Malware trava e ativa o cooler do PC

[Leandro Antunes]

Bom dia pessoal, tudo bem?

 

Há alguns meses atrás meu computador foi formatado e instalado um SSD em um local que confio no trabalho. Mas desde a semana passada eu percebo que de hora em hora ele trava tudo que estiver operando durante 2 ou 3 segundos, mouse não mexe, qualquer áudio que esteja sendo reproduzido trava, e o cooler dele aciona na velocidade máxima durante esse período, e depois ele retorna ao normal.

Fiz uma varredura pelo Windows Defense, que me retornou uma infecção por TROJANDOWNLOADER:BAT/DELF.LX. Coloquei o arquivo em quarentena, mas o travamento e ativação permanecem. Baixei o AVIRA e fiz uma varredura novamente, nada foi encontrado e o travamento permanece de hora em hora.

Conseguem me dar uma dica do que pode ser feito para eliminar esse vírus e o meu computador voltar ao normal?

[Lusitano]

@Leandro Antunes Bem vindo ao Clube do Hardware,

Para que possa ser devidamente orientado, por gentileza siga as instruções deste tópico:

 

[Leandro Antunes]

AdwCleaner[S00].txtAdwCleaner[C00].txtFRST.txtAddition.txt

[Lusitano]

@Leandro Antunes Como você não está utilizando, sugiro que remova o:

Citação

McAfee

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKU\S-1-5-21-91627358-3904473298-1015656328-1001\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Leandro Antunes]

@Lusitano McAfee excluido.

 

O processo descrito foi realizado. Segue o arquivo em anexo, porém, 10 min depois notei que o travamento persiste.

Fixlog.txt

[Lusitano]

@Leandro AntunesPode por gentileza realizar novos logs da ferramenta FRST (tal como no inicio do seu tópico) e anexar na sua próxima resposta os novos arquivos frst.txt e addition.txt para eu analisar e ver o que possa originando essa ocorrência.

 

 

[Leandro Antunes]

@Lusitano Perfeito!

 

Seguem os dois arquivos

Addition.txt FRST.txt

[Lusitano]

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
unlock:
C:\Windows\System32\drivers\netprotection_network_filter2.sys
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Leandro Antunes]

@Lusitano Executado novamente. E o erro permanece

Fixlog.txt

[Lusitano]

2 horas atrás, Leandro Antunes disse:

erro permanece

Sim, algo está impedindo que consigamos remover desta forma. Temos mais "truques" na manga

 

Faça o download de Kaspersky Virus Removal Tool (KVRT) e salve no seu desktop.

Pressione as teclas Windows + R, para abrir a caixa "executar".

Copie e cole a seguinte linha abaixo nessa caixa:

C:\Users\chris\DESKTOP\KVRT.exe -dontencrypt

Selecione „Ok“ para dar inicio a execução.
Permita que a ferramenta seja executada, marque todas as caixas de confirmação e clique em "Accept".
Na janela da ferramenta KVRT, selecione "Change Parameters".
Na nova janela, certifique-se que as seguintes caixas estão marcadas:

• System memory
• Startup objects
• Boot sectors
• System drive

Selecione "OK" e „Start scan“.
Quando terminar: Se algo for encontrado irão aparecer opções. Se aparecer "Cure", deixe selecionada. Noutras situações, marque "Delete", e clique em "Continue".
Nota: Geralmente o computador necessitará de reiniciar para finalizar a remoção.
Um arquivo será gerado e pode ser encontrado no seu drive de sistema (ex: C:\), por exemplo:

C:\KVRT2022_Data\Reports\report_<data>_<hora>.klr

Clique direito do mouse nesse arquivo e escolha abrir com Bloco de Notas (Notepad)
Salve esse arquivo e anexe-o na sua próxima resposta juntamente com novos logs da ferramenta FRST (frst.txt e addition.txt).

[Leandro Antunes]

@Lusitano, procedimento realizado.

