Lusitano

@Brunorondo Nada a agrader. Mantenha o seu PC seguro. Caso necessite, cá estaremos para ajudar no que pudermos. Abraço

@Brunorondo A referência "Generic" indica que algo genérico foi encontrado e geralmente elas estão muito associadas a programas crackeados. Os programas antivirus funcionam por análise heurística. No seu caso, foram encontrados diversas coisas relacionadas a malware e foram resolvidas. Limpe os arquivos temporários e elimine os programas que não necessita. As ferramentas que utilizámos nestes procedimentos já deverão ter sido removidas, pois eu lhe passei instruções para isso. SE, não nota mais nada de anormal ou se não necessita da continuação do meu auxílio, avise para fecharmos este tópico. Mantenha o seu PC seguro, mantendo os seus softwares atualizados, fazendo uma utilização responsável e não abrindo nem baixando programas duvidosos e faça backup's regulares e mantenha-os em um disco externo e/ou em cloud.<= SUPER importante isto! Abraço

@Professor Marcelo Olá novamente professor Marcelo, Como eu suspeitei desde o inicio, o BITS e alguma KB da Microsoft (vulgo atualização), são a causa do problema. E nós lá no tópico da remoção de malware, fizémos uma série de procedimentos para corrigir isso. A ferramenta que maioritariamente utilizamos (FRST) não tinha a parte referente ao BITS, mas agora com o último upgrade feito a essa ferramenta, também já cobre a parte do BITS. Antes de rodarmos essa ferramenta, podemos tentar uma outra ferramenta que automaticamente poderá solucionar o seu problema. Baixe e execute esta ferramenta (download aqui). As instruções estão em inglês. Caso tenha alguma dificuldade, por favor avise que o orientarei. Abraço

@Brunorondo Olá, em bom rigor o eset já everá ter removido esses programas. Enquanto eu ainda o questiono, as companhias AV vão logo direto ao assunto e como se trata de programas ilegais, pura e simplesmente removem! Nota ainda algo de estranho com o seu PC? É que os procedimentos que fizemos até agora já corrigiram a parte referente aos malwares. abraço

@Professor Marcelo Continua com o seu problema?

@Brunorondo Prezado, o seu computador contém programas que violam as regras! Nomeadamente este software KMSpico, que poderá ler mais sobre ele aqui, e que não era mostrado anteriormente pois ele se encontra em outro drive (E:). Sugiro que esse programa seja removido, mas a decisão é sua. Se optar por remover, poderemos dar continuidade a este tópico. Se optar por manter esse software, teremos de dar por encerrado este tópico. Fico aguardando que me informe sobre qual a sua decisão e lembre-se que eu tenho forma de verificar se de fato esse software foi removido Abraço

@Brunorondo Estamos quase, apenas falta removermos algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no seu uso regular do PC e verificar se tudo está mesmo ok: Faça o download de KpRm e salve no seu desktop. Clique direito em kprm_(versão).exe e selecione executar como Administrador. Leia e aceite o Aviso Legal. Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas. Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run". Quando completar, clique em OK Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Copie e cole esse conteúdo na sua próxima resposta. Eu gostaria que nos certificássemos que nada resta no seu PC. Para isso: Faça o download ESET Online Scanner e salve no seu Desktop Clique direito em esetonlinescanner_enu.exe e execute como administrador Clique em Computer Scan Clique em Full scan Selecione Enable ESET to detect and quarantine potentially unwanted applications Clique em Start scan Quando terminar, salve o resultado no seu desktop como ESETScan.txt Cllique Continue e depois em Close Anexe o arquivo ESETScan.txt

O próprio sistema tem essa opção

@Brunorondo Execute novamente a ferramenta FRST; Na caixa "Pesquisar", digite; miner, depois no botão "Pesquisar Arquivos". Aguarde que a ferramenta seja executada e no final será gerado um arquivo Search.txt. Anexe esse arquivo na próxima resposta.

