PC possivelmente infectado

[Caldasso]

Buenas gurizada!

 

Meu pc passou a adotar alguns comportamentos, digamos, "estranhos" e/ou não solicitados. Entre os quais:

O arquivo de log do eventview de aplicação e sistema é deletado frequentemente sem eu pedir

O pc parou de hibernar... agora quando clico em hibernar ele faz o mesmo que o modo suspender.

 

Como eu eventualmente frequento o mundo warez... as vezes, por mais cuidadoso que eu seja, pode ter alguma contaminação. Ou também pode ser só uma configuração que algum app fez sem eu saber.

 

Então recorro a vocês, ó gurus dos malwares... para ver se ta tudo em ordem em casa.

Um abraço e de antemão, obrigado!

 

E um beijo especial pro meu klingon favorito, @RenatoM     S2

Addition.txt FRST.txt AdwCleaner[C01].txt

[Lusitano]

@Caldasso Olá, nada de malwares é mostrado nas análises. Existem algumas entradas órfãs e erros que podemos aproveitar para tentar "limpar a casa" e corrigir.

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1778824841-2599155517-4135782226-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Caldasso\AppData\Local\Microsoft\OneDrive\18.151.0729.0013_1\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-1778824841-2599155517-4135782226-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Caldasso\AppData\Local\Microsoft\OneDrive\18.151.0729.0013_1\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-1778824841-2599155517-4135782226-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Caldasso\AppData\Local\Microsoft\OneDrive\18.151.0729.0013_1\amd64\FileSyncShell64.dll => Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum Arquivo
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Nenhum Arquivo
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Nenhum Arquivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Nenhum Arquivo
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Nenhum Arquivo
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Nenhum Arquivo
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Nenhum Arquivo
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Nenhum Arquivo
FirewallRules: [UDP Query User{0C124CB9-2DF6-4E59-B7F0-CE3B86BDA61A}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{97DED5B5-869B-4726-BD48-7C691685CA01}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{6AF957B2-47DB-41AF-98E8-E15F437B9DD6}C:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{4BD147FC-63C5-42C6-8588-561E3CB742AE}C:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{0967F10E-2ABB-413B-A1AB-87A2EF5D7664}C:\users\caldasso\downloads\torresmo\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\users\caldasso\downloads\torresmo\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{3275DA8B-A0E3-49BE-8B0E-CCFDA46EDDCD}C:\users\caldasso\downloads\torresmo\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\users\caldasso\downloads\torresmo\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [{22B71523-1C76-4DD7-8EF0-9FB755537603}] => (Allow) X:\Steam\steamapps\common\112 Operator\Operator 112.exe => Nenhum Arquivo
FirewallRules: [{48E8F901-FA16-469F-989F-5675E33B0835}] => (Allow) X:\Steam\steamapps\common\112 Operator\Operator 112.exe => Nenhum Arquivo
FirewallRules: [{374EC3C8-65E0-4A49-89A3-DF98DBE2AD8B}] => (Allow) X:\Steam\steamapps\common\Fall Guys\FallGuys_client.exe => Nenhum Arquivo
FirewallRules: [{505C71FE-F7B7-4A5A-BBDA-E8F8E0EA1DA8}] => (Allow) X:\Steam\steamapps\common\Fall Guys\FallGuys_client.exe => Nenhum Arquivo
FirewallRules: [{8223C3F4-EC15-4C16-8995-C4A93F608AFF}] => (Allow) X:\Steam\steamapps\common\PC Building Simulator\PCBS.exe => Nenhum Arquivo
