Ir ao conteúdo
  • Cadastre-se
Fernanda Teixeira

Malware - KMS - R@in (Virus)

Posts recomendados

Olá pessoal, boa noite!

 

Recentemente comecei a perceber que minha conexão com a internet e o computador começaram a ficar muito lentos para carregar, desde iniciar o Windows, até abrir uma simples imagem ou vídeos pelo windows media player, por exemplo. 

Atividades básicas do computador demoravam muito para executar. 

Tentei vasculhar, e descobri que nos processos de segundo plano estava o KMS R@in rodando, perto do KMS connection Broker. Dei uma pesquisada e vi que era um malware. Eu localizei onde estava o arquivo e consegui remove-lo. 

De imediato, coloquei meu antivirus Avast para rodar, no modo de escaneamento completo e ele não detectou nada. Rodei o Malware Bytes e detectou 35 itens. Coloquei para a quarentena e depois removi todos. 

Mas, acredito que ainda tenham alguns vestígios em meu computador, onde, o antivirus não está detectando. Fico preocupada se realmente ele está limpo de malware. 

 

Por favor, poderiam me ajudar a investigar este caso?

 

Obrigada.

 

Segue no anexo o log.

 

 

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Fernanda Teixeira

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento p2p, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Você pode seguir os passos do link abaixo

https://forums.malwarebytes.com/topic/214325-chrome-secure-preferences-detection-always-comes-back/

OU seguir os passos abaixo:

ETAPA 1

Copie o comando abaixo:

chrome://settings/syncSetup

Cole na barra de URL do navegador e pressione <ENTER>

Na pagina que se abriu, clique em Desativar

Qp8vLPC.png

Quando solicitado, clique em Limpar e Continuar

L6uIGMW.png

Clique no link https://chrome.google.com/sync

Após isso, clique em REDEFINIR SINCRONIZAÇÃO

ORzpFxo.png

Aguarde o processo terminar e feche o Google Chrome.

Execute o Malwarebytes

  • Na aba Análise > Analise Personalizada marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho.


ATENÇÃO: Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

Clique em VERIFICAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.


ETAPA 3


Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.


Faça o download do ZHPCleaner no link abaixo e salve em sua Área de trabalho (Desktop)

https://www.majorgeeks.com/files/details/zhpcleaner.html


Execute o arquivo ZHPCleaner.exe Como Administrador

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt
  • Selecione, copie e cole o conteúdo deste log em sua sua próxima resposta.

ETAPA 4

Habilite novamente a sincronização do Google Chrome

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Elias Pereira  bom dia!

 

Muito obrigada por toda ajuda e auxilio neste processo. Executei todas as etapas atentamente na ordem passada.

Segue os logs:

 

LOG MALWAREBYTES:

 

Malwarebytes
www.malwarebytes.com

-Detalhes do Relatório-
Data da análise: 08/04/2020
Hora da análise: 00:51
Arquivo de relatório: 3f71f5d4-794c-11ea-a777-685d435ccd61.json

-Informações do Software-
Versão: 4.1.0.56
Versão de componentes: 1.0.835
Versão do pacote de definições: 1.0.22106
Licença: Gratuita

-Informações do Sistema-
Sistema operacional: Windows 10 (Build 18362.720)
CPU: x64
Sistema de arquivos: NTFS
Usuário: FERNANDA-PC\Fernanda

-Resumo da Análise-
Tipo de análise: Análise Customizada
Análise Iniciada Por: Manual
Resultado: Concluída
Objetos verificados: 346330
Ameaças detectadas: 1
Ameaças em quarentena: 1
Tempo decorrido: 2 hr, 21 min, 24 seg

-Opções da Análise-
Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
Programa Potencialmente Indesejado: Detetar
PUM: Detetar

-Detalhes da Análise-
Processo: 0
(Nenhum item malicioso detectado)

Módulo: 0
(Nenhum item malicioso detectado)

Chave de registro: 0
(Nenhum item malicioso detectado)

Valor de registro: 0
(Nenhum item malicioso detectado)

Dados de registro: 0
(Nenhum item malicioso detectado)

Fluxo de dados: 0
(Nenhum item malicioso detectado)

Pasta: 0
(Nenhum item malicioso detectado)

