ferramentas para detectar e remover supostos virus

Matheus Tenfen · 27 de junho de 2023

preciso saber se meu pc esta com virus (mesmo apos formatado) e de ferramentas para remover e detectar virus (daqueles mais dificeis de tirar)

Lusitano · 27 de junho de 2023

Olá, por gentileza leia o tópico abaixo e na sua próxima resposta anexe os resultados das análises solicitadas:

Matheus Tenfen · 27 de junho de 2023

@Lusitanoaqui estão, desde já, obrigado pela ajuda. por algum motivo la na pasta do adw cleaner apareceram dois logs, então resolvi anexar os dois aqui.

FRST.txt Addition.txt AdwCleaner[C00].txt AdwCleaner[S00].txt

Matheus Tenfen · 29 de junho de 2023

@Lusitano opa mano, o que você achou dos testes? Tem algum vírus ou programa indesejado no meu computador?

Lusitano · 30 de junho de 2023

@Matheus Tenfen Olá, queira desculpar alguma demora, mas a demanda de trabalho esta semana tem sido muita.

As análises não mostram nada relacionado a malwares. Você nota algum comportamento estranho no seu pc?

abraço

Matheus Tenfen · 30 de junho de 2023

@Lusitano olá, as vezes o mouse da umas travada mas acho que não tem a ver com virus, no gerenciador de tarefas parece estar tudo ok. Mas notei que quando baixei o eset online scanner, ele não abriu da primeira vez que cliquei somente da segunda, não sei se isso pode estar relacionado a vírus ou é só paranoia minha mesmo kkkk pois já fui hackeado, e virus depois de formatar pode ocorrer, tipo ele ficar após a formatação? E sobre roteador tem como virus se instalar nele?

Lusitano · 30 de junho de 2023

6 horas atrás, Matheus Tenfen disse:

olá, as vezes o mouse da umas travada mas acho que não tem a ver com virus, no gerenciador de tarefas parece estar tudo ok. Mas notei que quando baixei o eset online scanner, ele não abriu da primeira vez que cliquei somente da segunda, não sei se isso pode estar relacionado a vírus ou é só paranoia minha mesmo kkkk pois já fui hackeado

Quando você executou o software, houve o erro abaixo:

Citação

Hora de início do aplicativo com falha: 0x01d9a933e048d0d1
Caminho do aplicativo com falha: C:\Users\pablo\AppData\Local\ESET\ESETOnlineScanner\ESETOnlineScanner.exe
Caminho do módulo com falha: C:\Windows\SYSTEM32\WININET.dll

Não há nada que indique qualquer malware, embora haja alguns outros erros que podemos tentar corrigir.

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-

EndRegedit:

StartBatch:
pushd\windows\system32
bcdedit.exe /set {default} recoveryenabled yes
bcdedit.exe /timeout 4
bcdedit.exe /enum
DISM.exe /Online /Cleanup-image /scanhealth
sfc /scannow
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
del /s /q "%userprofile%\AppData\Local\Temp\*.js"
del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
del /s /q "%userprofile%\AppData\Local\Temp\*.html"
del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
del /f /q "%userprofile%\AppData\Local\*-gui"
del /f /q "%userprofile%\AppData\Roaming\*-gui"
Endbatch:

StartBatch:
SETLOCAL ENABLEEXTENSIONS
echo userprofile=%USERPROFILE%
if not defined userprofile echo no userprofile&goto :eof
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
del /f /q "%userprofile%\AppData\Roaming\{*.*"
rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
:eof
EndBatch:

StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
EmptyTemp:
Reboot:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Matheus Tenfen · 30 de junho de 2023

5 minutos atrás, Lusitano disse:

Quando você executou o software, houve o erro abaixo:

Não há nada que indique qualquer malware, embora haja alguns outros erros que podemos tentar corrigir.

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador

Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Clique em Corrigir.

Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

quando eu cliquei da primeira vez não deu aquele erro que você mostrou não... talvez estivesse baixando da primeira vez que cliquei e na segunda já tivesse baixado o programa. enfim, esse procedimento que você mandou é no caso se aparecer aquele erro ali ou é uma detecção de malware também?

Lusitano · 1 de julho de 2023

16 horas atrás, Matheus Tenfen disse:

se procedimento que você mandou é no caso se aparecer aquele erro ali ou é uma detecção de malware também?

Oi, as instruções contidas no script não contêm nada para remover malware, já que nada era mostrado quanto a isso. São apenas rotinas para otimizar o seu pc, mas caso entenda não as executar, não tem mal. Fica ao seu critério

Matheus Tenfen · 1 de julho de 2023

@Lusitano tá ok, mas agora como fazer pra desistalwr aquelas programas que você me mandou? Obrigado.

Matheus Tenfen · 1 de julho de 2023

@Lusitano aqui está:

Fixlog.txt

Lusitano · 2 de julho de 2023

18 horas atrás, Matheus Tenfen disse:

mas agora como fazer pra desistalwr aquelas programas que você me mandou?

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Matheus Tenfen · 2 de julho de 2023

@Lusitano esse processo é obrigatório? E sobre desinstalar os programs, o adw cleaner eu desinstalei pelo próprio aplicativo. Já os outros eu removi a pasta do programa, pois eles não apareciam no painel de controle. E sobre aquele "fix log" esta tudo certo com ele? Fiz o processo certo?

Lusitano · 3 de julho de 2023

Em 02/07/2023 às 13:15, Matheus Tenfen disse:

esse processo é obrigatório?

Não, apenas é uma ferramenta que simplifica a remoção das ferramentas entretanto utilizadas, mas uma vez que você fez isso da forma tradicional, não há necessidade de executar a ferramenta.

Em 02/07/2023 às 13:15, Matheus Tenfen disse:

já os outros eu removi a pasta do programa, pois eles não apareciam no painel de controle.

Terá de desinstalar o FRST:

Citação

Desinstalar FRST

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema e apenas funciona fora do Modo de Recuperação.

Em 02/07/2023 às 13:15, Matheus Tenfen disse:

E sobre aquele "fix log" esta tudo certo com ele? Fiz o processo certo?

Sim, tudo foi executado corretamente.

Mais alguma coisa em que lhe possa ser útil?

Matheus Tenfen · 3 de julho de 2023

@Lusitano no caso FRST, como não sabia desinstalar dessa forma, eu simplesmente exclui todas as pastas, fiz com alguns outros daquelas programas também.

Lusitano · 13 de julho de 2023

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.