Não consigo remover virus

[Daniel652]

Pouco depois de eu ligar o PC , a tela ficou preta porém ele continuou ligado , então reiniciei pelo botão de power. Meu segundo monitor continua preto e amd Radeon diz que a versão  instalada não é compatativel com a versão do driver atualmente instalado. Rodei o ant virus e apontou os seguintes itens (imagem) , porém não consigo remover , sempre que verifico novamente reaparecem.

[Lusitano]

@Daniel652

Prezado,

Algumas regras básicas a ter em conta:

• Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
• Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
• Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
• Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
• Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
• Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

Instruções:

• Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.
• Por favor anexe esses logs na sua próxima resposta ao tópico.

 

[Daniel652]

Bom dia , não tinha percebido que você tinha respondido. Aqui estão os logs

Addition.txt FRST.txt

[Lusitano]

@Daniel652

Olá,

Antes de eu lhe poder dar as instruções, necessito de saber algumas coisas:

1. Opera: Vejo muitos usuários usando este browser, geralmente porque está muito associado a jogos. Contudo, a reputação desse software já não é a mesma. Pode ler aqui neste link informação para o elucidar. Preciso que me informe qual a sua decisão. Quer manter ou desinstalar? Não é obrigatório desinstalar, a escolha é sua, apenas me informe, para eu poder lhe passar devidamente as instruções.

2. SUPERAntiSpyware. Durante anos, foi um software que nós da comunidade anti-malware recomendámos, mas na atualidade é um software que não recomendamos, já que deixa muito a desejar quanto a alguns aspetos. Fica também ao seu critério se o quer manter ou não. A escolha é sua, apenas me informe, para eu poder lhe passar devidamente as instruções.

Fico aguardando a sua informação para podermos prosseguir com o restante processo.

 

abraço

[Daniel652]

Vou optar por desinstalar ambos , posso prosseguir?

[Lusitano]

@Daniel652

Por gentileza, aguarde uns minutos que já lhe forneço as instruções.

@Daniel652

Instruções:

 

1. Desinstalação de programas:

• Pressione as teclas win + R;
• Na caixa que abrir, digite: appwiz.cpl e dê enter;
• Localize e desinstale os seguintes programas:

Opera
SUPERAntiSpyware

 

2. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador

Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente.

Citação

start::

closeprocesses:
createrestorepoint:
SystemRestore: On

(Opera Software AS -> Opera Software) C:\Users\Danlend\AppData\Local\Programs\Opera GX\81.0.4196.52\opera_crashreporter.exe
(Opera Software AS -> Opera Software) C:\Users\Danlend\AppData\Local\Programs\Opera GX\opera.exe <28>
(SUPERAntiSpyware.com -> SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1899338128-1328234520-3857979625-1001\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [11224432 2021-08-19] (Support.com Inc -> SUPERAntiSpyware)
Task: {645EE7A1-C87F-476C-B232-1C91073A31FB} - System32\Tasks\Opera GX scheduled Autoupdate 1637448252 => C:\Users\Danlend\AppData\Local\Programs\Opera GX\launcher.exe [2201808 2021-11-16] (Opera Software AS -> Opera Software)
Task: {8387CADB-798E-4807-B343-78B0FFBF69A1} - System32\Tasks\SUPERAntiSpyware Scheduled Task cc49d02b-91d8-4694-903f-c9aa8b12bbe3 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [49944 2021-01-09] (SUPERAntiSpyware.com -> SUPERAdBlocker.com) -> "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:cc49d02b-91d8-4694-903f-c9aa8b12bbe3
Task: {91F16A39-17D2-47DC-BCFC-CB50B6A864E2} - System32\Tasks\SUPERAntiSpyware Scheduled Task 4275e403-6e51-4de6-9936-b732b80d3db7 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [49944 2021-01-09] (SUPERAntiSpyware.com -> SUPERAdBlocker.com) -> "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:4275e403-6e51-4de6-9936-b732b80d3db7
Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 4275e403-6e51-4de6-9936-b732b80d3db7.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task cc49d02b-91d8-4694-903f-c9aa8b12bbe3.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
Edge HKU\S-1-5-21-1899338128-1328234520-3857979625-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
CHR HKLM\...\Chrome\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm] - hxxps://chrome.google.com/webstore/detail/kaspersky-protection/ahkjpbeeocnddjkakilopmfdlnjdpcdm
CHR HKLM-x32\...\Chrome\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm] - hxxps://chrome.google.com/webstore/detail/kaspersky-protection/ahkjpbeeocnddjkakilopmfdlnjdpcdm
StartMenuInternet: (HKU\S-1-5-21-1899338128-1328234520-3857979625-1001) Opera GXStable - "C:\Users\Danlend\AppData\Local\Programs\Opera GX\Launcher.exe"
R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [173472 2021-01-09] (SUPERAntiSpyware.com -> SUPERAntiSpyware.com)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2021-01-09] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2021-01-09] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
2021-11-21 22:42 - 2021-11-21 22:50 - 000000546 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task cc49d02b-91d8-4694-903f-c9aa8b12bbe3.job
2021-11-21 22:42 - 2021-11-21 22:50 - 000000546 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 4275e403-6e51-4de6-9936-b732b80d3db7.job
2021-11-21 22:42 - 2021-11-21 22:42 - 000003790 _____ C:\Windows\system32\Tasks\SUPERAntiSpyware Scheduled Task 4275e403-6e51-4de6-9936-b732b80d3db7
2021-11-21 22:42 - 2021-11-21 22:42 - 000003708 _____ C:\Windows\system32\Tasks\SUPERAntiSpyware Scheduled Task cc49d02b-91d8-4694-903f-c9aa8b12bbe3
2021-11-21 22:42 - 2021-11-21 22:42 - 000000000 ____D C:\Users\Danlend\AppData\Roaming\SUPERAntiSpyware.com
2021-11-21 22:41 - 2021-11-21 22:42 - 000000000 ____D C:\Program Files\SUPERAntiSpyware
2021-11-21 22:41 - 2021-11-21 22:41 - 000001849 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
2021-11-21 22:41 - 2021-11-21 22:41 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2021-11-21 22:41 - 2021-11-21 22:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
2021-11-21 22:35 - 2021-11-21 22:36 - 206564968 _____ (SUPERAntiSpyware) C:\Users\Danlend\Downloads\SUPERAntiSpyware.exe
2021-11-20 19:44 - 2021-11-20 19:44 - 000004240 _____ C:\Windows\system32\Tasks\Opera GX scheduled Autoupdate 1637448252
2021-11-20 19:44 - 2021-11-20 19:44 - 000001448 _____ C:\Users\Danlend\Desktop\Navegador Opera GX.lnk
2021-11-20 19:44 - 2021-11-20 19:44 - 000001438 _____ C:\Users\Danlend\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Navegador Opera GX.lnk
2021-11-20 19:44 - 2021-11-20 19:44 - 000000000 ____D C:\Users\Danlend\AppData\Local\Opera Software
2021-11-20 19:42 - 2021-11-20 19:42 - 003349256 _____ (Opera Software) C:\Users\Danlend\Downloads\OperaGXSetup.exe
2021-11-20 19:42 - 2021-11-20 19:42 - 000000000 ____D C:\Users\Danlend\AppData\Roaming\Opera Software

