Lusitano

Isso porque evolui para WinRE (Ambiente de Recuperação do Windows) . Um forma simples de aceder ao WinRE é forçar o desligar o pc duas a três vezes que automaticamente o pc será inicializado no ambiente de recuperação.

@Piluco Para que possa ser devidamente auxiliado, por gentileza siga as instruções do tópico abaixo e na sua próxima resposta, coloque TODOS os resultados solicitados:

Excelente noticia. Vivo falando para as pessoas: backup, backup e mais backup. Isso é a nossa garantia de sucesso e lidando com ransomware é FUNDAMENTAL. Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC. Faça o download de KpRm e salve no seu desktop. Clique direito em kprm_(versão).exe e selecione executar como Administrador. Leia e aceite o Aviso Legal. Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas. Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run". Quando completar, clique em OK Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro. Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar. Abraço

@marcosmourads Olá, o lsass.exe (Local Security Authority Subsystem Service) é um processo legítimo e necessário para o bom funcionamento do seu sistema e estará localizado na pasta C:\WINDOWS\system32. Se ele não estiver nesta pasta, então é que não se trata do arquivo legítimo e aí sim, poderá ser malware. Você pode facilmente verificar isso, bastando por exemplo clicar com o botão direito do mouse e escolher "abrir localização do arquivo". Em todo o caso, houve relatos de uso excessivo de cpu em win 11 relacionados com esse processo. Verifique se tem as atualizações do windows em dia.

Impossível eu lhe dar uma garantia disso não acontecer, já que eu não sei o que está na sua cloud (GDrive). O que posso é lhe transmitir informação para que você me ajude a ter maiores certezas. Esse tipo de malware vem maioritariamente de aplicativos baixados ilegalmente (Cracks, etc.) e portanto você deverá saber o que fez e que despoletou essa ocorrência. Ou seja, você executou algo que tinha este ransomware e algumas variantes estão inclusive programadas para se auto desinstalarem após terem feito a encriptação dos arquivos e o respetivo pedido de resgate (ransom). Resta agora saber SE você tem esse arquivo na cloud. O que você pode ter como garantia é que todos os ficheiros com a extensão .bbzz estão apenas encriptados e NÃO contêm malware nem a capacidade de executar nenhuma malware (por exemplo um arquivo: nomedoarquivo.pdf.bbzz). Embora a probabilidade de o executável estar na seu GDrive ser muito baixa, no seu lugar o que eu faria era cuidadosamente selecionar os seus arquivos que estão na GDrive, ou seja, os seus arquivos importantes tipo fotos, documentos, planilhas, pdf's, etc. e criar uma pasta e os colocar em outro local, como um mídia externo ou mesmo um pendrive dedicado apenas para esse efeito e aguardar que no futuro eles possam ser recuperados. Depois disso feito limpava tudo na GDrive para você poder novamente a usar em segurança. Caso você saiba exatamente o que executou na altura que este problema se despoletou e se você tem a certeza que o eliminou com a formatação e ele não estava na GDrive, então não tem perigo em voltar a usar a sua cloud, porque tal como atras afirmei, os arquivos com a extensão .bbzz não contêm malware, estão apenas encriptados pelo malware. Espero ter ajudado.

Perfeito. As análises que efetuámos não mostravam indícios e adicionámos mais um fator de certeza com o scan que você fez: "Número de detecções: 0" Infelizmente de momento isso é impossível. Não há forma de conseguir quebrar a senha de encriptação usada por esse ransomware. Uma coisa você pode tentar caso tenha interesse. Como este malware em regra só encripta a parte inicial do arquivo isso possibilita recuperar alguns arquivos, mas tenha em atenção que isso apenas se aplica a arquivos tipo foto ou vídeo. Para esse efeito e embora não haja garantia de sucesso, você pode tentar recuperar alguns desses arquivos com esta ferramenta: Media_Repair (DiskTuna) Quanto aos restantes arquivos que não for possível de recuperar, eu sugeria que você os mantivesse guardados numa pasta em separado, pois no futuro poderá existir uma forma de os conseguir recuperar. Temos relatos disso já ter acontecido em alguns ransomwares, com a captura dos criminosos e até uma ocasião que um dos criminosos estando em fase terminal (doença), ele próprio disponibilizou as chaves de desencriptação. Portanto, mantenha guardados esses arquivos e futuramente poderá vir a ser possível os recuperar. Para além disso os arquivos contendo a extensão .bbzz não contêm malware, apenas foram encriptados pelo malware que já não se encontra presente no seu pc. Não vejo razão para você excluir as suas contas, estando elas alojadas em empresas como a Google (gmail), etc. O que recomendo é que agora que você tem o seu pc livre de malware, que altere as suas passwords e sempre que possível com 2FA (2º fator de autenticação). Vamos fazer uma manutenção e tratar das entradas órfãs que mencionei no meu outro post. Execução FRST: Clique direito do mouse no icone do FRST e selecione executar como administrador Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente. Clique em Corrigir. Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta . Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

