Malware persistente

Luan Masson · 20 de agosto de 2022

No dia 18/08 eu e meus amigos relatamos processos de host bem bizarros em nossos computadores, achamos que foi algum malware em ataque ao navegador Brave, pois ele primeiramente se mostrou nele e somente quem o tinha instalado no computador apareceu esses hosts esquisitos.

Primeiro contato: A primeira vez que o vírus se mostrou presente em meu computador foi quando eu tentei escrever alguma coisa direto na barra de pesquisa e o Brave me levava a uma página de redirecionamento, e nisso o Norton antivírus bloqueava essa página falando que podia ser maliciosa.

Eu sempre fui o mais careta nessa área entrei em choque e já comecei a tentar remover o malware, mas ao tentar remover o host de serviço em que ele atuava ele simplesmente criava outro, então fui tentar fazer o que todo desesperado faz, procurei em fóruns, baixei alguns aplicativos que pessoas falavam e rodei-os em meu computador.

Norton antivírus: O Norton nem mesmo detectou o vírus em meu computador.

SpyHunter 5: Tentei rodar o SpyHunter5 logo de primeira quando eu vi que ele literalmente rastreia tudo no computador, porém nada...

Kaspersky cloud free: Esse foi monstro, logo fiz a varredura completa e me deu a seguinte informação:

System Memory Não processado Não é possível desinfetar MEM:Trojan.Win32.SEPEH.gen Adiado Arquivo System Memory Não processado Trojan Alto Exatamente DESKTOP-UKTUV62\luanm Usuário ativo
Hoje, 18/08/2022 21:03:44 System Memory Detectado Objeto malicioso detectado MEM:Trojan.Win32.SEPEH.gen Análise especializada Arquivo System Memory Detectado Trojan Alto Exatamente DESKTOP-UKTUV62\luanm Usuário ativo.

visto isso pensei "Se tá na memória do sistema vou formatar né?".

Quem disse... Que estava inicialmente no Windows10 continuou no Windows11.

Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 10:38:12, on 20/08/2022
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.22000.0120)

Boot mode: Normal

Running processes:
C:\Users\luanm\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Windows\SysWOW64\DllHost.exe
C:\Users\luanm\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=
O2 - BHO: IEToEdge BHO - {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} - C:\Program Files (x86)\Microsoft\Edge\Application\104.0.1293.63\BHO\ie_to_edge_bho.dll
O4 - HKCU\..\Run: [OneDrive] "C:\Users\luanm\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO DE REDE')
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlansp_c.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\CredentialEnrollmentManager.exe,-100 (CredentialEnrollmentManagerUserSvc) - Unknown owner - C:\Windows\system32\CredentialEnrollmentManager.exe (file missing)
O23 - Service: CredentialEnrollmentManagerUserSvc_114e64f - Unknown owner - C:\Windows\system32\CredentialEnrollmentManager.exe (file missing)
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: SpyHunter 5 Kernel (EsgShKernel) - EnigmaSoft Limited - C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Container LS (NVDisplay.ContainerLocalSystem) - NVIDIA Corporation - C:\Windows\System32\DriverStore\FileRepository\nvmd.inf_amd64_1408eaf9a25ed64f\Display.NvContainer\NVDisplay.Container.exe
O23 - Service: @%systemroot%\system32\PerceptionSimulation\PerceptionSimulationService.exe,-101 (perceptionsimulation) - Unknown owner - C:\Windows\system32\PerceptionSimulation\PerceptionSimulationService.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Realtek Audio Universal Service (RtkAudioUniversalService) - Unknown owner - C:\Windows\System32\RtkAudUService64.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\Windows\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender Advanced Threat Protection\MsSense.exe,-1001 (Sense) - Unknown owner - C:\Program Files (x86)\Windows Defender Advanced Threat Protection\MsSense.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SgrmBroker.exe,-100 (SgrmBroker) - Unknown owner - C:\Windows\system32\SgrmBroker.exe (file missing)
O23 - Service: SpyHunter 5 Kernel Monitor (ShMonitor) - EnigmaSoft Limited - C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe
O23 - Service: @firewallapi.dll,-50323 (SNMPTrap) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\Windows\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\steamservice.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7476 bytes

Algumas fotos que tirei:

Hosts de serviços que acredito que sejam duplicatas criadas pelo vírus, eles mudam os números finais toda vez que o pc é reiniciado, um print foi tirado as 3:00AM e outro as 10:00AM.