 

Nenhum vírus foi encontrado com o Kaspersky, e notei que o problema vem acontecendo cada vez menos, mas ainda ocorre.

 

Seguem os relatórios solicitados

Addition.txt FRST.txt report_2022.07.04_17.33.04.txt

[Lusitano]

@Leandro Antunes Ainda há uma coisa que necessitamos de confirmar.

 

1. Verifique as extensões do navegador Edge e do Chrome e desinstale algo que não lhe seja familiar.

 

2. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Unlock: C:\Windows\system32\drivers\netprotection_network_filter2.sys
VirusTotal: C:\Windows\system32\drivers\netprotection_network_filter2.sys
HKLM\...\RunOnce: [2a333efc-d578-4cec-a52b-7aaca253f167] => "C:\Users\USUARIO\AppData\Local\Temp\{1c77a0d7-6d62-488c-a06e-e1058f3ca36e}\2a333efc-d578-4cec-a52b-7aaca253f167.cmd" (Nenhum Arquivo) <==== ATENÇÃO
EmptyEventLogs:
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

3. Baixe e execute o Malwarebytes e copie e cole o resultado na sua próxima resposta.

 

 

[Leandro Antunes]

@Lusitano Haviam algumas extensões provenientes do Avira, optei por excluir todas, e mantive apenas o AdBlock, que sempre utilizei. Recomenda a remoção também?

 

Realizados os procedimentos, Malwarebytes encontrou um malware no kaspersky previamente instalado.

Fixlog.txt Malwarebytes1.txt

[Lusitano]

16 minutos atrás, Leandro Antunes disse:

Recomenda a remoção também?

Não, pode manter.

 

Há uma coisa estranha que não estou conseguindo entender direito. A análise mostra um processo que me parece suspeito (netprotection_network_filter2.sys), já que existe um processo semelhante mas esse pertence ao seu antivírus. 

 

Execute por gentileza o FRST e na caixa "pesquisar" copie e cole o seguinte:  netprotection_network_filter2.sys e pressione "Pesquisar Arquivos". Coloque o resultado na sua próxima resposta por gentileza

 

[Leandro Antunes]

@Lusitano, perfeito!

 

Estranho mesmo... realizei o procedimento, segue em anexo

Search.txt

[Lusitano]

@Leandro Antunes obrigado pelo envio do resultado. Agora estou esclarecido. Esse processo é de fato do seu antivírus e creio que algo relacionado com esse seu software está errado.

Por gentileza, desinstale o Avira e depois volte a instalar para resolver esse problema.

Na sua proxima resposta, coloque anexe também novos logs do FRST (frst.txt e addition.txt)

[Leandro Antunes]

@Lusitanoeste processo de erro começou antes de eu ter o Avira instalado. Eu ainda usava apenas o windows defender e o computador começou a travar e ativar o cooler. Instalei o kaspersky, não resolveu, desinstalei e instalei o Avira, mas sem saber se é realmente efetivo, apenas para investigar. Então só pra te apresentar o histórico e saber se seria 

 

Você me aconselha permanecer com o Avira na versão grátis mesmo ou existe algum outro antivírus que seja mais eficiente, ou até mesmo o próprio windows defender é capaz?

 

Desinstalei e deixei um tempo o computador sem antivirus, e o problema começou a acontecer com muita frequência. Instalei novamente, não fiz varredura e gerei relatórios FRST.

Addition.txt FRST.txt

[Lusitano]

1 hora atrás, Leandro Antunes disse:

Você me aconselha permanecer com o Avira na versão grátis mesmo ou existe algum outro antivírus que seja mais eficiente, ou até mesmo o próprio windows defender é capaz?

Não vejo necessidade de ter o Avira. Eu, no seu caso optaria por ter apenas o Windows Defender, devidamente configurado. Para o configurar devidamente, baixe (APENAS APÓS CUMPRIDAS AS ETAPAS SEGUINTES) e utilize esta ferramenta. Mas faça apenas isso após as etapas seguintes que vou passar a seguir.