CMD: netsh int ip reset
CMD: ipconfig /flushDNS
 
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
 
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
 
Reboot:
emptytemp:
end::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

 

[Daniel652]

Segue o log , aparentemente o uso da minha gpu normalizou

Fixlog.txt

[Lusitano]

@Daniel652

Excelente, mas ainda não terminamos

 

Citação

Erro: (0) Falha ao criar um ponto de restauração.

Temos esse erro para resolver. Lamentavelmente, as instruções que lhe tenho de passar são demoradas, por favor seja paciente e aguarde que tudo seja concluído.

 

Por gentileza, repita as instruções anteriores que lhe passei para a execução do FRST, mas agora, copie e cole o seguinte:

Citação

Start::

CMD: DISM.exe /Online /Cleanup-Image /Restorehealth

CMD: SFC /ScanNow

End::

 

Na sua próxima resposta, anexe o Fixlog.txt

 

[Daniel652]

segue o log , e tem alguma indicação de curso/conteúdo pra saber lidar com esse tipo de problema ? 

Fixlog.txt

[Lusitano]

@Daniel652

 

Estamos quase, apenas falta removermos algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no seu uso regular do PC.

 

1. Faça o download de KpRm e salve no seu desktop.

• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt).
• Copie e cole esse conteúdo na sua próxima resposta.

2. Desinstale o FRST:

Citação

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

Na sua próxima resposta, por gentileza cole o resultado do ponto nº1 e informe se ainda nota algo estranho no seu PC.

 

 

Quanto a sua questão:

Citação

tem alguma indicação de curso/conteúdo pra saber lidar com esse tipo de problema ? 

com certeza, você terá de entender acerca do sistema operacional windows (por exemplo: registro; hexadecimal, etc.), um pouco de linguagem de programação, Criptografia e tantas outras coisas. Não é uma coisa simples, mas sem dúvida que você pode aprender por você mesmo, mas não existe receita pronta e fácil, você terá de pesquisar e estudar bastante.

 

 

[Daniel652]

Segue em anexo , não notei nada estranho até agora . Muito obrigado pela ajuda desde já.

kprm-20211122134614.txt

[Lusitano]

@Daniel652

Terminámos. Você tem até um ponto de restauração limpo, caso venha a necessitar.

 

No mais, mantenha os seus programas atualizados. Instale um antivirus! Devidamente configurado, ele não irá interferir no desempenho. Faça regularmente backup dos seus documentos importantes e salve-os externamente (cloud, etc.).

 

Caso não necessite de mais nada, por gentileza avise, para eu encerrar este tópico.

Abraço

[Daniel652]

Agradeço a ajuda , pode finalizar o tópico .

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.