Lusitano · 20 de agosto de 2022

@Luan MassonAmigo, tal como informado anteriormente no seu outro tópico, é necessário você providenciar as análises pedidas nesse tópico:

Luan Masson · 21 de agosto de 2022

5 horas atrás, Lusitano disse:

@Luan MassonAmigo, tal como informado anteriormente no seu outro tópico, é necessário você providenciar as análises pedidas nesse tópico:

Segue os anexos:

FRST.txt Addition.txt AdwCleaner[C01].txt

Lusitano · 21 de agosto de 2022

@Luan Masson

Atente para que algumas destas etapas requerem tempo, portanto tenha paciência. Lamento, mas temos de fazer análises que requerem tempo.

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

SpyHunter 5

2. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
CreateRestorePoint:
CloseProcesses:
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
RemoveProxy:
Hosts:
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

3. Faça o download do Verificador de Segurança da Microsoft (MSS).

Execute a ferramenta e na sua próxima resposta anexe o resultado, que é um arquivo MSERT.log. que estará localizado em C:\Windows\debug\msert.log

4. Faça o download de Kaspersky Virus Removal Tool (KVRT) e salve no seu desktop.

Pressione as teclas Windows + R, para abrir a caixa "executar".

Copie e cole a seguinte linha abaixo nessa caixa:

C:\Users\luanm\DESKTOP\KVRT.exe -dontencrypt

Selecione „Ok“ para dar inicio a execução.
Permita que a ferramenta seja executada, marque todas as caixas de confirmação e clique em "Accept".
Na janela da ferramenta KVRT, selecione "Change Parameters".
Na nova janela, certifique-se que as seguintes caixas estão marcadas:

System memory
Startup objects
Boot sectors
System drive

Selecione "OK" e „Start scan“.
Quando terminar: Se algo for encontrado irão aparecer opções. Se aparecer "Cure", deixe selecionada. Noutras situações, marque "Delete", e clique em "Continue".
Nota: Geralmente o computador necessitará de reiniciar para finalizar a remoção.
Um arquivo será gerado e pode ser encontrado no seu drive de sistema (ex: C:\), por exemplo:

C:\KVRT2022_Data\Reports\report_<data>_<hora>.klr

Clique direito do mouse nesse arquivo e escolha abrir com Bloco de Notas (Notepad)
Salve esse arquivo e anexe-o na sua próxima resposta juntamente com novos logs da ferramenta FRST (frst.txt e addition.txt).

5. Na sua próxima resposta, o que eu espero de você:

Anexe o arquivo fixlog.txt (etapa 2)
Anexe o arquivo MSERT.log (etapa 3)
Anexe o arquivo do KVRT (etapa 4)

Luan Masson · 21 de agosto de 2022

5 horas atrás, Lusitano disse:
@Luan Masson

Atente para que algumas destas etapas requerem tempo, portanto tenha paciência. Lamento, mas temos de fazer análises que requerem tempo.

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

SpyHunter 5

2. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador

Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Clique em Corrigir.

Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

3. Faça o download do Verificador de Segurança da Microsoft (MSS).

Execute a ferramenta e na sua próxima resposta anexe o resultado, que é um arquivo MSERT.log. que estará localizado em C:\Windows\debug\msert.log

4. Faça o download de Kaspersky Virus Removal Tool (KVRT) e salve no seu desktop.

Pressione as teclas Windows + R, para abrir a caixa "executar".

Copie e cole a seguinte linha abaixo nessa caixa:
C:\Users\luanm\DESKTOP\KVRT.exe -dontencrypt
Selecione „Ok“ para dar inicio a execução.
Permita que a ferramenta seja executada, marque todas as caixas de confirmação e clique em "Accept".
Na janela da ferramenta KVRT, selecione "Change Parameters".
Na nova janela, certifique-se que as seguintes caixas estão marcadas:

System memory

Startup objects

Boot sectors

System drive

Selecione "OK" e „Start scan“.
Quando terminar: Se algo for encontrado irão aparecer opções. Se aparecer "Cure", deixe selecionada. Noutras situações, marque "Delete", e clique em "Continue".
Nota: Geralmente o computador necessitará de reiniciar para finalizar a remoção.
Um arquivo será gerado e pode ser encontrado no seu drive de sistema (ex: C:\), por exemplo:
C:\KVRT2022_Data\Reports\report_<data>_<hora>.klr
Clique direito do mouse nesse arquivo e escolha abrir com Bloco de Notas (Notepad)
Salve esse arquivo e anexe-o na sua próxima resposta juntamente com novos logs da ferramenta FRST (frst.txt e addition.txt).

5. Na sua próxima resposta, o que eu espero de você:

Anexe o arquivo fixlog.txt (etapa 2)

Anexe o arquivo MSERT.log (etapa 3)

Anexe o arquivo do KVRT (etapa 4)

Passando zipada porque o arquivo criado pelo KVRT não é suportado.

