Logo Hardware.com.br
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas

[Resolvido] Possível backdoor

#1 Por SVX 25/07/2015 - 01:01
Olá, boa noite. Eu instalei um programa e sem querer permitir o acesso de um outro chamado RegCleanPro, porém muito mais problemas surgiram com isso, algumas informações do sistema Windows passaram a aparecer (deveriam estar ocultos) e algumas pastas estão sendo duplicadas e sendo transformadas em pasta de atalho, impedindo meu acesso. Desde já agradeço pela atenção.
instalei programa acesso boa permitir backdoor noite querer
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#2 Por joram
25/07/2015 - 03:45
/!\ Bom Dia! SVX /!\

> Siga na ordem dada,estes procedimentos! ( UsbFix + JRT + FRST )

> Baixe: Imagem

> Salve-a no desktop!
> Abra a ferramenta UsbFix >> Clique: Opções

Imagem

> Marque a caixa "Desativar Autorun/AutoPlay". ( Windows XP )
> Clique "Aplicar".
> Insira,agora,seu pendrive ou unidade externa,infectada,e na tela principal da ferramenta,clique "Limpar".
> Poste o relatório!

> Baixe: < Imagem > ( ... by Malwarebytes.org )

> Salve-o no desktop!
> Desabilite seu antivírus!
> Para Windows 7,clique direito em JRT.exe e execute-o ...

Imagem

Imagem

> Aguarde a conclusão e poste o relatório. ( JRT.txt )

> Baixe: < Imagem > ( ... by Farbar )

> No banner àcima,é para sistemas 32bits!

< Farbar Recovery Scan Tool 64-Bit >

> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Yes" >> "Scan".

Imagem

> Antes de clicar "Scan",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Optional Scan",deixe marcada a checkbox "Addition.txt".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)

> Como o log será extenso,envie-o à Imagem >

Imagem

> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

Imagem

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

Imagem

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.

A+
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas
#3 Por SVX
25/07/2015 - 23:25
Olá, boa noite. Desculpe a demora.
1º Relatório

Addition: http://www.cjoint.com/c/EGAcJSCBxvI
FRST: http://www.cjoint.com/c/EGAcLOLNzCI


Eis o relatório do JRT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.5.1 (07.16.2015:1)
OS: Windows 8 Single Language x64
Ran by asus on 25/07/2015 at 23:02:57,99
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys



~~~ Files

Successfully deleted: [File] C:\Users\asus\AppData\Roaming\sp_data.sys



