Supeita de malware - ZA-Scan não funciona

Wolf-G · 11 de abril de 2021

Bom dia prezados. Espero que todos estejam bem.

vim aqui novamente solicitar a ajuda de vocês.

Estou com sérias suspeitas de Malware na minha máquina, porém estou de mãos atadas.

vim ao fórum, ao campo específico e ao tópico de procedimentos necessários para a geração do log que possibilitará a análise de vocês colegas, do raio x da minha máquina.

Seguindo o recomendado, baixei o ZA-Scan para a área de trabalho, já desativei o antivirus e cliquei como administrador no ícone indicado, mas infelizmente ele avisa que o programa não foi corretamente instalado.

Gostaria de solicitar a ajuda de vocês para este caso.

Muito obrigado.

Elias Pereira · 11 de abril de 2021

@signore

Por favor, atente para o seguinte:

Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento p2p/toŕŕent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
Respeite a ordem das instruções passadas;
Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Regras da Área de Remoção de Malware << IMPORTANTE A LEITURA

Regras Gerais do Forum Clube do Hardware << IMPORTANTE A LEITURA

Siga os passos abaixo:

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

ETAPA 1

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em

Clique em VERIFICAR AGORA/SCAN NOW. Após o termino clique em LIMPAR/CLEAN e aguarde.

Será aberto o bloco de notas com o resultado.

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.

ETAPA 2

Faça o download do ZHPCleaner no link abaixo e salve em sua Área de trabalho (Desktop)

https://www.majorgeeks.com/files/details/zhpcleaner.html

Execute o arquivo ZHPCleaner.exe Como Administrador

Clique no botão Scanner.
A ferramenta começara o exame do seu sistema.
Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
Em seguida clique no botão Reparar.
Será gerado um log chamado ZHPCleaner.txt

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.

Wolf-G · 11 de abril de 2021

Boa tarde @Elias Pereira

Eis aqui os relatórios gerados:

1º O log gerado pelo ADW Cleaner:

AdwCleaner[C01] April 11th, 2021.txt

2º O log gerado após a análise do ZHP Cleaner:

ZHPCleaner (S) April 11th, 2021 Analysis.txt

3º O log gerado após o reparo do ZHP Cleaner

ZHPCleaner april 11th, 2021 repair.txt

Gostaria também de reportar que durante todo o processo o ZHP abriu diversas páginas do navegador Avast, que eu mesmo não solicitei sua instalação.

Vou postar o print:

E tambem uma mensagem a respeito de um servidor, que por precaução eu respondi que NÃO:

E acho que por agora isso é tudo.

Muito obrigado pela disponibilidade.

Aguardo novas orientações.

Best

AdwCleaner[C01] April 11th, 2021.txt ZHPCleaner (S) April 11th, 2021 Analysis.txt ZHPCleaner april 11th, 2021 repair.txt

AdwCleaner[C01] April 11th, 2021.txt ZHPCleaner (S) April 11th, 2021 Analysis.txt

AdwCleaner[C01] April 11th, 2021.txt

Elias Pereira · 12 de abril de 2021

@signore

Abra os logs em separado, copie o conteudo e cole na sua proxima resposta.

Wolf-G · 12 de abril de 2021

Boa noite @Elias Pereira

Muito obrigado pela disponibilidade. Bom, aqui vão os relatórios:

1º AdwCleaner:

# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build: 03-22-2021
# Database: 2021-03-22.1 (Local)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 04-11-2021
# Duration: 00:00:08
# OS: Windows 7 Home Premium
# Cleaned: 1
# Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

Deleted icmgebopaejnjlncllgmcenbbflikfjd

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5138 octets] - [08/04/2021 14:59:03]
AdwCleaner[C00].txt - [4593 octets] - [08/04/2021 15:06:02]
AdwCleaner[S01].txt - [1563 octets] - [11/04/2021 17:16:12]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

2º ZHP Cleaner ( análise ) :

~ ZHPCleaner v2021.4.3.289 by Nicolas Coolman (2021/04/03)
~ Run by Wolf Giuliano (Administrator) (11/04/2021 17:27:54)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Type : Scan
~ Report : C:\Users\Wolf Giuliano\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\Wolf Giuliano\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point :
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 32-bit Service Pack 1 (Build 7601)

---\\ Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.

