-
Posts
1.166 -
Cadastrado em
-
Última visita
Tipo de conteúdo
Artigos
Selos
Fabricantes
Livros
Cursos
Análises
Fórum
posts postados por Lusitano
-
-
Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.
- Faça o download de KpRm e salve no seu desktop.
- Clique direito em kprm_(versão).exe e selecione executar como Administrador.
- Leia e aceite o Aviso Legal.
- Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
- Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
- Quando completar, clique em OK
- Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.
Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.
Abraço
-
Olá, ainda nota algo estranho?
- 1
-
Execução FRST:
- Clique direito do mouse no icone do FRST e selecione executar como administrador
- Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.
CitaçãoStart::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
S3 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUProcessFilter.sys [X]
S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IURegistryFilter.sys [X]
2023-04-25 17:20 - 2023-04-25 17:20 - 006845928 _____ (EnigmaSoft Limited) C:\ProgramData\EsgInstallerResumeAction_7c2eac93b7c112843a9de22aaa1d5c40.exe
2023-04-19 20:56 - 2023-05-05 00:10 - 000000000 ____D C:\ProgramData\Panda Security
FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-01-07] <==== ATENÇÃO (zero byte Arquivo/Pasta)
ContextMenuHandlers1: [ReflectShellExt] -> {DEBB9B79-B3DD-47F4-9E5C-EA6975BAB611} => -> Nenhum Arquivo
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => -> Nenhum Arquivo
ContextMenuHandlers2: [ReflectShellExt] -> {DEBB9B79-B3DD-47F4-9E5C-EA6975BAB611} => -> Nenhum Arquivo
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => -> Nenhum Arquivo
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => -> Nenhum Arquivo
HKU\S-1-5-21-2422557223-345917283-3410814111-1001\...\StartupApproved\StartupFolder: => "oneetx.exe"
StartRegedit:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-EndRegedit:
StartBatch:
pushd\windows\system32
bcdedit.exe /set {default} recoveryenabled yes
bcdedit.exe /timeout 4
bcdedit.exe /enum
DISM.exe /Online /Cleanup-image /scanhealth
sfc /scannow
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
del /s /q "%userprofile%\AppData\Local\Temp\*.js"
del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
del /s /q "%userprofile%\AppData\Local\Temp\*.html"
del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
del /f /q "%userprofile%\AppData\Local\*-gui"
del /f /q "%userprofile%\AppData\Roaming\*-gui"
Endbatch:StartBatch:
SETLOCAL ENABLEEXTENSIONS
echo userprofile=%USERPROFILE%
if not defined userprofile echo no userprofile&goto :eof
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
del /f /q "%userprofile%\AppData\Roaming\{*.*"
rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
:eof
EndBatch:StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# 03*12-2022
# Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
# Remove all exclusions on MS Windefend
Write-Output "Removing all exclusions on MS Windefend antivirus"
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
EndPowerShell:startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# 10-26-2022 M. Naggar
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
Set-Service -Name windefend -StartupType Automatic -force
Get-Service windefend | Select-Object -Property Name, StartType, Status
Set-Service -Name securityhealthservice -StartupType manual -force
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableEmailScanning $False -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -MAPSReporting Advanced -Force
Set-MpPreference -PUAProtection enabled -Force
Set-MpPreference -SignatureScheduleDay Everyday -Force
Set-MpPreference -DisableRemovableDriveScanning $false -Force
Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Reset and check Secure Health status
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
# Check if these services are running
Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
EndPowerShell:startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
Write-Output "updating"
Update-MpSignature
Write-Output "scanning"
Start-MpScan -ScanType QuickScan
Remove-MpThreat
Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
Remove-MpThreat
Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Roaming"
Remove-MpThreat
EndPowerShell:
startpowershell:
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# Check computer status again after setting to make sure changes were applied
Get-MpComputerStatus
Get-MpPreference
Get-MpThreatDetection
# get statuses of services
Get-Service BITS | Select-Object -Property Name, StartType, Status
Get-Service Dhcp | Select-Object -Property Name, StartType, Status
Get-Service EventLog | Select-Object -Property Name, StartType, Status
Get-Service EventSystem | Select-Object -Property Name, StartType, Status
Get-Service mbamservice | Select-Object -Property Name, StartType, Status
Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
Get-Service msiserver | Select-Object -Property Name, StartType, Status
Get-Service nsi | Select-Object -Property Name, StartType, Status
Get-Service RasMan | Select-Object -Property Name, StartType, Status
Get-Service rpcss | Select-Object -Property Name, StartType, Status
Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
Get-Service sense | Select-Object -Property Name, StartType, Status
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
Get-Service VSS | Select-Object -Property Name, StartType, Status
Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
Get-Service windefend | Select-Object -Property Name, StartType, Status
Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
Get-Service wscsvc | Select-Object -Property Name, StartType, Status
Get-Service wuauserv | Select-Object -Property Name, StartType, Status
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
EndPowerShell:C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::- Clique em Corrigir.
- Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
- Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.
-
Problema resolvido!
Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.
-
Olá, como está o seu pc agora?
Por gentileza, gere e anexe novos logs FRST para ver se tudo ficou ok.
- 1
-
Seu pc está livre de malwares, nada foi detetado também nesta análise.
Em 05/05/2023 às 17:47, crayuu1 disse:Meu celular é IOS, meu medo é que por exemplo, a rede esteja infectada e que após formatar o meu computador, seja infectado logo em sequencia.
Se você tem os programas devidamente atualizados e não baixe e/ou aceda a sites duvidosos, o risco é mínimo.
Em 05/05/2023 às 17:47, crayuu1 disse:Confesso que estou meio desesperado e sofro de ansiedade, então mil hipóteses passam em minha cabeça kk
Não há motivo para isso. Faça o seguinte, durante os próximos dois dias utilize o seu pc normalmente e caso note algo estranho, retorne a este tópico para avaliarmos ainda mais profundamente.
-
Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:
- Faça o download ESET Online Scanner e salve no seu Desktop
- Clique direito em esetonlinescanner_enu.exe e execute como administrador
- Clique em Computer Scan
- Clique em Full scan
- Selecione Enable ESET to detect and quarantine potentially unwanted applications
- Clique em Start scan
- Quando terminar, salve o resultado no seu desktop como ESETScan.txt
- Clique Continue e depois em Close
- Anexe o arquivo ESETScan.txt
- 1
-
1 hora atrás, crayuu1 disse:
farei isso a noite e já encaminho para cá
Tranquilo
1 hora atrás, crayuu1 disse:o primeiro seria se a partir das LOGS que eu encaminhei nota-se algo suspeito
Não. Nada que garantidamente possa afirmar que está relacionado a malwares. Embora existam alguns erros, mas nada de significativo e por isso lhe pedi para executar o procedimento do meu post anterior para precisamente analisar um setor.
1 hora atrás, crayuu1 disse:se é comum vírus que se espalhe pela rede e tenha contaminado meu celular.
Se está na mesma rede os os dispositivos estiverem vulneráveis, então sim é bastante possível isso acontecer. No entanto, entenda que depende do malware e que sistema operacional/hardware esse dispositivo tem. Sendo que no caso, provavelmente estaremos a falar de pc com windows e o celular terá sistema operacional diferente (android). O mais provável e o que me parece ter acontecido no seu caso, é ter havido algum malware que possibilitou aceder á(s) sua(s) conta(s) de redes sociais e isso se repercute em todos os dispositivos que liguem a essa(s) conta(s).
Só podemos afirmar o que quer que seja, mediante a informação que obtemos e por isso é fundamental que execute os procedimentos e se houver informação suficiente ainda, poderemos ter certezas. Caso contrário, apenas nos podemos basear em suposições, mediante os relatos e evidências
-
Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:
- Faça o download ESET Online Scanner e salve no seu Desktop
- Clique direito em esetonlinescanner_enu.exe e execute como administrador
- Clique em Computer Scan
- Clique em Full scan
- Selecione Enable ESET to detect and quarantine potentially unwanted applications
- Clique em Start scan
- Quando terminar, salve o resultado no seu desktop como ESETScan.txt
- Clique Continue e depois em Close
- Anexe o arquivo ESETScan.txt
-
13 horas atrás, Isaac Castro disse:
eu recebi um computador da escola a um ou dois meses atras, só q agr ele recebeu um tipo de bloqueio cuco
CUCo (Central Unit Control) é uma aplicação de segurança instalada em computadores do Projeto Escola Digital.
Deverá contatar o departamento informático da sua escola ou através do suporte da empresa responsável por esse software.