~~~ Folders

Successfully deleted: [Folder] C:\Users\asus\AppData\Roaming\systweak



~~~ Chrome


[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - default search provider reset

[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - Extensions Deleted:

[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - default search provider reset

[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - Extensions Deleted:
[]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 25/07/2015 at 23:20:16,40
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#4 Por joram
26/07/2015 - 08:43
/!\ Bom Dia! SVX /!\

> Vc esqueceu de postar o relatório da ferramenta UsbFix.
> Vc possui 2 antivírus: McAfee e Avast
> Desinstale o menos instável ou que não goste ou que consome maior recurso. ( RAM )
> Ps: Pode deixar instalado o McAfee SiteAdvisor.

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! -/- ( C:\Users\asus\Desktop ) <<

start
CloseProcesses:
CreateRestorePoint:
U0 msahci; No ImagePath
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [932288 2010-11-16] (Adobe Systems Incorporated)
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2144182778-2948468438-3455390907-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 KMSEmulator; C:\ProgramData\KMSAuto\KMSES.exe 1688 KillProcessOnPort [X]
2015-07-25 23:27 - 2015-07-25 23:27 - 00001208 _____ C:\Users\asus\Desktop\JRT.txt relatorio.txt
2015-07-25 23:20 - 2015-07-25 23:20 - 00001208 _____ C:\Users\asus\Desktop\JRT.txt
2015-07-25 23:02 - 2015-07-25 23:02 - 01798288 _____ (Malwarebytes Corporation) C:\Users\asus\Desktop\JRT.exe
2015-07-24 21:18 - 2015-07-24 21:18 - 00000000 ____D C:\ProgramData\Baidu
Task: {5CA52FD3-04F7-4498-BF3E-6A49692B5C93} - \ASP No Task File <==== ATTENTION
Task: {79FB5783-5606-4E5F-B98E-E6B550E5018F} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-06-23] ()
Task: {A2645798-6A0A-41CC-BBFE-B49CFDCD9AA8} - System32\Tasks\Format Factory => C:\Users\asus\AppData\Local\Temp\is-E1ACI.tmp\prsetup.exe [2015-07-09] (Free Time ) <==== ATTENTION
C:\ProgramData\SetStretch.VBS
C:\ProgramData\Baidu
C:\Users\asus\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\asus\AppData\Local\Temp\ose00000.exe
C:\Users\asus\AppData\Local\Temp\ResetDevice.exe
C:\Users\asus\AppData\Local\Temp\Uninstall.exe
emptytemp:
Reboot:
end

> Execute FRST/FRST64 >> Clique "Fix" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)

Imagem
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

A+
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas
#5 Por SVX
26/07/2015 - 12:20
Olá, então não usei o UsbFix porque não achei necessário, já que não uso o pendrive.

Segue o relatório:


Fix result of Farbar Recovery Scan Tool (x64) Version:25-07-2015

Ran by asus at 2015-07-26 12:11:54 Run:1

Running from C:\Users\asus\Desktop

Loaded Profiles: asus &  (Available Profiles: asus)

Boot Mode: Normal

==============================================



fixlist content:

*****************

start

CloseProcesses:

CreateRestorePoint:

U0 msahci; No ImagePath

HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [932288 2010-11-16] (Adobe Systems Incorporated)

ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File

ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File

ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File

ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File

ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File

ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File

SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKU\S-1-5-21-2144182778-2948468438-3455390907-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

S2 KMSEmulator; C:\ProgramData\KMSAuto\KMSES.exe 1688 KillProcessOnPort [X]

2015-07-25 23:27 - 2015-07-25 23:27 - 00001208 _____ C:\Users\asus\Desktop\JRT.txt relatorio.txt

2015-07-25 23:20 - 2015-07-25 23:20 - 00001208 _____ C:\Users\asus\Desktop\JRT.txt

2015-07-25 23:02 - 2015-07-25 23:02 - 01798288 _____ (Malwarebytes Corporation) C:\Users\asus\Desktop\JRT.exe

2015-07-24 21:18 - 2015-07-24 21:18 - 00000000 ____D C:\ProgramData\Baidu

Task: {5CA52FD3-04F7-4498-BF3E-6A49692B5C93} - \ASP No Task File <==== ATTENTION

Task: {79FB5783-5606-4E5F-B98E-E6B550E5018F} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-06-23] ()

Task: {A2645798-6A0A-41CC-BBFE-B49CFDCD9AA8} - System32\Tasks\Format Factory => C:\Users\asus\AppData\Local\Temp\is-E1ACI.tmp\prsetup.exe [2015-07-09] (Free Time ) <==== ATTENTION

C:\ProgramData\SetStretch.VBS

C:\ProgramData\Baidu

C:\Users\asus\AppData\Local\Temp\DataCard_Setup64.exe

C:\Users\asus\AppData\Local\Temp\ose00000.exe

