Malware que nem antivírus, nem restauração elimina

[Phsilvah]

Enfim, há uns 5 meses atrás baixei um filme no perigo e mais ou menos 1 semana depois o PC começou a ficar sem memória RAM, sem falar que alguns jogos estavam sendo impedidos de ser iniciados. Desinstalei e instalei novamente o windows e resolveu por 1 semana. Após isso, o mesmo problema dos jogos estarem sendo impedidos continuou (o do PC ficar sem RAM parece que melhorou). Restaurei novamente e a mesma coisa, uma semana sem nada e após isso, volta tudo. Procuro ajuda com esse problema. Desde já agradeço!

[Lusitano]

Bem vindo,

Por gentileza, siga as instruções do tópico abaixo e retorne com os resultados das análises:

https://www.clubedohardware.com.br/forums/forum/89-remoção-de-malware/

 

[Phsilvah]

olá, aqui está o que você me pediu.

Addition_25-10-2023 15.36.48.txt AdwCleaner[C03].txt FRST_25-10-2023 15.36.48.txt ZHPCleaner (R).txt

[Lusitano]

@Phsilvah Amigo, nada é mostrado quanto a malwares.

 

Citação

Percentagem de memória em uso: 85%
RAM física total: 3959.3 MB
RAM física disponível: 568.99 MB
Virtual Total: 12663.3 MB
Virtual disponível: 7004.42 MB

Seu problema estará relacionado com o desempenho e não malwares.

 

Podemos tentar limpar e otimizar, para ver se isso o ajuda um pouco.

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
StartRegedit:
Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableLUA"=dword:00000001
 
EndRegedit:
 
StartBatch:
  pushd\windows\system32
  bcdedit.exe /export C:\exportBCDfile
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit /enum
  DISM.exe /Online /Cleanup-image /Restorehealth
  sfc /scannow
Endbatch:
 
StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
  del /s /q "%userprofile%\AppData\Local\Temp\*.*"
  del /f /q "%userprofile%\AppData\Local\*-gui"
  del /f /q "%userprofile%\AppData\Roaming\*-gui"
 :eof
EndBatch:
 
 
startpowershell:
Write-Output "PowerShell run 1"
 
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose
Set-Service -Name "windefend" -StartupType Automatic -Verbose
Set-Service -Name "securityhealthservice" -StartupType Manual -Verbose
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
Endpowershell:
 
StartBatch:
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
net start windefend
net start mpssvc
net start mpsdrv
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
 

 
startpowershell:
Write-Output "PowerShell run 2"
 
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# Check computer status again after setting to make sure changes were applied
    Get-MpComputerStatus
    Get-MpPreference
    Get-MpThreatDetection
# get statuses of services
Get-Service 'Terminal Server' | Select-Object -Property Name, StartType, Status
Get-Service BITS | Select-Object -Property Name, StartType, Status
Get-Service Dhcp | Select-Object -Property Name, StartType, Status
Get-Service EventLog | Select-Object -Property Name, StartType, Status
Get-Service EventSystem | Select-Object -Property Name, StartType, Status
Get-Service mbamservice | Select-Object -Property Name, StartType, Status
Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
Get-Service msiserver | Select-Object -Property Name, StartType, Status
Get-Service nsi | Select-Object -Property Name, StartType, Status
Get-Service RasMan | Select-Object -Property Name, StartType, Status
Get-Service rpcss | Select-Object -Property Name, StartType, Status
Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
Get-Service sense | Select-Object -Property Name, StartType, Status
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
Get-Service VSS | Select-Object -Property Name, StartType, Status
Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
Get-Service windefend | Select-Object -Property Name, StartType, Status
Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
Get-Service wscsvc | Select-Object -Property Name, StartType, Status
Get-Service wuauserv | Select-Object -Property Name, StartType, Status
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}
Get-CimInstance SoftwareLicensingProduct -Filter "Name like 'Windows%'" | where { $_.PartialProductKey } | select Description, LicenseStatus
EndPowerShell:
 
startbatch:
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\uwj5v52h.default\cache2\*.*"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\9drvj32f.default-release\cache2\*.*"
endbatch:
cmd: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power" /v HiberbootEnabled
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
exportkey: hkcu\software\classes\ms-settings\shell\open\command
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
exportkey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager
 
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp 
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R 
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R 
cmd: "C:\Windows\SysWOW64\lodctr.exe" /R 
cmd: "C:\Windows\SYSTEM32\lodctr.exe" /R 
 
Removeproxy:

cmd: fltmc instances
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
cmd: ipconfig /flushdns
cmd: netsh winsock reset catalog
cmd: netsh int ip reset C:\resettcpip.txt
cmd: Bitsadmin /Reset /Allusers
 
Empytemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Phsilvah]

Deu uma melhora no desempenho, irei providenciar hardwares para subir a máquina. Muito obrigado pela ajuda!

Fixlog.txt

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.