]

@Piluco Como está o comportamento do seu pc agora?

[Piluco]

@Lusitano Então, após fazer o escaneamento, eu utilizei um pouco do meu pc e não apresentou nada de incomum, mas como eu disse, antes disso aparecia frequentemente um aviso do avast bloqueando algum arquivo, normalmente o svchost. Apenas isto que notei de errado.

[Lusitano]

34 minutos atrás, Piluco disse:

aparecia frequentemente um aviso do avast bloqueando algum arquivo, normalmente o svchost. Apenas isto que notei de errado

Isso é o funcionamento normal e esperado do software antivirus: detetar e prevenir a infeção.

O processo svchost é legítmo (Microsoft)  e o mais provável é que isso ocorria quando visitava ou tentava executar algo e no seu caso você tinha programas ilegais e infetados com malware

 

O meu melhor conselho é que evite a utilização de programas como o torrent e faça uma utilização responsável do seu pc.

 

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.