---\\ Services (0)
~ No malicious or unnecessary items found.

---\\ Browser internet (0)
~ No malicious or unnecessary items found.

---\\ Hosts file (1)
~ The hosts file is legitimate (21)

---\\ Scheduled automatic tasks. (0)
~ No malicious or unnecessary items found.

---\\ Explorer ( File, Folder) (36)
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\Google\Chrome\User Data\Default\Preferences =>ChromiumPreference
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Preferences =>ChromiumPreference
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\Microsoft\Edge\User Data\Default\Preferences =>ChromiumPreference
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\background.html =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\background.js =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\config.json =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\manifest.json =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\test.js =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\tr.js =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\images\chromium.svg =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\images\shadow.png =>Hijacker.Browser
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\delenot =>PUP.Optional.WinYahoo
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\fodati =>PUP.Optional.WinYahoo
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove =>PUP.Optional.WinYahoo
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\uninst.exe =>PUP.Optional.WinYahoo
FOUND file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\uninstp.dat =>PUP.Optional.WinYahoo
FOUND folder: C:\ProgramData\ByteFence\RTOP =>SUP.Optional.ByteFence
FOUND folder: C:\ProgramData\ByteFence =>SUP.Optional.ByteFence
FOUND folder: C:\Users\Wolf Giuliano\AppData\Roaming\DiskDefrag =>SUP.Optional.AuslogicsDiskDefrag
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0 =>Hijacker.Browser
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\images =>Hijacker.Browser
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C} =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\chromium-min.jpg =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\control panel-min-min.JPG =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\down.png =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\ff menu.JPG =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\ff search engine-min.png =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\HowToRemove.html =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\hp-min ff.png =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\hp-min ie.png =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\search engine.gif =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\setup pages.gif =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\sp-min.png =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\start-min.jpg =>PUP.Optional.WinYahoo
FOUND folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\up.png =>PUP.Optional.WinYahoo

---\\ Registry ( Key, Value, Data) (22)
FOUND key: HKLM\SOFTWARE\Wow6432Node\ByteFence [AdditionalScan 292] =>SUP.Optional.ByteFence
FOUND key: HKLM\SOFTWARE\ByteFence [AdditionalScan 406] =>SUP.Optional.ByteFence
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\.avi [Torch.avi] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\.torrent [Torch.torrent] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Magnet [Torch.torrent] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.avi [avi video] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.flv [flv video] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.mkv [mkv video] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.mp4 [mp4 video] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.pdf [pdf] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.torrent [] =>.SUP.Torch
FOUND key: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.vob [vob video] =>.SUP.Torch
FOUND data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6EF58B71-E1DD-4821-AFF2-C41EB65BAD14}\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
FOUND data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7C694CF0-3948-486C-A2F3-864F337C939C}\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
FOUND data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E7C12020-7978-4D99-9B7C-88AF00526183}\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
FOUND data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
FOUND key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX [Adobe] =>Riskware.FlashPlayer
FOUND key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player NPAPI [Adobe] =>Riskware.FlashPlayer
FOUND key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player PPAPI [Adobe] =>Riskware.FlashPlayer
FOUND key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player NPAPI Notifier [] =>Riskware.FlashPlayer
FOUND key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player PPAPI Notifier [] =>Riskware.FlashPlayer
FOUND key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player Updater [] =>Riskware.FlashPlayer

---\\ Summary of the elements found (7)
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/ =>Hijacker.Browser
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/ =>ChromiumPreference
https://nicolascoolman.eu/forum/Topic/winyahoo-logiciel-optionnel-potentiellement-indesirable-pup-lpi/ =>PUP.Optional.WinYahoo
https://nicolascoolman.eu/2017/03/13/superfluous-bytefence/ =>SUP.Optional.ByteFence
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/ =>SUP.Optional.AuslogicsDiskDefrag
https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps/ =>.SUP.Torch
https://nicolascoolman.eu/forum/Topic/flashplayer-logiciel-a-risque-riskware/ =>Riskware.FlashPlayer