FirewallRules: [{4EC64D33-AB97-4EA8-AD73-A6EF8478EAD3}] => (Allow) X:\Steam\steamapps\common\PC Building Simulator\PCBS.exe => Nenhum Arquivo
FirewallRules: [{1ECABD86-CC6F-4385-A536-A208E798633E}] => (Allow) X:\Steam\steamapps\common\THE GAME OF LIFE - The Official 2016 Edition\TheGameOfLife.exe => Nenhum Arquivo
FirewallRules: [{2A38C491-1D92-4B4C-9C7C-58329A91BE25}] => (Allow) X:\Steam\steamapps\common\THE GAME OF LIFE - The Official 2016 Edition\TheGameOfLife.exe => Nenhum Arquivo
FirewallRules: [{F3F2A01C-E4FE-4324-897F-32371DD05BE0}] => (Allow) X:\Steam\steamapps\common\Left 4 Dead 2\left4dead2.exe => Nenhum Arquivo
FirewallRules: [{8E3003EB-35BD-47DC-A1B8-011613629E2F}] => (Allow) X:\Steam\steamapps\common\Left 4 Dead 2\left4dead2.exe => Nenhum Arquivo
FirewallRules: [{1983072D-1EEB-4C34-A302-81BF712BC27D}] => (Allow) X:\Steam\steamapps\common\Starpoint Gemini Warlords\GameLauncher.exe => Nenhum Arquivo
FirewallRules: [{B510B88C-066E-4EEF-A8D2-BA117AF98880}] => (Allow) X:\Steam\steamapps\common\Starpoint Gemini Warlords\GameLauncher.exe => Nenhum Arquivo
FirewallRules: [{64D34CBD-8EF0-4522-B1B6-6F2E33B1F48C}] => (Allow) X:\Steam\steamapps\common\wallpaper_engine\launcher.exe => Nenhum Arquivo
FirewallRules: [{D591F899-BD64-4743-BF0B-C4CD44C2B9EF}] => (Allow) X:\Steam\steamapps\common\wallpaper_engine\launcher.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{1FC6C5C9-34AF-44D1-8279-413E4A1EF028}D:\games\need for speed heat\needforspeedheat.exe] => (Allow) D:\games\need for speed heat\needforspeedheat.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{76949C1D-257B-4CB4-8D2D-A947C212F49F}D:\games\need for speed heat\needforspeedheat.exe] => (Allow) D:\games\need for speed heat\needforspeedheat.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{5A7F5EAC-8BDE-4E7A-851D-6961AA559DDE}X:\diablo iii\x64\diablo iii64.exe] => (Allow) X:\diablo iii\x64\diablo iii64.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{B9708935-1A17-4514-AE49-2B68B9055600}X:\diablo iii\x64\diablo iii64.exe] => (Allow) X:\diablo iii\x64\diablo iii64.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{834B8A6A-DE85-4D82-A889-CB0F5310D721}D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Block) D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{5F1F72AD-D77B-4B55-98AC-C051538C005D}D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Block) D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{F5FEC504-F196-4745-8FE3-5B7C0690CA20}C:\users\caldasso\downloads\codex\cópia de codex-crack\codex-crack\codex\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) C:\users\caldasso\downloads\codex\cópia de codex-crack\codex-crack\codex\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{4BE516E7-603F-41FD-A145-AC11EBB704D0}C:\users\caldasso\downloads\codex\cópia de codex-crack\codex-crack\codex\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) C:\users\caldasso\downloads\codex\cópia de codex-crack\codex-crack\codex\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [{9C53D184-5C6A-4D66-98A2-CA0C5B8E21F9}] => (Allow) X:\Steam\steamapps\common\ShadowOfWar\x64\ShadowOfWar.exe => Nenhum Arquivo
FirewallRules: [{405A010A-D1B3-44A3-B624-F2F69CBDA98A}] => (Allow) X:\Steam\steamapps\common\ShadowOfWar\x64\ShadowOfWar.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{ABDC51D6-287B-4150-B384-C8D85B9F33B6}C:\users\caldasso\downloads\compressed\surviving.the.aftermath.andrex\surviving.the.aftermath.v1.0.0.4969\aftermath64.exe] => (Block) C:\users\caldasso\downloads\compressed\surviving.the.aftermath.andrex\surviving.the.aftermath.v1.0.0.4969\aftermath64.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{6AB3B6D0-F2E8-4C1A-BAEB-ED5DAB3A3A49}C:\users\caldasso\downloads\compressed\surviving.the.aftermath.andrex\surviving.the.aftermath.v1.0.0.4969\aftermath64.exe] => (Block) C:\users\caldasso\downloads\compressed\surviving.the.aftermath.andrex\surviving.the.aftermath.v1.0.0.4969\aftermath64.exe => Nenhum Arquivo