@Tárcio de Assis Olá, Os relatórios não mostram sinais da infeção, provavelmente a formatação conseguiu remover na totalidade. Apenas algumas coisas (abaixo) necessitam de correção, mas nada de preocupante e facilmente se resolvem: No que você informou no seu outro tópico, não referiu notar nenhum comportamento estranho no seu pc. Certo? Na sua próxima resposta, por gentileza me responda a esta questão. Porque depende da sua resposta se necessitaremos de executar mais procedimentos exaustivos ou não. Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada: Faça o download ESET Online Scanner e salve no seu Desktop Clique direito em esetonlinescanner_enu.exe e execute como administrador Clique em Computer Scan Clique em Full scan Selecione Enable ESET to detect and quarantine potentially unwanted applications Clique em Start scan Quando terminar, salve o resultado no seu desktop como ESETScan.txt Clique Continue e depois em Close Anexe o arquivo ESETScan.txt

Não adianta você estar a abrir lá um novo tópico que é igual a este. Leia o que está no tópico abaixo e só depois você abre o tal novo tópico contendo todos os relatórios pedidos em:

@Tárcio de Assis Olá, Para maior detalhe da informação, a infeção é referente a uma nova variante do ransomware STOP(DJVU). Nesta variante (bem recente), sem a chave cripto que só o criador do malware a tem, é impossível conseguir retirar a encriptação dos arquivos. Quanto ao seu relato que você titulou de 1º problema, existe hipótese de garantirmos a desinfeção do seu pc e como você mencionou que tem backups em cloud, embora refira que eles também estão infetados, resta saber se de fato eles estão já com a extensão do ransomware (.bbzz) ou se é o seu pc que continua infetado e que volta a encriptar os arquivos. Só existe uma forma de o ajudar e para isso você terá de abrir um novo tópico no setor correspondente do fórum, seguindo as instruções deste tópico. O 2º problema será tratado ao mesmo tempo, se e quando você abrir um novo tópico tal como explicado acima. Por último, saliento a importância de não seguir informações na net de gente que diz ter solução para resolver esta variante do STOP (Djvu), são falsas e só irá piorar a situação! abraços

Existe forma de você não necessitar de fazer isso, tal como anunciado pelo desenvolvedor da ferramenta: Eu creio que você terá de ativar Autostart e Autostart as service. Não tenho como testar isso, pois não estou utilizando esse software, mas deverá ser fácil você configurar isso no software. Abraço

Caro usuário, Seja bem-vindo ao Clube do Hardware. No intuito de servir como fonte de pesquisa no caso de instituições de ensino, informamos que incorrer no resolvimento por completo de questões relacionadas a disciplinas escolares de cursos técnicos e faculdades podem ser revistas e removidas pela Equipe de Moderação do Clube do Hardware. Para sanar dúvidas sobre esse tipo de problema, por gentileza, publique o passo a passo do desenvolvimento da questão, projeto, monografia ou conteúdo em dúvida para que possamos analisar se a resposta está correta ou não, ou para que possa ser auxiliado com a dúvida no desenvolvimento do exercício. Infelizmente, não há como resolver os trabalhos pelos usuários. O objetivo do Clube do Hardware é auxiliar seus usuários a encontrar soluções para que possam sanar suas dúvidas, e não de trazer soluções prontas para seus usuários. Além disso, copiar e colar respostas que não são de autoria própria do qualquer usuário é considerado plágio, o que é ilegal. Esperamos que compreenda. Atenciosamente, Equipe Clube do Hardware

@duduca Como alternativa ao sugerido pelo colega @Catelan e como você atrás citou um software que faça isso, existe um software gratuito que faz isso automaticamente. Caso tenha interesse, pode ler sobre esse software neste link.