---\\ Result of repair
~ Any repair made
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK
~ Opera Stable OK

---\\ Statistics
~ Items scanned : 67860
~ Items found : 92
~ Items cancelled : 0
~ Space saving (bytes) : 0
~ Items options : 9/17

---\\ OPTIONS NOT ACTIVES
~ Temporary file analysis
~ Temporary folder analysis
~ Empty Folder CLSID Analysis
~ Empty Other Folder Analysis
~ Empty LocalLow Folder Analysis
~ Empty Local Folder Analysis
~ Obsolete Installer File Analysis
~ Start browsers with extensions removed

~ End of search in 00h13mn19s

---\\ Reports (2)
ZHPCleaner-[S]-08042021-15_24_01.txt
ZHPCleaner-[S]-11042021-17_41_13.txt

3º ZHP Cleaner ( Remoção ) :

~ ZHPCleaner v2021.4.3.289 by Nicolas Coolman (2021/04/03)
~ Run by Wolf Giuliano (Administrator) (11/04/2021 17:47:27)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Type : Repair
~ Report : C:\Users\Wolf Giuliano\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Wolf Giuliano\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point :
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 32-bit Service Pack 1 (Build 7601)

---\\ Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.

---\\ Services (0)
~ No malicious or unnecessary items found.

---\\ Browser internet (0)
~ No malicious or unnecessary items found.

---\\ Hosts file (1)
~ The hosts file is legitimate (21)

---\\ Scheduled automatic tasks. (0)
~ No malicious or unnecessary items found.

---\\ Explorer ( File, Folder) (34)
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\Google\Chrome\User Data\Default\Preferences =>Préférences Chromium
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\Microsoft\Edge\User Data\Default\Preferences =>Préférences Chromium
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\background.html =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\background.js =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\config.json =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\manifest.json =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\test.js =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\tr.js =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\images\chromium.svg =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\images\shadow.png =>Hijacker.Browser
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\delenot =>PUP.Optional.WinYahoo
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\fodati =>PUP.Optional.WinYahoo
MOVED file^: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove =>PUP.Optional.WinYahoo
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\uninst.exe =>PUP.Optional.WinYahoo
MOVED file: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\uninstp.dat =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc =>Hijacker.Browser [http://nusojog.com/update]
MOVED folder: C:\ProgramData\ByteFence =>SUP.Optional.ByteFence
MOVED folder: C:\Users\Wolf Giuliano\AppData\Roaming\DiskDefrag =>SUP.Optional.AuslogicsDiskDefrag
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0 =>Hijacker.Browser
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\chromium\User Data\Default\Extensions\jghiljaagglmcdeopnjkfhcikjnddhhc\14.1.4.58_0\images =>Hijacker.Browser
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C} =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\chromium-min.jpg =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\control panel-min-min.JPG =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\down.png =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\ff menu.JPG =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\ff search engine-min.png =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\HowToRemove.html =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\hp-min ff.png =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\hp-min ie.png =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\search engine.gif =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\setup pages.gif =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\sp-min.png =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\start-min.jpg =>PUP.Optional.WinYahoo
MOVED folder: C:\Users\Wolf Giuliano\AppData\Local\{61A857F4-4500-3B4C-2898-1EA40CF0E23C}\HowToRemove\up.png =>PUP.Optional.WinYahoo