C:\Users\asus\AppData\Local\Temp\ResetDevice.exe

C:\Users\asus\AppData\Local\Temp\Uninstall.exe

emptytemp:

Reboot:

end





*****************



Processes closed successfully.

Restore point was successfully created.

msahci => service removed successfully

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Adobe ARM => value removed successfully

"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => key removed successfully

HKCR\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A} => key not found.

"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => key removed successfully

HKCR\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => key not found.

"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => key removed successfully

HKCR\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524} => key not found.

"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => key removed successfully

HKCR\Wow6432Node\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A} => key not found.

"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => key removed successfully

HKCR\Wow6432Node\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => key not found.

"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => key removed successfully

HKCR\Wow6432Node\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524} => key not found.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully

HKU\S-1-5-21-2144182778-2948468438-3455390907-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully

KMSEmulator => service removed successfully

C:\Users\asus\Desktop\JRT.txt relatorio.txt => moved successfully.

C:\Users\asus\Desktop\JRT.txt => moved successfully.

C:\Users\asus\Desktop\JRT.exe => moved successfully.

C:\ProgramData\Baidu => moved successfully.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{5CA52FD3-04F7-4498-BF3E-6A49692B5C93}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5CA52FD3-04F7-4498-BF3E-6A49692B5C93}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASP" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{79FB5783-5606-4E5F-B98E-E6B550E5018F}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{79FB5783-5606-4E5F-B98E-E6B550E5018F}" => key removed successfully

C:\Windows\System32\Tasks\AutoKMS => moved successfully.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AutoKMS" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{A2645798-6A0A-41CC-BBFE-B49CFDCD9AA8}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A2645798-6A0A-41CC-BBFE-B49CFDCD9AA8}" => key removed successfully

C:\Windows\System32\Tasks\Format Factory => moved successfully.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Format Factory" => key removed successfully

C:\ProgramData\SetStretch.VBS => moved successfully.

"C:\ProgramData\Baidu" => File/Folder not found.

C:\Users\asus\AppData\Local\Temp\DataCard_Setup64.exe => moved successfully.

C:\Users\asus\AppData\Local\Temp\ose00000.exe => moved successfully.

C:\Users\asus\AppData\Local\Temp\ResetDevice.exe => moved successfully.

C:\Users\asus\AppData\Local\Temp\Uninstall.exe => moved successfully.

EmptyTemp: => 2.9 GB temporary data Removed.





The system needed a reboot..



==== End of Fixlog 12:13:57 ====
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas
#7 Por SVX
26/07/2015 - 22:44
UsbFix... Nossa, realmente tinha infecção.... e o infeliz do MalwareByte não excluiu... e inclusive eu acabei de fazer uma varredura com o Malwarebytes e ele ainda está acusando esse HKLM no meu note.


<strong>############################## | UsbFix V 7.999.97 | [Limpar]</strong>



Usuário: asus (Administrador) # PC3

Atualizado em 26/07/2015 por El Desaparecido - SosVirus

Começou em 22:39:19 | 26/07/2015



Site : <a href="http://www.pt.usbfix.net/" target="_blank">http://www.pt.usbfix.net/</a>

Changelog : <a href="http://www.usbfix.net/maj/" target="_blank">http://www.usbfix.net/maj/</a>

Asistencia : <a href="http://www.sos-virus.net/" target="_blank">http://www.sos-virus.net/</a>

Detecção en vivo : <a href="http://www.como-remover.com/category/usb-virus/" target="_blank">http://www.como-remover.com/category/usb-virus/</a>

Contato : <a href="http://www.pt.usbfix.net/contato/" target="_blank">http://www.pt.usbfix.net/contato/</a>



<strong>################## | System information |</strong>



MB: ASUSTeK COMPUTER INC. (S400CA)

CPU: Intel(R) Core(TM) i5-3317U CPU @ 1.70GHz

GC: Intel(R) HD Graphics 4000

RAM -> [Total : 3982 Mo | Free : 1712 Mo]

Bios: American Megatrends Inc.

Boot: Normal boot



OS: Microsoft™ Windows 8 Single Language (6.2.9200 64-Bit)