Arquivo: 1
RiskWare.ExtensionMismatch, C:\RIOT GAMES\LEAGUE OF LEGENDS\RADS\PROJECTS\LOL_GAME_CLIENT\FILEARCHIVES\0.0.1.35\DATA\CHARACTERS\GNAR\SKINS\SKINS\BASE\NANDA\VIDEOS E MúSICAS\MúSICAS\MúSICAS - PASTA 2\ALBUMART_{F06BC8DF-7941-48EE-B708-59B5F563B8ED}_LARGE.JPG, Excluir ao reiniciar, 11076, 79314, 1.0.22106, 000000000000000000000001, dds, 00666687

Setor físico: 0
(Nenhum item malicioso detectado)

Instrumentação do Windows (WMI): 0
(Nenhum item malicioso detectado)


(end)

 

LOG AdwCleaner:

 

# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build:    04-03-2020
# Database: 2020-04-08.2 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-08-2020
# Duration: 00:00:10
# OS:       Windows 10 Home
# Cleaned:  26
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Internet Explorer\AboutUrls|Tabs
Deleted       HKCU\Software\PRODUCTSETUP
Deleted       HKCU\Software\ProductSetup\Uninstall\0B2U2Z1P0F1P1G1R1P1V0A1Q1Q0O1G
Deleted       HKCU\Software\ProductSetup\Uninstall\0S1P1T1C1R1MtT0P1C1F2X1L1Q1P1QtT1S2UtT0Y1T1M1F1F
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{D879A501-50A7-BEFC-A4C5-32DC6E0CB208}
Deleted       HKU\.DEFAULT\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Deleted       HKU\S-1-5-18\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY
Deleted       Preinstalled.DellDigitalDelivery   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{BC8233D8-59BA-4D40-92B9-4FDE7452AA8B}
Deleted       Preinstalled.DellGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT\DELL GAMES
Deleted       Preinstalled.DellGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-dell-genres
Deleted       Preinstalled.DellPhotoStage   Folder   C:\DELL\PHOTOSTAGE
Deleted       Preinstalled.DellPhotoStage   Folder   C:\Program Files (x86)\DELL\PHOTOSTAGE
Deleted       Preinstalled.DellPhotoStage   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{E4335E82-17B3-460F-9E70-39D9BC269DB3}
Deleted       Preinstalled.DellQuickset   Folder   C:\Program Files\DELL\QUICKSET
Deleted       Preinstalled.DellQuickset   Folder   C:\ProgramData\DELL\QUICKSET
Deleted       Preinstalled.DellQuickset   Registry   HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\QuickSet
Deleted       Preinstalled.DellQuickset   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{87CF757E-C1F1-4D22-865C-00C6950B5258}
Deleted       Preinstalled.DellStageRemote   Folder   C:\Program Files (x86)\DELL\STAGE REMOTE
Deleted       Preinstalled.DellStageRemote   Folder   C:\Users\Fernanda\AppData\Local\DELL\STAGE REMOTE
Deleted       Preinstalled.DellStageRemote   Registry   HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Stage Remote
Deleted       Preinstalled.DellStageRemote   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{AF4D3C63-009B-4A17-B02E-D395065DD3F0}
Deleted       Preinstalled.DellSupportCenter   Folder   C:\Program Files\DELL SUPPORT CENTER
Deleted       Preinstalled.DellSupportCenter   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELL SUPPORT CENTER
Deleted       Preinstalled.DellSupportCenter   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0090A87C-3E0E-43D4-AA71-A71B06563A4A}
Deleted       Preinstalled.MyDell   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dell Support Center


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4083 octets] - [08/04/2020 09:02:37]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
 

LOG ZHPCleaner:

 

~ ZHPCleaner v2020.4.5.190 by Nicolas Coolman (2020/04/05)
~ Run by Fernanda (Administrator)  (08/04/2020 09:37:01)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Type : Repair
~ Report : C:\Users\Fernanda\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Fernanda\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 18362)


---\\  Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.


---\\  Services (0)
~ No malicious or unnecessary items found.