---\\ Registry ( Key, Value, Data) (22)
DELETED data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6EF58B71-E1DD-4821-AFF2-C41EB65BAD14}\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
DELETED data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7C694CF0-3948-486C-A2F3-864F337C939C}\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
DELETED data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E7C12020-7978-4D99-9B7C-88AF00526183}\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
DELETED data: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 181.213.132.4 181.213.132.5] =>Hijacker.Browser
DELETED key*: HKLM\SOFTWARE\Wow6432Node\ByteFence [AdditionalScan 292] =>SUP.Optional.ByteFence
DELETED key**: HKLM\SOFTWARE\ByteFence [AdditionalScan 406] =>SUP.Optional.ByteFence
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\.avi [Torch.avi] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\.torrent [Torch.torrent] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Magnet [Torch.torrent] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.avi [avi video] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.flv [flv video] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.mkv [mkv video] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.mp4 [mp4 video] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.pdf [pdf] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.torrent [] =>.SUP.Torch
DELETED key*: HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\SOFTWARE\Classes\Torch.vob [vob video] =>.SUP.Torch
DELETED key*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX [Adobe] =>Riskware.FlashPlayer
DELETED key*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player NPAPI [Adobe] =>Riskware.FlashPlayer
DELETED key*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player PPAPI [Adobe] =>Riskware.FlashPlayer
DELETED key*: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player NPAPI Notifier [] =>Riskware.FlashPlayer
DELETED key*: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player PPAPI Notifier [] =>Riskware.FlashPlayer
DELETED key*: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player Updater [] =>Riskware.FlashPlayer

---\\ Other deletions. (0)
~ Registry Keys Tracing deleted (0)
~ Remove the old reports ZHPCleaner. (0)

---\\ Result of repair
~ Repair carried out successfully
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK
~ Opera Stable OK
~ The system has been restarted.

---\\ Statistics
~ Items scanned : 3590
~ Items found : 0
~ Items cancelled : 0
~ Space saving (bytes) : 0
~ Items options : 9/17

---\\ OPTIONS NOT ACTIVES
~ Temporary file analysis
~ Temporary folder analysis
~ Empty Folder CLSID Analysis
~ Empty Other Folder Analysis
~ Empty LocalLow Folder Analysis
~ Empty Local Folder Analysis
~ Obsolete Installer File Analysis
~ Start browsers with extensions removed

~ End of clean in 00h02mn02s

---\\ Reports (3)
ZHPCleaner-[S]-08042021-15_24_01.txt
ZHPCleaner-[S]-11042021-17_41_13.txt
ZHPCleaner-[R]-11042021-17_49_29.txt

Isso é tudo.

Aguardo próximas orientações e novamente muito obrigado pela disponibilidade.

Best.

Elias Pereira · 12 de abril de 2021

@signore

Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop)

roguekiller.exe (x64) << link

Feche todos os programas
Execute o RogueKiller.exe.
** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em
Clique em SCAN
Clique no primeiro START "Standard Scan (recommended)" e aguarde o scan...
Clique no botão RESULTS
Clique na opção REPORT e em EXPORT e selecione a opção Text file...
Salve o arquivo na area de trabalho com o nome roguekiller_report

Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

Wolf-G · 12 de abril de 2021

Boa tarde @Elias Pereira

Estou de volta com os resultados que você me solicitou:

RogueKiller Anti-Malware V14.8.6.0 [Mar 24 2021] (Free) by Adlice Software
mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits
Started in : Normal mode
User : Wolf Giuliano [Administrator]
Started from : C:\Program Files\RogueKiller\RogueKiller.exe
Signatures : 20210412_114416, Driver : Loaded
Mode : Standard Scan, Scan -- Date : 2021/04/12 16:54:56 (Duration : 00:31:44)
Switches : -minimize

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process Modules ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[Suspicious.Path (Potentially Malicious)] \Rerun Warsaw's CoreFixer -- C:\Windows\TEMP\is-DOVI8.tmp\corefixer.exe [/norerun] -> Found

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> XX - Software
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_LOCAL_MACHINE\Software\Nico Mak Computing -- N/A -> Found
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_USERS\.DEFAULT\Software\Nico Mak Computing -- N/A -> Found
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\Software\Nico Mak Computing -- N/A -> Found
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_USERS\S-1-5-18\Software\Nico Mak Computing -- N/A -> Found

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts File ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Files ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Web browsers ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Antirootkit : 0 (Driver: Loaded) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Aguardo novas orientações.

Muito obrigado pela disponibilidade.