FirewallRules: [{E5D0A589-6D72-4393-98A5-A93E7213E8B3}] => (Allow) X:\Steam\steamapps\common\Pilgrims\Pilgrims.exe => Nenhum Arquivo
FirewallRules: [{61A68205-3650-46B5-96B0-EB52D2CE43EF}] => (Allow) X:\Steam\steamapps\common\Pilgrims\Pilgrims.exe => Nenhum Arquivo
FirewallRules: [{F1275A99-B3DE-431C-AC29-0895070C4CBE}] => (Allow) X:\Steam\steamapps\common\Project Hospital\ProjectHospital.exe => Nenhum Arquivo
FirewallRules: [{26A46E2D-A654-40DC-A30F-C50836288422}] => (Allow) X:\Steam\steamapps\common\Project Hospital\ProjectHospital.exe => Nenhum Arquivo
FirewallRules: [{A398B561-90EB-4F0C-906E-4C0BEEAD3214}] => (Allow) X:\Steam\steamapps\common\UnderMine\UnderMine.exe => Nenhum Arquivo
FirewallRules: [{37AF7277-FE62-4147-9B5D-83535CF8A570}] => (Allow) X:\Steam\steamapps\common\UnderMine\UnderMine.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E77F10C8-7F7C-4EE0-AD16-BB144489DBD8}C:\users\caldasso\downloads\compressed\ragnax-20180301183721\abandon ship\abandonship.exe] => (Block) C:\users\caldasso\downloads\compressed\ragnax-20180301183721\abandon ship\abandonship.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{E22F346B-5E16-4792-A8E1-2723D021CBDB}C:\users\caldasso\downloads\compressed\ragnax-20180301183721\abandon ship\abandonship.exe] => (Block) C:\users\caldasso\downloads\compressed\ragnax-20180301183721\abandon ship\abandonship.exe => Nenhum Arquivo
FirewallRules: [{7489967D-3939-416F-8C27-8CC50C179841}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Nenhum Arquivo
FirewallRules: [{9B006B37-D5C7-4D37-8F8A-85724559DB0E}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Nenhum Arquivo
FirewallRules: [{E095E560-A7DA-4F0A-9475-AAD444904DEB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{C171656D-5966-432D-8AD0-4CB5980EC063}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{D9A5759E-B407-4FC2-8375-AB8919858FE5}] => (Allow) X:\Steam\steamapps\common\Fae Tactics\fae_tactics.exe => Nenhum Arquivo
FirewallRules: [{BF0F521B-29DD-4B5F-9BB9-AB2379839568}] => (Allow) X:\Steam\steamapps\common\Fae Tactics\fae_tactics.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{A53DB240-6470-44DE-903D-4C4B7BECF1CD}C:\users\caldasso\downloads\torresmo\dyson.sphere.program.v0.6.15.5618\dspgame.exe] => (Block) C:\users\caldasso\downloads\torresmo\dyson.sphere.program.v0.6.15.5618\dspgame.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{10F6EF03-E44B-4735-B5B3-B5DB7EE16395}C:\users\caldasso\downloads\torresmo\dyson.sphere.program.v0.6.15.5618\dspgame.exe] => (Block) C:\users\caldasso\downloads\torresmo\dyson.sphere.program.v0.6.15.5618\dspgame.exe => Nenhum Arquivo
FirewallRules: [{6EA3C761-6ABA-4C35-A591-97374EDD9EE6}] => (Allow) C:\Program Files (x86)\Overwolf\0.165.0.28\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{17E776BF-68DA-49CD-8E88-89556BF8CB3B}] => (Allow) C:\Program Files (x86)\Overwolf\0.165.0.28\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{E24C4299-31A1-463D-A291-EBEA7129A0FC}] => (Block) C:\Program Files (x86)\Overwolf\0.165.0.28\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{AD42DD37-B0D2-4811-8C5D-1EF4DFDD2242}] => (Block) C:\Program Files (x86)\Overwolf\0.165.0.28\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{EF95C0D2-57B8-406A-B000-9B5AA09F6891}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Stoneshard\StoneShard.exe => Nenhum Arquivo