- 1
-
Olá, algumas questões:
CitaçãoAV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Panda Dome (Enabled - Up to date) {E18DAE3C-0817-EA74-9F24-3E92157CCE76}Qual o antivírus que quer manter? É necessário apenas um.
CitaçãoIObit Uninstaller 12 (HKLM-x32\...\IObitUninstall) (Version: 12.2.0.7 - IObit)
IObit Unlocker (HKLM-x32\...\IObit Unlocker_is1) (Version: 1.3.0.11 - IObit)Não recomendo esses programas, mas a decisão de os manter é sua. Apenas me informe a sua decisão, para caso queira remover eu lhe passar instruções.
Vamos á limpeza:
1. Desinstalação de Programas:
Pressione as teclas win + R e digite appwiz.cpl
Desinstale os programas, caso eles existam:
- spyhunter
- EnigmaSoft
- Yandex
2. Execução FRST:
- Clique direito do mouse no icone do FRST e selecione executar como administrador
- Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.
CitaçãoStart::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Nenhum Arquivo)
HKLM\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Nenhum Arquivo)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
Task: {25B86A55-4A45-473D-B368-C3ADB294A275} - não caminho do arquivo
Task: {DA47EBFB-CBDE-42FA-AEBF-371320F86B2B} - não caminho do arquivo
Task: {FCAC687D-D3A0-4FBE-B810-629757DC2709} - \Microsoft\Windows\Autochk\Proxy -> Nenhum Arquivo <==== ATENÇÃO
Task: {FEA67B0E-46AC-49E8-ADD4-0FCAAAABD649} - não caminho do arquivo
S3 BraveElevationService1d926c610c58014; "C:\Program Files\BraveSoftware\Brave-Browser\Application\113.1.51.110\elevation_service.exe" [X]
S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\icaro\AppData\Local\Temp\WinRing0x64.sys [X] <==== ATENÇÃO
2023-04-24 16:24 - 2023-04-24 16:24 - 000004406 _____ C:\native log.txt
2023-04-24 16:21 - 2023-04-24 16:25 - 000002934 _____ C:\spyhunter.fix.old
2023-04-24 16:12 - 2023-04-24 16:12 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2023-04-24 16:11 - 2023-04-25 17:20 - 000000000 ____D C:\Program Files\EnigmaSoft
2023-04-24 16:06 - 2023-04-24 16:06 - 000000000 ____D C:\Users\icaro\AppData\Local\Yandex
Folder:
C:\ProgramData\EnigmaSoft Limited
C:\Users\icaro\AppData\Local\Yandex
C:\Program Files\EnigmaSoft
StartBatch:
SETLOCAL ENABLEEXTENSIONS
echo userprofile=%USERPROFILE%
if not defined userprofile echo no userprofile&goto :eof
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
del /f /q "%userprofile%\AppData\Roaming\{*.*"
rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
:eof
EndBatch:StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
RemoveProxy:
EmptyTemp:
Reboot:
End::- Clique em Corrigir.
- Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente. Gere e anexe também novos logs (frst e addition) tal como fez no seu post anterior.
- Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.
- 1
-
Em 30/04/2023 às 02:23, Paulo Brandão disse:
hoje estava tentando baixar um jogo e acabei instalando (burramente) um executável duvidoso
Primeiro grande erro. Pirataria além de ser um crime, é contra as regras do fórum, exatamente por se tratar de um crime.
Em 30/04/2023 às 02:23, Paulo Brandão disse:Resolvi formatar o pc e trocar a senha e autenticação do google, consegui também remover a extensão que antes não queria sair. Após formatar, tudo se encontra ok
Provavelmente que o malware em questão era simples e a formatação consegui o remover.
Em 30/04/2023 às 02:23, Paulo Brandão disse:Gostaria de saber que tipo de invasão foi essa (pup.optional.legacy)
Tal como o próprio nome indica: PUP (Pontential Unwanted Program; em português: programa potencialmente indesejado) são habitualmente classificados pelos programas de segurança de forma genérica e portanto sem ter acesso a mais informação ao que estava no seu sistema, é impossível de dizer qual deles se tratava em concreto.
Em 30/04/2023 às 02:23, Paulo Brandão disse:e se estou com algum risco ainda
Sem analisarmos o seu pc, é impossível afirmar se sim ou se não.
Abraço
-
Problema resolvido!
Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.
-
Olá, desculpe a demora.