 

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

• Avira

 

2. Mantenha o seu antivírus desabilitado (caso exista algum em habilitado).

 

 

3. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
C:\Program Files\Avira\Endpoint Protection SDK\drivers\Win8\x64\netprotection_network_filter2.sys
C:\Program Files\Avira\Endpoint Protection SDK\drivers\Win8\Win32\netprotection_network_filter2.sys
C:\Program Files\Avira\Endpoint Protection SDK\drivers\Win7\Win32\netprotection_network_filter2.sys
Reboot:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

 

4. Ative agora o seu Windows Defender, baixe agora e execute a ferramenta de configuração.

 

5. Gere novos logs do FRST e anexe-os na sua próxima resposta.

 

6. O que necessito anexado na sua próxima resposta:

• Fixlog.txt 
• Frst.txt
• Addition.txt

 

[Leandro Antunes]

@Lusitano todas as etapas foram cumpridas.

 

Baixei o arquivo ConfigureDefender.exe e na hora de configurar, apareceu uma caixa com os botões DEFAULT, HIGH, INTERACTIVE e MAX. Cliquei em High (segue imagem), mas gostaria do seu parecer para saber se está o procedimento está correto e se devo alterar alguma coisa ou é só apertar em algum dos botões e está tudo certo? Como e onde vejo a configuração aplicada e que o Windows Defender está funcionando?

 

Seguem os relatórios solicitados, porém, ainda vejo o sintoma aparecendo.

Addition.txt Fixlog.txt FRST.txt

[Lusitano]

8 horas atrás, Leandro Antunes disse:

Cliquei em High (segue imagem), mas gostaria do seu parecer para saber se está o procedimento está correto e se devo alterar alguma coisa ou é só apertar em algum dos botões e está tudo certo? Como e onde vejo a configuração aplicada e que o Windows Defender está funcionando?

Basicamente você escolheu uma proteção alta (high). Pode deixar dessa forma ou se notar que implica muito com o desempenho, mude para default (padrão).

Para ver o que foi feito é um pouco mais complicado pois implica ter de saber interpretar o registro (SOFTWARE\Policies\Microsoft\Windows Defender)

Como a versão do seu windows é Pro, deverá ser através do gpedit.msc, mas não há razão para você estar a se preocupar com isso, aliás é por isso que a ferramenta já "poupou" todo esse trabalho e configurou o defender.

 

Estamos mais perto do final, creio que você já não deve notar nada relacionado ao malware.

 

Temos só ainda uns pequenos pormenores:

Citação

AV: Windows Defender (Disabled - Up to date)

Verifique por favor, pois mostra que está desativado.

 

Citação

CHR Extension: (Segurança do navegador Avira)

Ainda existe uma extensão no chrome referente ao avira. Você não necessita dela, pode remover.

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrição <==== ATENÇÃO
2022-07-05 07:19 - 2022-07-05 07:19 - 000000000 ____D C:\Windows\system32\Tasks\Avira
2022-06-27 20:36 - 2022-06-27 20:39 - 000000000 ____D C:\Users\USUARIO\AppData\Local\Avira
2022-06-27 20:35 - 2022-07-05 09:41 - 000000000 ____D C:\Program Files (x86)\Avira
2022-06-27 20:34 - 2022-07-05 09:41 - 000000000 ____D C:\ProgramData\Avira
2022-06-27 20:34 - 2022-06-27 20:34 - 005601064 _____ (Avira Operations GmbH & Co. KG) C:\Users\USUARIO\Downloads\avira_pt-br_sptl1_922641749-1656372869__pavwws.exe
2022-06-27 15:32 - 2022-06-27 15:32 - 000000000 ____D C:\Windows\system32\gf2engine
2022-06-27 15:25 - 2022-06-29 16:46 - 000000000 ____D C:\ProgramData\Avast Software
2022-06-27 15:25 - 2022-06-27 15:25 - 000268536 _____ (AVAST Software) C:\Users\USUARIO\Downloads\avast_free_antivirus_setup_online.exe
2022-07-04 11:50 - 2022-06-01 15:35 - 000000000 ____D C:\ProgramData\McAfee
EmptyEventLogs:
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