@Brunorondo Na verificação que fiz dos resultados das analises,vejo que você tem um programa que eu recomendo que você desinstale: BitTorrent Contudo, a escolha é sua se o deseja manter, mas avise-me sobre qual é a sua decisão sobre isto. Para ajudar na sua decisão, hoje em dia existe um grande problema com um tipo de malware que em grande percentagem não nos possibilita recuperar uma boa parte do seu computador. Você pode por exemplo ler um pouco mais sobre esse tipo de malware aqui Quase sempre esse tipo de infeção vem da utilização de programas P2P (ex: utorrent) e na utilização de programas crakeados. Há um grande esforço de muita gente que possibilita que na atualidade existam programas gratuitos, que são uma excelente alternativa a programas pagos. Feita esta explicação, decida se quer manter este tipo de programa. Caso contrário, você poderá desinstalar o mesmo via Painel de Controle > Adicionar/Remover Programas. Quanto ao miner, eu o deteto nas regras da firewall e vamos desde já tratar disso, mas haverá mais a fazer quanto a isso Instruções: Temporariamente desative o seus programas de proteção (antivirus), para garantir que não interferem com a execução destes procedimentos Clique direito do mouse no icone do FRST e selecione executar como administrador Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automáticamente. Start:: CreateRestorePoint: CloseProcesses: FirewallRules: [TCP Query User{12DD3FAF-7C2B-40E9-9DFA-1778E19FB62B}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe => Nenhum Arquivo FirewallRules: [UDP Query User{AFB10339-6A8C-497B-A4A8-21CEB287CDA5}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe => Nenhum Arquivo FirewallRules: [TCP Query User{5D2AED70-F981-45DA-8CDF-79F52E755CF1}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe => Nenhum Arquivo FirewallRules: [UDP Query User{BA9BA710-9356-4E57-A707-1942132541AE}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe => Nenhum Arquivo FirewallRules: [TCP Query User{811F2AC2-0A24-4FBF-B288-199DECBB6BFF}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe => Nenhum Arquivo FirewallRules: [UDP Query User{AE279953-36C3-4F3B-BDCB-D91ECD504A66}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe => Nenhum Arquivo Reboot: End:: ATENÇÃO: Este script foi especificamente elaborado para este PC. Executá-lo em outra máquina, poderá causar danos ao seu sistema operativo! Clique em Corrigir. Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Por favor anexe esse arquivo na sua próxima resposta e informe sobre a sua decisão sobre o Bitorrent.

@Brunorondo Olá, Queria ver essa parte acima e nada encontrado, o que é bom 1. Execute novamente o Malwarebytes e marque para remover todas as entradas referentes a: Funmoods e BundleInstaller. 2. Vamos pequisar mais fundo para haver mais certezas quanto ao miner: Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante! Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema. Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal. Pressione o botão Analisar. Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada. Por favor anexe esses logs na sua próxima resposta ao tópico. Abraço

@Brunorondo o resultado do ZA, não mostra sinais, mas a ferramenta não analisa a parte WMI. Vamos tentar com o Malwarebytes antes de executar uma análise mais profunda. Por gentileza, baixe aqui e execute o Malwarebytes. Salve o resultado e cole-o na sua próxima resposta.

@Brunorondo Prezado Bruno, Bem vindo ao Clube do Hardware. Algumas regras básicas a ter em conta: Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada! Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer. Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado. Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares. Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar. Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware. <= Siga as instruções descritas nesse tópico! Na sua próxima resposta, por gentileza coloque o que lhe foi pedido no Manual de uso do setor Remoção de malware (link acima). Abraço

Prezado usuário, O uso de atualizadores de drivers deve ser evitado, pois esse tipo de software costuma instalar programas potencialmente indesejados (PUP) e adware, que são software de propaganda. Além disto, esses programas muitas vezes instalam drivers genéricos, modificados por terceiros ou que não chegaram a ser aprovados pela Microsoft – para ser aprovado pela Microsoft, um driver precisa passar por mais de 1.500 testes, e somente depois de comprovada a sua estabilidade ele recebe o certificado do Windows Hardware Quality Labs (WHQL, Laboratório de Qualidade de Hardware do Windows), indicando que o driver é estável e dificilmente causará instabilidades no sistema operacional. Se quiserem se aprofundar mais sobre esse assunto, sugerimos os artigos abaixo: Drivers do Windows a fundo – Parte 1 Drivers do Windows a fundo – Parte 2 A praga dos otimizadores de PC Atenciosamente, Equipe Clube do Hardware

@Ferreira_Games Prezado, o que você descreveu evidencia sinais de infeção por malware. Mas, sem mais elementos não temos como dar isso como certo. Recomendaria que você abrisse um novo tópico no setor de Remoção de Malware. Atenção: Leia primeiro: Manual de uso do setor Remoção de malware

Revisões/Atualizações do Tutorial: 12/11/2021 Adicionada tradução em Português 12/11/2021 Adicionado as operações de sistema suportadas em Windows 11 12/11/2021 Adicionada análise BITS em Outras Áreas 09/02/2022 Adicionado o comando Comment: 23/03/2022 Limite de tempo para correção, somente para esta diretiva cmd: 10/04/2022 Atualização da descrição de "Processos", para incluir a explicação de (processo parental ->) 30/06/2022 Modelo de disco para unidades fixas adicionado 30/06/2022 Adicionada diretiva EmptyEventLogs: 30/06/2022 EmptyTemp: Atualizado (cache do Flash removido, cache do Discord adicionado) 30/06/2022 FilesInDirectory: e Folder: atualizado para incluir a verificação de assinaturas digitais 30/06/2022 Remoção de exemplos desnecessários 10/10/2022 EmptyTemp: Atualizado (cache do WinHTTP AutoProxy adicionado) 26/12/2023 Adicionado o redirecionamento das pastas Startup no setor Registro 26/12/2023 Unlock: Descrição corrigida e encurtada 26/12/2023 Nota relacionada ao caminho corrompido atualizada

Complementado: Toda informação complementar, poderá ser vista: neste tópico.