---\\  Browser internet (1)
DELETED data: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : 127.0.0.1;localhost;]  =>Hijacker.Proxy


---\\  Hosts file (1)
~ The hosts file is legitimate (4)


---\\  Scheduled automatic tasks. (1)
DELETED task: [AutoKMS] [C:\WINDOWS\AutoKMS\AutoKMS.exe (Not File) ]  =>HackTool.AutoKMS


---\\  Explorer ( File, Folder) (4)
MOVED folder: C:\ProgramData\Microsoft Toolkit  =>HackTool.AutoKMS
MOVED folder: C:\Users\Fernanda\AppData\Local\Google\Update  =>Heuristic.Suspect
MOVED folder: C:\Users\Fernanda\AppData\Local\Microsoft Toolkit  =>HackTool.AutoKMS
MOVED folder: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime


---\\  Registry ( Key, Value, Data) (7)
DELETED key: HKCR\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} [http://search.certified-toolbar.com?si=43168&st=bs&tid=3579&ver=2.9&ts=1368057371927&tguid=43168-357[...]] [Web Search]  =>PUP.Optional.CertifiedToolbar
DELETED key**: HKCR\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} [http://search.certified-toolbar.com?si=43168&st=bs&tid=3579&ver=2.9&ts=1368057371927&tguid=43168-3579-1368057371927-D41D8CD98F00B204E9800998ECF8427E&q={searchTerms}]  =>PUP.Optional.CertifiedToolbar
DELETED key*: HKEY_USERS\S-1-5-21-2091240419-3215946787-3376974900-1000\SOFTWARE\PartyGaming []  =>.SUP.OnlineGames
DELETED key**: HKCU\Software\PartyGaming []  =>.SUP.OnlineGames
DELETED key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\BitTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
DELETED key*: [X64] HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} [secman]  =>PUP.Optional.Camec
DELETED key**: [X64] HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} [secman]  =>PUP.Optional.Camec


---\\  Summary of the elements found (8)
https://nicolascoolman.eu/2017/04/03/hijacker-proxy/  =>Hijacker.Proxy
https://nicolascoolman.eu/2017/02/02/hacktool-autokms/  =>HackTool.AutoKMS
https://nicolascoolman.eu/wp-content/uploads/2019/01/Informations-Sécurité-Zone-antimalware.jpg  =>Heuristic.Suspect
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime
https://nicolascoolman.eu/2017/09/28/pup-optional-certifiedtoolbar/  =>PUP.Optional.CertifiedToolbar
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.OnlineGames
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>PUP.Optional.Camec


---\\  Other deletions. (8)
~ Registry Keys Tracing deleted (8)
~ Remove the old reports ZHPCleaner. (0)


---\\ Result of repair
~ Repair carried out successfully
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ Statistics
~ Items scanned : 1737
~ Items found : 0
~ Items cancelled : 0
~ Space saving (bytes) : 0
~ Items options : 8/15


---\\ OPTIONS NOT ACTIVES
~ Temporary file analysis
~ Temporary folder analysis
~ Empty Folder CLSID Analysis
~ Empty Other Folder Analysis
~ Empty LocalLow Folder Analysis
~ Empty Local Folder Analysis
~ Obsolete Installer File Analysis

~ End of clean in 00h00mn25s

---\\  Reports (2)
ZHPCleaner-
 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá eu postei os códigos, mas, o post ficou oculto. É isso mesmo?

 

Obrigada,

 

Fernanda Teixeira

adicionado 1 minuto depois

Segue novamente o post: 

 

bom dia!

 

Muito obrigada por toda ajuda e auxilio neste processo. Executei todas as etapas atentamente na ordem passada.

Segue os logs:

 

LOG MALWAREBYTES:

 

Malwarebytes
www.malwarebytes.com

-Detalhes do Relatório-
Data da análise: 08/04/2020
Hora da análise: 00:51
Arquivo de relatório: 3f71f5d4-794c-11ea-a777-685d435ccd61.json

-Informações do Software-
Versão: 4.1.0.56
Versão de componentes: 1.0.835
Versão do pacote de definições: 1.0.22106
Licença: Gratuita

-Informações do Sistema-
Sistema operacional: Windows 10 (Build 18362.720)
CPU: x64
Sistema de arquivos: NTFS
Usuário: FERNANDA-PC\Fernanda

-Resumo da Análise-
Tipo de análise: Análise Customizada
Análise Iniciada Por: Manual
Resultado: Concluída
Objetos verificados: 346330
Ameaças detectadas: 1
Ameaças em quarentena: 1
Tempo decorrido: 2 hr, 21 min, 24 seg

-Opções da Análise-
Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
Programa Potencialmente Indesejado: Detetar
PUM: Detetar

-Detalhes da Análise-
Processo: 0
(Nenhum item malicioso detectado)

Módulo: 0
(Nenhum item malicioso detectado)

Chave de registro: 0
(Nenhum item malicioso detectado)

Valor de registro: 0
(Nenhum item malicioso detectado)

Dados de registro: 0
(Nenhum item malicioso detectado)

Fluxo de dados: 0
(Nenhum item malicioso detectado)