Caso ainda necessite de ajuda, por gentileza gere e anexe novos logs do FRST.
- 1
-
@CELSO LUIZ DE SOUZA JUBE Olá, Tal como dito acima, isso é resultado de infeção pelo ransomware STOP/DJVU.
Os arquivos não estão perdidos para sempre. Simplesmente não é possível quebrar a criptografia sem termos a respetiva chave. O meu conselho é que salve os seus arquivos importantes que foram encriptados em cloud ou HD externo, pois no futuro poderá haver a possibilidade de os recuperar caso o(s) criminoso(s) sejam capturados e com isso termos acesso á respetiva chave cripto.
Formatar nem sempre é necessário em boa parte das infeções por ransomware, uma vez que a intenção dos criminosos é simplesmente "capturar" os seus arquivos para conseguir o dinheiro do resgate (ransom) e então não seria muito inteligente deixar o computador inoperável, pois isso iria dificultar o seu manuseamento e com isso dificultar o acesso á informação para que o resgate seja pago
Mas, em todo o caso, formatar é neste caso uma coisa que voê pode fazer, embora seja relativamente fácil limpar a máquina sem recurso a formatação.
Abraço
- 1
-
16 horas atrás, Roberth R. Garci4 disse:
recomendo você postar na área de remoção de Malware aqui no fórum. Não sei se tem suporte ao windows 7 por lá.
Estamos sempre disponíveis para ajudar, mas nestes casos é perda de tempo estar a limpar um computador com um sistema operacional sem suporte a atualizações de segurança, já que apesar de o limparmos ele vai continuar vulnerável e rapidamente ser novamente infetado!
- 1
- 1
-
Em 11/03/2023 às 00:02, GabrielLV disse:
Ao formatar, o malware será removido com sucesso, mas caso isso de fato seja um ransomware, todos os seus arquivos que estavam no computador já foram perdidos (criptografados).
@BrunoJAO Sem chance por enquanto de conseguirmos recuperar seus arquivos. Esta versão (V0661) do ransomware STOP/DJVU envolve técnicas que apenas com a chave seria possível recuperar seus arquivos.
Formatação com instalação limpa deverá ser feita e caso você tenha backup dos seus arquivos nada foi verdadeiramente perdido
- 2
-
14 horas atrás, Rio McCloud disse:
Eu acredito que o problema seja regional.
Esse é um dos critérios fundamentais a ter em conta na escolha de determinado software. É por mais evidente alguns programas serem mais adequados a serem utilizados em determinado país do que em outros, ou se são usados em ambiente empresarial ou doméstico.
É também por isso que eu sempre digo que não há essa do antivírus "A" é melhor do que o "B". Depende, de variados fatores e o fator da localização que o amigo @Rio McCloud fala, é também um bom exemplo de mais um fator determinante na hora da escolha de um software de proteção.
- 2
-
8 horas atrás, Moisés Penha disse:
porque ele tem essa péssima reputação ?
Olá, a má reputação está mais relacionada com a (falta) ética e não tanto ao desempenho do próprio software.
Você pode ler mais sobre isso por exemplo nesses links (em inglês): link 1 | link 2
5 horas atrás, Moisés Penha disse:Avast tem uma nota tão alta no AV-TEST, o site pode ser tendencioso ?
Essa empresa que realiza esses testes é reconhecidamente uma empresa fidedigna e portanto os resultados dos testes não são manipulados. Se teve nota alta, foi porque o software teve um bom desempenho nos critérios dos testes a que foi sujeito e portanto nada tendencioso.
O que você deve considerar é que embora um determinado software possa ter uma nota alta, ele pode não ser o mais indicado para si, até pelo acima referido quanto a ética.
abraço
- 2
- 1
-
Problema resolvido!
Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.
-
@Taís Olá, queira desculpar alguma demora.
Se ainda necessita de nosso auxilio, por gentileza siga as instruções do tópico abaixo:
-
Problema resolvido!
Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.
-
5 horas atrás, Jan_pierre disse:
Este tipo de problema é melhor procurar algum forum especializado?
sim, faça isso amigo
-
Olá, tudo certo no pc. Mais alguma questão?
Sobre o Clube do Hardware
No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais
Direitos autorais
Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais
Estou sofrendo com ataque de malware
em Casos resolvidos
Postado
Problema resolvido!
Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.