 

 

 

 

 

[Leandro Antunes]

3 horas atrás, Lusitano disse:

Como a versão do seu windows é Pro, deverá ser através do gpedit.msc, mas não há razão para você estar a se preocupar com isso, aliás é por isso que a ferramenta já "poupou" todo esse trabalho e configurou o defender.

Perfeito @Lusitano, era mais uma dúvida mesmo.

 

Sobre o Windows Defender, acredito que esteja habilitado sim. Anexei um print da tela, caso contrário, necessito instruções para realizar a ativação.

 

Tenho notado que às vezes o mouse fica com delay passando ele pela tela, por 2 segundos, e depois volta ao normal. Esse fenômeno é independente do fenômeno que estamos tratando, pois quando o travamento acontece, o mouse simplesmente não mexe. E neste pouco tempo não houve nenhuma manifestação de travamento.

 

Enfim, o FRST foi executado e o log está no anexo.

Fixlog.txt

[Lusitano]

7 horas atrás, Leandro Antunes disse:

Tenho notado que às vezes o mouse fica com delay passando ele pela tela, por 2 segundos, e depois volta ao normal. Esse fenômeno é independente do fenômeno que estamos tratando, pois quando o travamento acontece, o mouse simplesmente não mexe. E neste pouco tempo não houve nenhuma manifestação de travamento.

O que com erros, é:

Citação

Name: Controlador de barramento SM
Description: Controlador de barramento SM
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: USB2.0-CRW
Description: USB2.0-CRW
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

O primeiro é referente ao chipset na motherboad e que está relacionado com a temperatura/tensão da placa. O segundo é relacionado ao card reader.

Você ter estes dispositivos com falhas e isso consegue-se ver no gerenciador de dispositivos.

Aceda ao gerenciador e atualize os drivers: Para abrir pode pressionar a tecla win + R e na caixa digite: devmgmt.msc 

[Leandro Antunes]

@Lusitano Ou seja, não é um vírus ou isso pode ter sido causado por um vírus?

 

Não foi possível instalar. O mesmo relato acontece para os três dispositivos que estão como "desatualizados".

[Lusitano]

34 minutos atrás, Leandro Antunes disse:

não é um vírus ou isso pode ter sido causado por um vírus?

Garantidamente não é vírus, isso está resolvido.

Quanto ao ter sido causado por algum malware, não consegui ver informação para poder afirmar com garantia que não foi causa de malware, mas não creio que tenha sido isso. O código de erro 28 está associado a falta de driver e pode ser originado por inúmeras situações.

 

Sugiro que você abra um novo tópico em outra área do fórum e coloque lá esse print do seu último post com a informação:

34 minutos atrás, Leandro Antunes disse:

Não foi possível instalar. O mesmo relato acontece para os três dispositivos que estão como "desatualizados".

e pode também acresentar:

Citação

Name: Controlador de barramento SM
Description: Controlador de barramento SM
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

 

Name: USB2.0-CRW
Description: USB2.0-CRW
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

 

Assim haverá gente mais rotinada nestas questões que eu e poderão ser melhor ajuda que eu nesta questão.

 

 

Vamos finalizar por aqui, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Leandro Antunes]

@Lusitano Perfeito! Vou enviar a mensagem para o outro grupo, conforme sua orientação.

 

Foi gerado sim o arquivo, e apareceu que o novo ponto de restauro foi criado e está ok.

 

Quanto ao programa Malwarebytes e os relatórios, posso apagar todos?

 

@Lusitano Muito obrigado pela sua atenção e parabéns pelo serviço que vocês fazem.