@WILLIAM ALESSANDRO DE ASSI Prezado, apesar de sua aparente boa-fé, assuntos relacionados a quebra ou descobrimento de senhas/criptografias são proibidos em nosso fórum, uma vez que as informações aqui postadas podem ser utilizadas por outros usuários mal intencionados para acessar, indevidamente, dados de terceiros sem autorização. Estarei encerrando este tópico! Contamos com sua compreensão, abraços.

@credson Relembrando as regras: No intuito de servir como fonte de pesquisa no caso de instituições de ensino, informamos que incorrer no resolvimento por completo de questões relacionadas a disciplinas escolares de cursos técnicos e faculdades podem ser revistas e removidas pela Equipe de Moderação do Clube do Hardware. Para sanar dúvidas sobre esse tipo de problema, por gentileza, publique o passo a passo do desenvolvimento da questão, projeto, monografia ou conteúdo em dúvida para que possamos analisar se a resposta está correta ou não, ou para que possa ser auxiliado com a dúvida no desenvolvimento do exercício. Infelizmente, não há como resolver os trabalhos pelos usuários. O objetivo do Clube do Hardware é auxiliar seus usuários a encontrar soluções para que possam sanar suas dúvidas, e não de trazer soluções prontas para seus usuários. Além disso, copiar e colar respostas que não são de autoria própria do qualquer usuário é considerado plágio, o que é ilegal. Esperamos que compreenda. Atenciosamente, Equipe Clube do Hardware

Problema resolvido! Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

@José Luiz Sbrugnera Já tentou desinstalar e instalar de novo o mouse? Caso não o tenha feito, não perde nada em tentar. Clique tecla win + r e na caixa digite: devmgmt.msc e depois desinstale o mouse, reiniciando o pc para novamente instalar o mouse.

@Waterfilljá fizemos o que havia para fazer. Quanto a malwares o seu pc está limpo. Como está o pc agora?

Problema resolvido! Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

A nova versão free, é: Bitdefender Antivirus Free

O seu problema está relacionado exatamente com má instalação do windows e nada a ver com malwares. Por gentileza abra um novo tópico (neste setor) para que os colegas possam ajudá-lo. Vamos finalizar por aqui, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC. Faça o download de KpRm e salve no seu desktop. Clique direito em kprm_(versão).exe e selecione executar como Administrador. Leia e aceite o Aviso Legal. Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas. Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run". Quando completar, clique em OK Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar. Abraço

@Waterfill Ok, vamos fazer de outra forma: Salve o arquivo (fixlist.txt) no anexo dessa mensagem em seu Desktop (Área de Trabalho). Clique com o botão direito em FRST.exe ou FRST64.exe e escolha Executar como Administrador. Clique no botão Fix (Corrigir) e aguarde. O sistema pode ser reiniciado. Será criado um arquivo de texto Fixlog.txt em seu Desktop. Anexe-o em sua próxima resposta. fixlist.txt

Poder pode, mas neste caso você não ganha "proteção extra", já que o spybot na versão free não tem Live Protection, ou seja, não irá prevenir que seja infetado. Convém salientar que a versão gratuita do Bitdefender termina no final deste mês : O windows defender tem a função antivírus e assim sendo não é necessário estar a colocar outro software antivírus. Para além disso ele já contem a função antispyware. Antigamente, era necessário instalar software antispyware, mas atualmente grande maioria dos programas antivírus já têm essa função integrada.

@MOREMuNO Acima destaquei que a sua versão é home e no entanto tem politicas de grupo, o que geralmente está associado a versões pro e as politicas de grupo são na maioria das vezes feitas por pessoal TI nas empresas. Por exemplo, se você clicar tecla win + R e na caixa que abrir digitar gpedit.msc, irá abrir o editor de politicas de grupo. 1. Execução FRST: Clique direito do mouse no icone do FRST e selecione executar como administrador Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente. Clique em Corrigir. Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta . 2. Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada: Faça o download ESET Online Scanner e salve no seu Desktop Clique direito em esetonlinescanner_enu.exe e execute como administrador Clique em Computer Scan Clique em Full scan Selecione Enable ESET to detect and quarantine potentially unwanted applications Clique em Start scan Quando terminar, salve o resultado no seu desktop como ESETScan.txt Clique Continue e depois em Close Anexe o arquivo ESETScan.txt

Voltámos a ter politicas de grupo. Este pc pertence a alguma empresa? Também a maioria dos erros estão relacionados com Simple Certificate Enrollment Protocol

Se você quer verificar se seu problema não está relacionado com malware, terá de abrir um novo tópico (aqui) com os resultados das análises solicitadas neste tópico (aqui)