Pasta: 0
(Nenhum item malicioso detectado)

Arquivo: 1
RiskWare.ExtensionMismatch, C:\RIOT GAMES\LEAGUE OF LEGENDS\RADS\PROJECTS\LOL_GAME_CLIENT\FILEARCHIVES\0.0.1.35\DATA\CHARACTERS\GNAR\SKINS\SKINS\BASE\NANDA\VIDEOS E MúSICAS\MúSICAS\MúSICAS - PASTA 2\ALBUMART_{F06BC8DF-7941-48EE-B708-59B5F563B8ED}_LARGE.JPG, Excluir ao reiniciar, 11076, 79314, 1.0.22106, 000000000000000000000001, dds, 00666687

Setor físico: 0
(Nenhum item malicioso detectado)

Instrumentação do Windows (WMI): 0
(Nenhum item malicioso detectado)


(end)

 

LOG AdwCleaner:

 

# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build:    04-03-2020
# Database: 2020-04-08.2 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-08-2020
# Duration: 00:00:10
# OS:       Windows 10 Home
# Cleaned:  26
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Internet Explorer\AboutUrls|Tabs
Deleted       HKCU\Software\PRODUCTSETUP
Deleted       HKCU\Software\ProductSetup\Uninstall\0B2U2Z1P0F1P1G1R1P1V0A1Q1Q0O1G
Deleted       HKCU\Software\ProductSetup\Uninstall\0S1P1T1C1R1MtT0P1C1F2X1L1Q1P1QtT1S2UtT0Y1T1M1F1F
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{D879A501-50A7-BEFC-A4C5-32DC6E0CB208}
Deleted       HKU\.DEFAULT\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Deleted       HKU\S-1-5-18\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY
Deleted       Preinstalled.DellDigitalDelivery   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{BC8233D8-59BA-4D40-92B9-4FDE7452AA8B}
Deleted       Preinstalled.DellGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT\DELL GAMES
Deleted       Preinstalled.DellGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-dell-genres
Deleted       Preinstalled.DellPhotoStage   Folder   C:\DELL\PHOTOSTAGE
Deleted       Preinstalled.DellPhotoStage   Folder   C:\Program Files (x86)\DELL\PHOTOSTAGE
Deleted       Preinstalled.DellPhotoStage   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{E4335E82-17B3-460F-9E70-39D9BC269DB3}
Deleted       Preinstalled.DellQuickset   Folder   C:\Program Files\DELL\QUICKSET
Deleted       Preinstalled.DellQuickset   Folder   C:\ProgramData\DELL\QUICKSET
Deleted       Preinstalled.DellQuickset   Registry   HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\QuickSet
Deleted       Preinstalled.DellQuickset   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{87CF757E-C1F1-4D22-865C-00C6950B5258}
Deleted       Preinstalled.DellStageRemote   Folder   C:\Program Files (x86)\DELL\STAGE REMOTE
Deleted       Preinstalled.DellStageRemote   Folder   C:\Users\Fernanda\AppData\Local\DELL\STAGE REMOTE
Deleted       Preinstalled.DellStageRemote   Registry   HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Stage Remote
Deleted       Preinstalled.DellStageRemote   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{AF4D3C63-009B-4A17-B02E-D395065DD3F0}
Deleted       Preinstalled.DellSupportCenter   Folder   C:\Program Files\DELL SUPPORT CENTER
Deleted       Preinstalled.DellSupportCenter   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELL SUPPORT CENTER
Deleted       Preinstalled.DellSupportCenter   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0090A87C-3E0E-43D4-AA71-A71B06563A4A}
Deleted       Preinstalled.MyDell   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dell Support Center


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4083 octets] - [08/04/2020 09:02:37]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
 

LOG ZHPCleaner:

 

~ ZHPCleaner v2020.4.5.190 by Nicolas Coolman (2020/04/05)
~ Run by Fernanda (Administrator)  (08/04/2020 09:37:01)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Type : Repair
~ Report : C:\Users\Fernanda\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Fernanda\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 18362)


---\\  Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.


---\\  Services (0)
~ No malicious or unnecessary items found.