Observei o seguinte, aparentemente minha rede está infectada e não meu computador. Ontem eu abri o fórum pelo computador da minha namorada na casa dela e o computador dela não estava infectado (Eu chequei). Hoje quando ela chegou aqui em casa e trouxe o notebook dela verificamos o mesmo presente.

O avast dela até achou alguma coisa, posso tentar fazer os mesmos passos dados aqui para tentar verificar algo no computador dela e dar um diagnostico melhor se for preciso.

LOGS.zip

13 minutos atrás, Luan Masson disse:

Passando zipada porque o arquivo criado pelo KVRT não é suportado.

Observei o seguinte, aparentemente minha rede está infectada e não meu computador. Ontem eu abri o fórum pelo computador da minha namorada na casa dela e o computador dela não estava infectado (Eu chequei). Hoje quando ela chegou aqui em casa e trouxe o notebook dela verificamos o mesmo presente.

O avast dela até achou alguma coisa, posso tentar fazer os mesmos passos dados aqui para tentar verificar algo no computador dela e dar um diagnostico melhor se for preciso.

LOGS.zip 3 kB · 0 downloads

Veirfiquei no computador do meu pai que compartilha da mesma rede e ele tambem está infectado.

Lusitano · 21 de agosto de 2022

34 minutos atrás, Luan Masson disse:

Passando zipada porque o arquivo criado pelo KVRT não é suportado.

isso porque você falhou o que lhe pedi:

Clique direito do mouse nesse arquivo e escolha abrir com Bloco de Notas (Notepad)
Salve esse arquivo e anexe-o na sua próxima resposta juntamente com novos logs da ferramenta FRST (frst.txt e addition.txt).

34 minutos atrás, Luan Masson disse:

O avast dela até achou alguma coisa, posso tentar fazer os mesmos passos dados aqui para tentar verificar algo no computador dela e dar um diagnostico melhor se for preciso.

não é necessário. Já removemos uma parte, falta ainda algumas etapas.

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop
Clique direito em esetonlinescanner_enu.exe e execute como administrador
Clique em Computer Scan
Clique em Full scan
Selecione Enable ESET to detect and quarantine potentially unwanted applications
Clique em Start scan
Quando terminar, salve o resultado no seu desktop como ESETScan.txt
Clique Continue e depois em Close
Anexe o arquivo ESETScan.txt

Luan Masson · 21 de agosto de 2022

1 hora atrás, Lusitano disse:

isso porque você falhou o que lhe pedi:

Clique direito do mouse nesse arquivo e escolha abrir com Bloco de Notas (Notepad)
Salve esse arquivo e anexe-o na sua próxima resposta juntamente com novos logs da ferramenta FRST (frst.txt e addition.txt).

não é necessário. Já removemos uma parte, falta ainda algumas etapas.

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop

    Clique direito em esetonlinescanner_enu.exe e execute como administrador

    Clique em Computer Scan

    Clique em Full scan

    Selecione Enable ESET to detect and quarantine potentially unwanted applications

    Clique em Start scan

    Quando terminar, salve o resultado no seu desktop como ESETScan.txt

    Clique Continue e depois em Close

    Anexe o arquivo ESETScan.txt

report_2022.08.21_11.38.14.txt FRST.txt ESETSCAN.txt Addition.txt

Lusitano · 21 de agosto de 2022

@Luan Masson amigo, estamos ambos perdendo o nosso tempo? É que você não está seguindo devidamente as minhas orientações.

Orientei para remover o software da EnigmaSoft (SpyHunter) mas ele continua.

Luan Masson · 21 de agosto de 2022

16 minutos atrás, Lusitano disse:

@Luan Masson amigo, estamos ambos perdendo o nosso tempo? É que você não está seguindo devidamente as minhas orientações.

Orientei para remover o software da EnigmaSoft (SpyHunter) mas ele continua.

Desculpe amigo mas eu removi assim como citou a cima.

Segue o print

Luan Masson · 22 de agosto de 2022

@Lusitano Verifiquei nos meus Arquivos de Programas e Arquivos de Programas (x86) e nada do software em ambos. E nem no Disco "C:" também.

Lusitano · 22 de agosto de 2022

Citação

S2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [17456368 2022-08-20] (EnigmaSoft Limited -> EnigmaSoft Limited)
S2 ShMonitor; C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe [537840 2022-08-20] (EnigmaSoft Limited -> EnigmaSoft Limited)
R3 EnigmaFileMonDriver; C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys [76744 2022-08-21] (EnigmaSoft Limited -> EnigmaSoft Limited)
SpyHunter 5 (HKLM-x32\...\SpyHunter5) (Version: 5.12.28.283 - EnigmaSoft Limited)

Continua sendo mostrado.