Best

Elias Pereira · 13 de abril de 2021

@signore

Execute novamente o RogueKiller e após o scan, marque as entradas para remoção.

Abra o relatório gerado, copie e cole o conteúdo na sua próxima resposta.

Wolf-G · 13 de abril de 2021

@Elias Pereira Boa tarde.

"Entradas para remoção" ?

Eu saberei o que é?

Boa tarde @Elias Pereira

Acho que acertei suas orientação.

Imagino que você queira apenas o relatório da remoção né?

Okey, vou postá-lo, se precisar do relatório do scaning por favor avise.

Lá vai:

RogueKiller Anti-Malware V14.8.6.0 [Mar 24 2021] (Free) by Adlice Software
mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits
Started in : Normal mode
User : Wolf Giuliano [Administrator]
Started from : C:\Program Files\RogueKiller\RogueKiller.exe
Signatures : 20210412_114416, Driver : Loaded
Mode : Standard Scan, Delete -- Date : 2021/04/13 14:31:33 (Duration : 00:34:25)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Delete ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[Suspicious.Path (Potentially Malicious)] \Rerun Warsaw's CoreFixer -- C:\Windows\TEMP\is-DOVI8.tmp\corefixer.exe (/norerun) -> Deleted
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_LOCAL_MACHINE\Software\Nico Mak Computing -- -> Deleted
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_USERS\.DEFAULT\Software\Nico Mak Computing -- -> Deleted
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_USERS\S-1-5-21-827842777-1566831252-2564548899-1000\Software\Nico Mak Computing -- -> Deleted
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_USERS\S-1-5-18\Software\Nico Mak Computing -- -> Deleted

Aqui está.

Muito obrigado pela disponibilidade.

Aguardo novas orientações.

Boa tarde

Elias Pereira · 14 de abril de 2021

@signore

Clique no menu Iniciar, e após isso clique com o botão direito do mouse sob Meu computador e selecione a opção Propriedades.
Em Propriedades, selecione a opção Configurações avançadas do sistema.
Vá na aba Proteção do Sistema, e em Restauração do Sistema, vá na opção Criar.
Depois basta seguir as instruções em tela, para criar seu ponto de restauração.OBS: Lembre-se de colocar um nome de fácil entendimento para uma posterior restauração a partir deste ponto.

Pressione as teclas Windows + R e digite: msconfig

- Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo

- Clique na guia Inicialização de Programas e clique em Desativar tudo

Siga as mensagens ate que seja solicitado a reiniciar.Após isso me informe se os problemas em relação a malwares ainda persistem.

Wolf-G · 17 de abril de 2021

Bom dia @Elias Pereira Eu fiz todos os procedimentos que você me recomendou.

A minha maior queixa era quanto a lentidão, especialmente quando eu solicitava os serviços do Youtube e do google drive, a demora absurda para carregar videos, para fazer upload de arquivos.

Isso não mudou. No dia que eu finalizei o ponto de restauração minha conexão teve uma melhor resposta. Mas de lá pra cá tenho tido os mesmos problemas.

Não sei se é malware, não sei o que pode ser.

De toda forma te agradeço muito por sua disponibilidade.

Elias Pereira · 17 de abril de 2021

2 horas atrás, signore disse:

A minha maior queixa era quanto a lentidão, especialmente quando eu solicitava os serviços do Youtube e do google drive, a demora absurda para carregar videos, para fazer upload de arquivos.

Isso é relacionado a tua rede. Primeiro verifique se do seu lado está tudo certo e depois entre em contato com teu provedor de internet.

Em relação a malwares, não temos mais problemas.

MANTENHA O SO ATUALIZADO:
Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

Wolf-G · 19 de abril de 2021

@Elias Pereira Boa tarde.

Muito obrigado por toda ajuda.

Seguirei suas orientações

Deixa eu cuidar de uma dúvida e daqui a pouco concluo o post

Obrigado

Best

Wolf-G · 19 de abril de 2021

@Elias Pereira Muito obrigado colega.

BEST ( W.G.)

Elias Pereira · 19 de abril de 2021

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.