---\\  Browser internet (1)
DELETED data: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : 127.0.0.1;localhost;]  =>Hijacker.Proxy


---\\  Hosts file (1)
~ The hosts file is legitimate (4)


---\\  Scheduled automatic tasks. (1)
DELETED task: [AutoKMS] [C:\WINDOWS\AutoKMS\AutoKMS.exe (Not File) ]  =>HackTool.AutoKMS


---\\  Explorer ( File, Folder) (4)
MOVED folder: C:\ProgramData\Microsoft Toolkit  =>HackTool.AutoKMS
MOVED folder: C:\Users\Fernanda\AppData\Local\Google\Update  =>Heuristic.Suspect
MOVED folder: C:\Users\Fernanda\AppData\Local\Microsoft Toolkit  =>HackTool.AutoKMS
MOVED folder: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime


---\\  Registry ( Key, Value, Data) (7)
DELETED key: HKCR\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} [http://search.certified-toolbar.com?si=43168&st=bs&tid=3579&ver=2.9&ts=1368057371927&tguid=43168-357[...]] [Web Search]  =>PUP.Optional.CertifiedToolbar
DELETED key**: HKCR\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} [http://search.certified-toolbar.com?si=43168&st=bs&tid=3579&ver=2.9&ts=1368057371927&tguid=43168-3579-1368057371927-D41D8CD98F00B204E9800998ECF8427E&q={searchTerms}]  =>PUP.Optional.CertifiedToolbar
DELETED key*: HKEY_USERS\S-1-5-21-2091240419-3215946787-3376974900-1000\SOFTWARE\PartyGaming []  =>.SUP.OnlineGames
DELETED key**: HKCU\Software\PartyGaming []  =>.SUP.OnlineGames
DELETED key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\BitTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
DELETED key*: [X64] HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} [secman]  =>PUP.Optional.Camec
DELETED key**: [X64] HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} [secman]  =>PUP.Optional.Camec


---\\  Summary of the elements found (8)
https://nicolascoolman.eu/2017/04/03/hijacker-proxy/  =>Hijacker.Proxy
https://nicolascoolman.eu/2017/02/02/hacktool-autokms/  =>HackTool.AutoKMS
https://nicolascoolman.eu/wp-content/uploads/2019/01/Informations-Sécurité-Zone-antimalware.jpg  =>Heuristic.Suspect
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime
https://nicolascoolman.eu/2017/09/28/pup-optional-certifiedtoolbar/  =>PUP.Optional.CertifiedToolbar
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.OnlineGames
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>PUP.Optional.Camec


---\\  Other deletions. (8)
~ Registry Keys Tracing deleted (8)
~ Remove the old reports ZHPCleaner. (0)


---\\ Result of repair
~ Repair carried out successfully
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ Statistics
~ Items scanned : 1737
~ Items found : 0
~ Items cancelled : 0
~ Space saving (bytes) : 0
~ Items options : 8/15


---\\ OPTIONS NOT ACTIVES
~ Temporary file analysis
~ Temporary folder analysis
~ Empty Folder CLSID Analysis
~ Empty Other Folder Analysis
~ Empty LocalLow Folder Analysis
~ Empty Local Folder Analysis
~ Obsolete Installer File Analysis

~ End of clean in 00h00mn25s

---\\  Reports (2)
ZHPCleaner-

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Fernanda Teixeira

 

Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
roguekiller.exe (x64) << link

  • Feche todos os programas
  • Execute o RogueKiller.exe.
    ** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png.
  • Clique em SCAN
  • Clique no primeiro START "Standard Scan (recommended)" e aguarde o scan...
  • Clique no botão RESULTS
  • Clique na opção REPORT e em EXPORT e selecione a opção Text file...
  • Salve o arquivo na area de trabalho com o nome roguekiller_report


Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Elias, boa noite. @Elias Pereira

 

Segue abaixo o resultado do Rogue Killer:

 

RogueKiller Anti-Malware V14.1.0.0 (x64) [Jan 20 2020] (Free) by Adlice Software
mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 10 (10.0.18362) 64 bits
Started in : Normal mode
User : Fernanda [Administrator]
Started from : C:\Users\Fernanda\Desktop\RogueKiller_portable64.exe
Signatures : 20190819_114745, Driver : Loaded
Mode : Standard Scan, Scan -- Date : 2020/04/30 23:57:47 (Duration : 00:27:09)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process Modules ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> O67 - File Association
  [HJ.FileAsso (Malicious)] (X64) HKEY_CLASSES_ROOT\pezfile\shell\open\command| -- "C:\Program Files (x86)\Prezi\Prezi.exe" "%1" -> Found

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts File ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Files ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Web browsers ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Fernanda Teixeira

 