FirewallRules: [{B0E17C0A-0CF6-4F4D-AE23-14408C7A02D1}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Stoneshard\StoneShard.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{4062EC9A-29B9-4792-BAE6-F4161A596BF5}C:\users\caldasso\downloads\torresmo\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\dedicatedserver.exe] => (Allow) C:\users\caldasso\downloads\torresmo\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\dedicatedserver.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E42F9668-12CC-4453-A7F1-0EBC20B7319D}C:\users\caldasso\downloads\torresmo\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\dedicatedserver.exe] => (Allow) C:\users\caldasso\downloads\torresmo\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\barotrauma.v0.12.0.3\dedicatedserver.exe => Nenhum Arquivo
FirewallRules: [{7E8A9C34-41F8-47FA-B3C5-26A7890E2988}] => (Allow) X:\Steam\steamapps\common\Barotrauma\Barotrauma.exe => Nenhum Arquivo
FirewallRules: [{AC26F080-0190-4625-9076-871BF2B4C2CF}] => (Allow) X:\Steam\steamapps\common\Barotrauma\Barotrauma.exe => Nenhum Arquivo
FirewallRules: [{A96501AE-E2BC-4DD5-A630-E8931C5D3FF7}] => (Allow) X:\Steam\steamapps\common\wallpaper_engine\bin\diagnostics32.exe => Nenhum Arquivo
FirewallRules: [{B4FF6D97-D383-4B77-98E7-7B2B88C10B54}] => (Allow) X:\Steam\steamapps\common\wallpaper_engine\bin\diagnostics32.exe => Nenhum Arquivo
FirewallRules: [{10FAAC1F-F249-4591-96E1-48B824F55CB1}] => (Allow) X:\Steam\steamapps\common\Slasta_COTM\Solasta.exe => Nenhum Arquivo
FirewallRules: [{11A10FEF-6B69-4135-B49F-9668C4D832C5}] => (Allow) X:\Steam\steamapps\common\Slasta_COTM\Solasta.exe => Nenhum Arquivo
FirewallRules: [{807B4C4F-6B8A-4578-932D-4F09C1DFDF75}] => (Allow) C:\Program Files (x86)\iCareFone Transfer\iCareFone Transfer.exe => Nenhum Arquivo
FirewallRules: [{4DFA7DB4-75E4-4133-8845-BBACABA52E53}] => (Allow) C:\Program Files (x86)\iCareFone Transfer\iCareFone Transfer.exe => Nenhum Arquivo
FirewallRules: [{D14C1299-C110-46F9-8169-27649A87940C}] => (Allow) C:\Program Files (x86)\iCareFone Transfer\MicrosoftEdgeWebview2Setup.exe => Nenhum Arquivo
FirewallRules: [{7971EC98-E231-4E91-B8E0-5BDB6B31A287}] => (Allow) C:\Program Files (x86)\iCareFone Transfer\MicrosoftEdgeWebview2Setup.exe => Nenhum Arquivo
HKLM-x32\...\Run: [WSHelperSetup.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Nenhum Arquivo)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKU\S-1-5-21-1778824841-2599155517-4135782226-1001\...\Run: [AnyTransToolHelper] => C:\Program Files (x86)\AnyTrans for iOS\AnyTransToolHelper.exe (Nenhum Arquivo)
HKU\S-1-5-21-1778824841-2599155517-4135782226-1001\...\Run: [WSHelperSetup.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Nenhum Arquivo)
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Google: Restrição <==== ATENÇÃO
Task: {2E8C61ED-AA4A-413B-9C4B-B2748F9B7028} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (Nenhum Arquivo)
S2 ElevationService; C:\Program Files (x86)\Wondershare\MobileTrans\ElevationService.exe [X]
S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X]
S3 WsDrvInst; C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe [X]
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
C:\ProgramData\Temp\*
C:\Program Files (x86)\Temp\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\*
C:\Users\AllUserName\AppData\LocalLow\Temp\*
C:\Users\AllUserName\Appdata\Local\Temp\*
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Caldasso]