Problema resolvido! Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

@Professor MarceloNada a agradecer. Se necessitar de algo e que nós possamos ajudar... cá estaremos. abraço

Caro usuário, Para que seja melhor auxiliado no esclarecimento da sua dúvida, solicitamos a gentileza de indicar a versão do sistema operacional que está utilizando no equipamento. Informe também quando esse erro ocorre e se você tem em utilização o Windows Defender. Atenciosamente, Equipe Clube do Hardware

@Professor MarceloOlá, vou fazer um ponto de situação e com essa informação tomará a sua decisão. Eu, por norma só opto por restauração do sistema em casos bem graves. Então vamos lá resumidamente fazer um ponto de sua situação: Nós, resolvemos já o seu problema de remoção de malware. Não era nada de grave e não está relacionado com o seu problema de não conseguir efetivar as atualizações. Nós, também conseguimos reparar erros que você tinha no registro e que não possibilitavam efetuar pontos de restauração. Eu creio que o seu problema está relacionado com alguma KB (Knowledge Base = Base de Conhecimento) e do que é do meu conhecimento, existem bastantes relatos de problemas semelhantes ao seu e também outro que está relacionado com as pessoas terem problemas com a sua impressora de rede e para ambos estes problemas, irá sair uma correção em nova forma de atualização prevista para o próximo mês de Dezembro. Explicado isto, eu aconselharia a abrir um novo tópico explicando o seu problema das atualizações no setor Windows 10, já que eu estou muito mais acostumado a análise dos malwares e acredito que as pessoas (técnicos) que usualmente instalam máquinas em seus clientes, já se tenham deparado com esta situação e que conheçam uma solução. Se a solução passar por uma restauração do Windows, lembre-se de fazer um backup dos seus documentos, embora acredite que será muito bem orientado pelo(s) colega(s) que darão seguimento a este problema. Espero ter lhe ajudado no possível e se necessitar de mais alguma coisa, por gentileza avise. Se não necessitar de mais nada da parte relacionada a malwares, avise que encerrarei este tópico, que o poderá voltar a abrir caso necessite. Abraço, Lusitano

@Professor Marcelo Bom dia, vejo que já corrigimos também a chave no registro (acima referida) que estava sem valor. Não vejo mais nada que não esteja dentro da normalidade. Tentou novamente as atualizações? Tente por favor novamente fazer as atualizações e veja se já conseguem ser efetivadas

@PortalBrancoPrezado, tente elaborar as suas dúvidas, perguntas, etc, com mais informação. A sua questão é muito pouco fundamentada e acaba por ficar sem sentido e nos deixa sem objetividade na resposta. Repare que vírus é apenas um tipo de software malicioso, de tantos outros tipos de malwares que existem. E você tem a certeza que é mesmo vírus? Ou será outro tipo de malware? Submeta esse arquivo a análise nesse site e retorne com o link do resultado da análise para que possamos orientá-lo e responder á sua pergunta. abraço

@Professor Marcelo Necessitamos de verificar como ficou a o valor na chave do registro. Para isso, faça por gentileza, o seguinte: Clique direito do mouse no icone do FRST e selecione executar como administrador. Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automáticamente. Start:: SystemRestore: On CreateRestorePoint: ExportKey: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f} End:: ATENÇÃO: Este script foi especificamente elaborado para este PC. Executá-lo em outra máquina, poderá causar danos ao seu sistema operativo! Clique em Corrigir. Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Por favor anexe esse arquivo na sua próxima resposta.

@Professor Marcelo Ok, já só nos resta o problema das atualizações. Eu creio que isso está relacionado com alguma atualização da própria Microsoft. Vamos tentar ver se o que está impedindo a efetivação das atualizações, tem a ver com o que me parece. 1. Aceda a linha de comandos com privilégios de Administrador (caso necessite de ajuda para isso, consulte aqui), copie e cole, ou digite o abaixo: vssadmin list volumes Copie e cole o resultado do comando acima na sua próxima resposta. 2. Ainda em linha de comandos (administrador), copie e cole, ou digite o abaixo: reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f} >0 & notepad 0 Será gerado um arquivo txt. Copie e cole também esse resultado.