Feche todos os programas

  • Execute RogueKiller.exe.
    ** Usuários do Windows Vista, 7, 8/8.1 e windows 10:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png
  • Quando a Eula aparecer, clique em Accept.
  • Selecione a aba SCAN e clique em START SCAN
  • Aguarde ate que o scan termine.
  • Clique em RESULTS e verifique se todas os checkboxs
  • >>>>>>> Navegue entre as abas e marque todas as entradas encontradas <<<<<<<
  • Clique em REMOVAL
  • Aguarde ate que o programa termine de deletar as infecções.
  • Clique em RESULTS
  • Clique no botão REPORT e depois em EXPORT > TXT FILE
  • Salve como report.txt na sua Área de Trabalho

Abra o arquivo report.txt salvo no sua Área de Trabalho, copie e cole todo o conteudo na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Elias, boa tarde. 

 

Quando eu fui fazer ele apareceu a informação de que tudo está bom e não foi nada detectado. A mensagem que apareceu foi:  "Everythings's good so far No detection"

 

Segue abaixo o relatório extraido:

 

RogueKiller Anti-Malware V14.1.0.0 (x64) [Jan 20 2020] (Free) by Adlice Software
mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 10 (10.0.18362) 64 bits
Started in : Normal mode
User : Fernanda [Administrator]
Started from : C:\Users\Fernanda\Desktop\RogueKiller_portable64.exe
Signatures : 20190819_114745, Driver : Loaded
Mode : Standard Scan, Scan -- Date : 2020/05/07 14:08:37 (Duration : 00:23:58)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process Modules ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts File ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Files ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Web browsers ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

adicionado 1 minuto depois

@Elias Pereira

 

Olá Elias, boa tarde. 

 

Quando eu fui fazer ele apareceu a informação de que tudo está bom e não foi nada detectado. A mensagem que apareceu foi:  "Everythings's good so far No detection"

 

Segue abaixo o relatório extraido:

 

RogueKiller Anti-Malware V14.1.0.0 (x64) [Jan 20 2020] (Free) by Adlice Software
mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 10 (10.0.18362) 64 bits
Started in : Normal mode
User : Fernanda [Administrator]
Started from : C:\Users\Fernanda\Desktop\RogueKiller_portable64.exe
Signatures : 20190819_114745, Driver : Loaded
Mode : Standard Scan, Scan -- Date : 2020/05/07 14:08:37 (Duration : 00:23:58)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process Modules ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts File ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Files ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Web browsers ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Fernanda Teixeira

 

  1. Clique no menu Iniciar, e após isso clique com o botão direito do mouse sob Este computador e selecione a opção Propriedades. .

  2. Em Propriedades, selecione a opção Configurações avançadas do sistema.

  3. Vá na aba Proteção do Sistema, e em Restauração do Sistema, vá na opção Criar.

    fce2f587-5556-456b-93d4-00966ae7f59d

  4. Depois basta seguir as instruções em tela, para criar seu ponto de restauração.

    OBS: Lembre-se de colocar um nome de fácil entendimento para uma posterior restauração a partir deste ponto.

Pressione as teclas Windows conheca-atalhos-de-teclado-para-dominar- + R e digite: msconfig
 
- Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo
- Clique na guia Inicialização de Programas e clique em Abrir Gerenciador de Tarefas
- Clique com o botão direito em cada entrada da inicialização e clique em Desabilitar/Desativar.

Volte para a tela de Configurações do Sistema e clique em Aplicar e depois em OK.
 
Siga as mensagens ate que seja solicitado a reiniciar.

Após isso me informe se os problemas em relação a malwares ainda persistem.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Elias Pereira Olá Elias, boa noite!

 

Funcionou. O meu computador não possui mais nenhum malware e também está bem mais rápido.

 

Uma última pergunta, eu posso excluir os arquivos que usamos durante estes procedimentos: adwcleaner, ZHP Cleaner, RogueKiller?

 

Mais uma vez, muito obrigada por toda ajuda e paciëncia. Vocës são uma equipe nota 10!! Sensacional o trabalho de vocês. 

 

Abraços,

 

Fernanda 

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Fernanda Teixeira

 

Em 14/05/2020 às 03:22, Fernanda Teixeira disse:

Uma última pergunta, eu posso excluir os arquivos que usamos durante estes procedimentos: adwcleaner, ZHP Cleaner, RogueKiller?

Pode sim.

 

Em relação a malwares, não temos mais problemas.

MANTENHA O SO ATUALIZADO:
Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Aprenda a ler resistores e capacitores

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!