Buenas @Lusitano

 

Obrigado pela rápida análise.

 

Segue log do fix.

 

Pergunta:

Essas 2 entradas, pelo pouco que entendo da arte, são as responsáveis por apagar os logs do eventview... elas foram inseridas ai por qual software, você sabe?
Tem como remover elas / já foram removidas?

 

Task: {E75B9BB6-4AE1-4365-9072-4703DE9ABB74} - System32\Tasks\PCIeBusQueue => "wevtutil.exe" cl System

Task: {696DA830-7DB8-4CDE-A52A-6A2E81D4C662} - System32\Tasks\PCIeBus => "wevtutil.exe" cl Application

 

Obrigado!

Fixlog.txt

[Lusitano]

7 horas atrás, Caldasso disse:

Essas 2 entradas, pelo pouco que entendo da arte, são as responsáveis por apagar os logs do eventview... elas foram inseridas ai por qual software, você sabe?

Sim, você pode ler mais sobre elas neste link:

Citação

{cl | clear-log} < Logname > ]Limpa os eventos do log de eventos especificado. 

 

 

7 horas atrás, Caldasso disse:

Tem como remover elas / já foram removidas?

Eu iria lhe questionar sobre se eram do seu conhecimento essas entradas, uma vez que você tinha configurações/restrições de grupo e por isso não as removi antes de perguntar e avancei apenas com as correções mais obvias e limpeza.

É perfeitamente possível remover. o script abaixo irá fazer isso.

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

Task: {696DA830-7DB8-4CDE-A52A-6A2E81D4C662} - System32\Tasks\PCIeBus => "wevtutil.exe" cl Application
Task: {E75B9BB6-4AE1-4365-9072-4703DE9ABB74} - System32\Tasks\PCIeBusQueue => "wevtutil.exe" cl System
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

Gere e anexe também novos logs do FRST (frst.txt e addition.txt) para eu verificar se ficou tudo ok.

 

 

 

[Caldasso]

@Lusitano, obrigado!

To em viagem... voltando para casa agora. Amanhã (hj no caso - dia 17) a tarde posto. 

Abraço

[Caldasso]

Bom dia @Lusitano

 

Primeiramente, desculpe a demora. Realmente, tive alguns problemas que me impediram de continuar o fix.

 

Mas aqui está! Segue os logs.

 

Agradeço a ajuda!

Abraço!

FRST.txt Fixlog.txt Addition.txt

[Lusitano]

@Caldasso Olá, desculpe a demora mas este tópico acabou passando despercebido. 

 

Nos logs a unica coisa que é mostrada são restrições de politica de grupo, mas creio serem do seu conhecimento e legitimas portanto:

Citação

GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO

 

O seu outro problema relacionado ao eventviewer já está resolvido, certo?

 

Abraço

[Caldasso]

@Lusitano

 

Sem problemas quanto a demora. Tamo em casa.

 

Quanto ao eventviewer, tudo certo agora. Obrigado. Ainda me pergunto o que teria adicionado essas tasks.... pois nunca foram do meu conhecimento. Você sabe se isso é "prática" de algum malware?

 

Quanto as GPO... tche, q eu me lembre, não tenho nada configurado. Você tem como me dizer o que exatamente ta restrito? Não entendi pelo log.
OBS: eu não noto nada de "bloqueado" ou restrito no uso do dia a dia... por isso to estranhando.

 

Abraço e obrigado

[Lusitano]

15 horas atrás, Caldasso disse:

Quanto ao eventviewer, tudo certo agora. Obrigado. Ainda me pergunto o que teria adicionado essas tasks.... pois nunca foram do meu conhecimento. Você sabe se isso é "prática" de algum malware?

É possível. Com a informação que os logs mostravam não tinha informação suficiente para saber o que causou isso.

 

15 horas atrás, Caldasso disse:

Quanto as GPO... tche, q eu me lembre, não tenho nada configurado. Você tem como me dizer o que exatamente ta restrito?

Você tem forma de verificar isso. clique nas teclas windows + R e digite: gpedit.msc ou por exemplo: gpresult /r /user administrator

Pode ler mais sobre isso em : link  

 

[Caldasso]

@Lusitano

 

beleza... dei uma olhada e não vi nada demais. 

Por aqui, tudo certo agora.

 

Obrigado e feliz natal e um excelente ano novo para você e sua família.

 

Abraço

[Lusitano]

10 horas atrás, Caldasso disse:

Obrigado e feliz natal e um excelente ano novo para você e sua família.

Igualmente

 

Caso não necessite, pode desinstalar a ferramenta que utilizámos:

Citação

Desinstalar FRST

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema e apenas funciona fora do Modo de Recuperação.

 

No mais, tudo feito.

Abraço

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.