Por gentileza gere novos logs do FRST.

Luan Masson · 22 de agosto de 2022

Segue os logs feitos agr pela manhã.FRST.txt

Apaguei manualmente o EnigmaFileMonDriver.sys, mas mesmo assim continua aparecendo.

Addition.txt FRST.txt

Lusitano · 22 de agosto de 2022

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1574036175-161296890-1788367151-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\luanm\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Nenhum Arquivo)
HKU\S-1-5-21-1574036175-161296890-1788367151-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\luanm\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Nenhum Arquivo)
HKU\S-1-5-21-1574036175-161296890-1788367151-1001\...\RunOnce: [Uninstall 22.151.0717.0001] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\luanm\AppData\Local\Microsoft\OneDrive\22.151.0717.0001" (Nenhum Arquivo)
S3 EnigmaFileMonDriver; \??\C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys [X]
2022-08-20 10:31 - 2022-08-20 10:31 - 000388608 _____ (Trend Micro Inc.) C:\Users\luanm\Downloads\HijackThis.exe
C:\Users\luanm\Downloads\HijackThis.exe
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Luan Masson · 22 de agosto de 2022

1 hora atrás, Lusitano disse:

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador

Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Clique em Corrigir.

Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Fixlog.txt

Lusitano · 22 de agosto de 2022

@Luan Masson Amigo, por gentileza me informe como está o pc agora.

Luan Masson · 22 de agosto de 2022

@Lusitano Ainda possuo alguns hosts de serviço bastante suspeitos.

Além da internet estar meio ruim.

Lusitano · 22 de agosto de 2022

Seu pc está livre de malwares. vamos ver como esta de atualizações.

Façao download de SecurityCheck

Caso seja notificado pelos seus programas de segurança, permita, pois o software é de confiança

Clique direito do mouse em Securitycheck.exe e selecione Executar como administrador e permita que o software seja executado

Quando terminar, será gerado um arquivo SecurityCheck.txt que deverá anexar na sua próxima resposta

Esse arquivo estará localizado em: C:\SecurityCheck\SecurityCheck.txt

Luan Masson · 22 de agosto de 2022

Segue o anexo do SecurityCheck:

SecurityCheck.txt

Lusitano · 22 de agosto de 2022

@Luan Masson Amigo, está tudo ok.

o problema que ainda resta são esses abaixo.

Citação

Error: (08/20/2022 03:46:30 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nome do aplicativo com falha: MiniSearchHost.exe, versão: 421.21100.85.0, carimbo de data/hora: 0x6153858f
Nome do módulo com falha: twinapi.appcore.dll, versão: 10.0.22000.318, carimbo de data/hora: 0x773eea87
Código de exceção: 0xc000027b
Deslocamento da falha: 0x000000000010a824
ID do processo com falha: 0x2ed4
Hora de início do aplicativo com falha: 0x01d8b45cd167518b
Caminho do aplicativo com falha: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\MiniSearchHost.exe
Caminho do módulo com falha: C:\Windows\System32\twinapi.appcore.dll
ID do Relatório: 3181310a-578f-4750-b2af-5ca8677de070
Nome completo do pacote com falha: MicrosoftWindows.Client.CBS_1000.22000.318.0_x64__cw5n1h2txyewy
ID do aplicativo relativo ao pacote com falha: MiniSearchUI

Error: (08/20/2022 03:34:21 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nome do aplicativo com falha: backgroundTaskHost.exe, versão: 10.0.22000.1, carimbo de data/hora: 0xfe3e559a
Nome do módulo com falha: biwinrt.dll, versão: 10.0.22000.1, carimbo de data/hora: 0xf1d2024c
Código de exceção: 0xc000027b
Deslocamento da falha: 0x000000000001dd64
ID do processo com falha: 0x3304
Hora de início do aplicativo com falha: 0x01d8b45ee1d09efb
Caminho do aplicativo com falha: C:\Windows\system32\backgroundTaskHost.exe
Caminho do módulo com falha: C:\Windows\System32\biwinrt.dll
ID do Relatório: 3f1c4e9f-de22-4672-b351-9be0eed17abc
Nome completo do pacote com falha: Microsoft.MicrosoftOfficeHub_18.2104.12721.0_x64__8wekyb3d8bbwe
ID do aplicativo relativo ao pacote com falha: Microsoft.MicrosoftOfficeHub

Você terá melhor ajuda para isto abrindo um novo tópico no setor de Windows 11. Aí outros colegas poderão orientá-lo.

Vamos finalizar por aqui, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Luan Masson · 22 de agosto de 2022

@Lusitano Você é o cara! Valeu amigo!

Lusitano · 23 de agosto de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.