Resto de arquivos corrompidos ou vírus no pc

[renanziin]

olá, esses dias meu pc estava muito lento e com suspeita de algo, então resolvi formatar ele, passei o Malwarebytes e ele não detectou nada, porém vai que há algo ainda que possa estar no pc, melhor prevenir segue os anexo

Addition.txt AdwCleaner[C00].txt FRST.txt

[Lusitano]

@renanziin Olá, nada de malwares é mostrado. Ainda está notando algo estranho?

[renanziin]

@Lusitano Olá! boa tarde, na questão do pc estar lento, ele melhorou sim depois da formatação e por enquanto nada de anormal, então sem suspeita de vírus ou algo?

[Lusitano]

@renanziin Com o seu processador e RAM, a performance não deveria ser problema.

Existem algumas coisas que podemos tentar fazer para melhorar.

 

Citação

Nome: PUA:Win32/Keygen

1. Não recorra a pirataria. Além de ser ilegal, só lhe traz problemas para o seu pc!

 

2. Remova estes programas. Os drivers devem ser baixados diretamente dos fabricantes:

Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

• Driver Booster
• IObit

3. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-50318889-1276833974-3216753305-1001\...\RunOnce: [Uninstall logs\Common] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Ubaga\AppData\Local\Microsoft\OneDrive\logs\Common" (Nenhum Arquivo)
HKU\S-1-5-21-50318889-1276833974-3216753305-1001\...\RunOnce: [Uninstall 22.248.1127.0001] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Ubaga\AppData\Local\Microsoft\OneDrive\22.248.1127.0001" (Nenhum Arquivo)
Task: {002A48E7-CCE1-44E7-90DB-B0E645E1D40C} - System32\Tasks\Driver Booster SkipUAC (Ubaga) => C:\Program Files (x86)\IObit\Driver Booster\10.2.0\DriverBooster.exe [9010648 2023-01-09] (IObit CO., LTD -> IObit)
Task: {6B81BB89-FE97-4E05-A9E6-805522A3EAB5} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\10.2.0\AutoUpdate.exe [2516968 2022-12-26] (IObit CO., LTD -> IObit)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\Windows\system32\MusNotification.exe (Nenhum Arquivo)
2023-01-14 00:40 - 2023-01-15 01:34 - 000000000 ____D C:\Users\Ubaga\AppData\Roaming\IObit
2023-01-14 00:40 - 2023-01-14 14:49 - 000000000 ____D C:\ProgramData\IObit
2023-01-14 00:40 - 2023-01-14 00:41 - 000000000 ____D C:\Users\Ubaga\AppData\LocalLow\IObit
2023-01-14 00:40 - 2023-01-14 00:40 - 000003286 _____ C:\Windows\system32\Tasks\Driver Booster SkipUAC (Ubaga)
2023-01-14 00:40 - 2023-01-14 00:40 - 000003160 _____ C:\Windows\system32\Tasks\Driver Booster Update
2023-01-14 00:40 - 2023-01-14 00:40 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 10
2023-01-14 00:40 - 2023-01-14 00:40 - 000000000 ____D C:\Program Files (x86)\IObit
StartRegedit:
Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-

EndRegedit:

StartBatch:
  pushd\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit.exe /timeout 4
  bcdedit.exe /enum
  DISM.exe /Online /Cleanup-image /scanhealth
  sfc /scannow
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
  del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
  del /s /q "%userprofile%\AppData\Local\Temp\*.js"
  del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
  del /s /q "%userprofile%\AppData\Local\Temp\*.html"
  del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
  del /f /q "%userprofile%\AppData\Local\*-gui"
  del /f /q "%userprofile%\AppData\Roaming\*-gui"
Endbatch:

StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
 :eof
EndBatch:

StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:

exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions

startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# 03*12-2022 
# Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
# Remove all exclusions on MS Windefend
    Write-Output "Removing all exclusions on MS Windefend antivirus"
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
EndPowerShell:

startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# 10-26-2022 M. Naggar
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
Set-Service -Name windefend -StartupType Automatic -force
Get-Service windefend | Select-Object -Property Name, StartType, Status
Set-Service -Name securityhealthservice -StartupType manual -force
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Reset and check Secure Health status
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
# Check if these services are running
Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
EndPowerShell:

startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
    Write-Output "updating"
    Update-MpSignature
    Write-Output "scanning"
    Start-MpScan -ScanType QuickScan
    Remove-MpThreat
    Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
    Remove-MpThreat
    Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Roaming"
    Remove-MpThreat
EndPowerShell:
startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# Check computer status again after setting to make sure changes were applied
    Get-MpComputerStatus
    Get-MpPreference
    Get-MpThreatDetection
# get statuses of services
Get-Service BITS | Select-Object -Property Name, StartType, Status
Get-Service Dhcp | Select-Object -Property Name, StartType, Status
Get-Service EventLog | Select-Object -Property Name, StartType, Status
Get-Service EventSystem | Select-Object -Property Name, StartType, Status
Get-Service mbamservice | Select-Object -Property Name, StartType, Status
Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
Get-Service msiserver | Select-Object -Property Name, StartType, Status
Get-Service nsi | Select-Object -Property Name, StartType, Status
Get-Service RasMan | Select-Object -Property Name, StartType, Status
Get-Service rpcss | Select-Object -Property Name, StartType, Status
Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
Get-Service sense | Select-Object -Property Name, StartType, Status
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
Get-Service VSS | Select-Object -Property Name, StartType, Status
Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
Get-Service windefend | Select-Object -Property Name, StartType, Status
Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
Get-Service wscsvc | Select-Object -Property Name, StartType, Status
Get-Service wuauserv | Select-Object -Property Name, StartType, Status
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
EndPowerShell:

C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
RemoveProxy:
EmptyTemp:
Reboot:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

Abraço

 

[renanziin]

Olá Lusitano, uma excelente tarde e agradeço novamente o suporte!

 

5 horas atrás, Lusitano disse:

1. Não recorra a pirataria. Além de ser ilegal, só lhe traz problemas para o seu pc!

 

Quando gerou o arquivo dei uma olhada e reparei com isso, porém fiquei em duvida do que seria e fui pesquisar e descobri que é uma key de windows, sendo que usei há muito tempo no windows 10 e já faz um ano que uso o 11 e nem fazia ideia que ainda ficaria, só fui saber quando pesquisei.

 

5 horas atrás, Lusitano disse:

2. Remova estes programas. Os drivers devem ser baixados diretamente dos fabricantes:

Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

• Driver Booster
• IObit

Os dois programas já foram removidos!

 

5 horas atrás, Lusitano disse:

3. Execução FRST:

Segue o anexo:

Fixlog.txt

[Lusitano]

@renanziin Oi, limpámos aí uma tonelada de cache, reparámos algumas coisas e otimizámos outras. Melhorou?

 

[renanziin]

@Lusitano Oi, até agora deu uma melhorada sim!

queria saber algumas dicas para achar o driver dos componentes, é uma pergunta meio besta, porém únicos que consigo achar de mesmo sem problemas é da placa de vídeo, de resto é meio complicado, por isso opto pelo drive booster, porém vejo alguns posts e vejo que a maioria pede para desinstalar, tem algo que comprometa dentro desse aplicativo?

[Lusitano]

21 horas atrás, renanziin disse:

por isso opto pelo drive booster, porém vejo alguns posts e vejo que a maioria pede para desinstalar, tem algo que comprometa dentro desse aplicativo?

Oi, a principal razão é que essa empresa é pouco clara em certos procedimentos e exagera em boa parte dos resultados para dar uma sensação de ser um software excecional para com isso influenciar os usuários a adquirirem a versão paga e por isso boa parte dos programas de proteção detetam e marcam como PUP.

Os drivers deve ser atualizados através do próprio fabricante e mantendo o S.O. atualiado.

 

 

[renanziin]

@Lusitano Oi, entendi, grato novamente pela atenção e ajuda

Em suma, o pc agora deu uma melhorada em geral sim

De resto, está livres de cache e malwares?

O pc estava mais com o que para ter essa lentidão antes?

[Lusitano]

16 horas atrás, renanziin disse:

De resto, está livres de cache e malwares?

Sim.

16 horas atrás, renanziin disse:

O pc estava mais com o que para ter essa lentidão antes?

O tipo de informação da ferramenta que utilizámos não está orientada para isso. Você pode aprender e utilizar outras ferramentas mais para esse efeito tal como por exemplo esta, ou pode ainda utilizar o respetivo setor do fórum para esse efeito, aqui.

 

Caso não tenha mais nenhuma questão, avise para encerrar este tópico.

[]'s

[renanziin]

@Lusitano Grato por tudo, pode fechar o tópico 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.