WB: Internet Explorer : 10.00.9200.16384

WB: Google Chrome : 44.0.2403.107



<strong>################## | Security Information |</strong>



AV: Windows Defender [<strong>(!) Não ativo</strong> |Atualizado]

AV: avast! Antivirus [<strong>(!) Não ativo</strong> |Atualizado]

AS: Windows Defender [<strong>(!) Não ativo</strong> |Atualizado]

AS: avast! Antivirus [<strong>(!) Não ativo</strong> |Atualizado]

FW: avast! Antivirus [<strong>(!) Não ativo</strong>]

AS: Malwarebytes Anti-Malware : 2.1.8.1057

FW: Windows Firewall [Ativo]

SC: Security Center [Ativo]

WU: Windows Update [Ativo]



<strong>################## | Disk Information |</strong>



C:\ (%SystemDrive%) -> Disco fixo # 186 Gb (127 Gb livre - 68%) [OS] # NTFS

D:\ -> Disco fixo # 258 Gb (258 Gb livre - 100%) [Data] # NTFS

E:\ -> CD-ROM # 15 Mb (0 Mb livre - 0%) [Mobile Partner] # CDFS

F:\ -> Disco removível # 2 Gb (1 Gb livre - 67%) [SÁVILA CEL] # FAT

G:\ -> Disco removível # 4 Gb (10 Mb livre - 0%) [] # FAT



<strong>################## | Procura genérica |</strong>



Supprimido! C:\Windows\SysWOW64\ASUS.scr

Supprimido! C:\Program Files\ASUS\ASUS Screen Saver\data\ASUS.scr



(!) Ficheiros temporários suprimido. (25.8210439682007 MB)



<strong>################## | Startup |</strong>



F2 - HKLM\..\Winlogon : [Shell] explorer.exe

F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe

F2 - HKLM\..\Winlogon : [Userinit] userinit.exe,

F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,

04 - HKLM\..\Run : [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"

04 - HKLM\..\Run : [ASUSPRP] "C:\Program Files (x86)\ASUS\APRP\APRP.EXE"

04 - HKLM\..\Run : [ASUSWebStorage] C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSPanel.exe /S

04 - HKLM\..\Run : [ATLauncher] "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createshortcuts:1

04 - HKLM\..\Run : [ATUninstallIcon] "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createuninstallentry:1

04 - HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui

04 - [x64] HKLM\..\Run : [IgfxTray] C:\Windows\system32\igfxtray.exe

04 - [x64] HKLM\..\Run : [HotKeysCmds] C:\Windows\system32\hkcmd.exe

04 - [x64] HKLM\..\Run : [DptfPolicyLpmServiceHelper] C:\Windows\system32\DptfPolicyLpmServiceHelper.exe

04 - [x64] HKLM\..\Run : [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s

04 - [x64] HKLM\..\Run : [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /MAXX3



<strong>################## | UsbFix - Informação |</strong>



Info : <a href="'https://www.youtube.com/watch?v=vUZYYASd7FE'" target="_blank">Como remover o vírus do atalho no disco flash (Vídeo)</a>

Info : <a href="'http://www.pt.usbfix.net/2015/03/como-remover-o-virus-que-transforma-pastas-e-arquivos-em-atalhos/'" target="_blank">Como remover o vírus que transforma pastas e arquivos em atalhos ?</a>

Detecção en vivo : <a href="http://www.como-remover.com/category/usb-virus/" target="_blank">http://www.como-remover.com/category/usb-virus/</a>



<strong>################## | C:\ %SystemDrive% - Disco fixo (NTFS) |</strong>



[26/07/2015 - 12:26:27 | ASH | 3261808 Ko] - C:\hiberfil.sys

[26/07/2015 - 12:26:28 | ASH | 1900544 Ko] - C:\pagefile.sys

[26/07/2015 - 12:26:28 | ASH | 262144 Ko] - C:\swapfile.sys

[14/05/2013 - 05:12:56 | N | 6146 Ko] - C:\S400CA.BIN

[12/06/2015 - 00:35:13 | SHD] - C:\$Recycle.Bin

[05/06/2015 - 14:55:02 | D] - C:\$Windows.~BT

[02/06/2012 - 11:30:55 | N | 0 Ko] - C:\BOOTNXT

[26/07/2012 - 00:44:30 | RASH | 389 Ko] - C:\bootmgr

[26/07/2012 - 04:22:08 | SHD] - C:\Documents and Settings

[26/07/2012 - 04:33:46 | D] - C:\PerfLogs

[25/04/2013 - 20:30:56 | SHD] - C:\Boot

[21/05/2015 - 14:55:45 | D] - C:\Intel

[21/05/2015 - 15:09:11 | D] - C:\eSupport

[21/05/2015 - 15:09:38 | D] - C:\AsusVibeData

[21/05/2015 - 16:41:32 | RD] - C:\Users

[22/06/2015 - 00:07:25 | D] - C:\sources

[23/06/2015 - 12:37:01 | RHD] - C:\MSOCache

[24/07/2015 - 21:37:34 | RD] - C:\Program Files (x86)

[24/07/2015 - 23:27:54 | RD] - C:\Program Files

[25/07/2015 - 23:31:32 | D] - C:\Windows

[26/07/2015 - 12:13:25 | HD] - C:\ProgramData

[26/07/2015 - 12:26:34 | D] - C:\FRST

[26/07/2015 - 22:38:33 | D] - C:\UsbFix



<strong>################## | D:\ - Disco fixo (NTFS) |</strong>



[24/07/2015 - 23:35:07 | SHD] - D:\$RECYCLE.BIN

[24/07/2015 - 21:18:46 | D] - D:\FFOutput



<strong>################## | F:\ - Disco removível (FAT) |</strong>



[26/05/2015 - 12:28:02 | D] - F:\LOST.DIR

[01/07/2015 - 01:13:42 | A | 40 Ko] - F:\CV_ADM.doc

[29/06/2015 - 21:51:30 | A | 44 Ko] - F:\CV_ELÉTRICA.doc

[24/07/2015 - 16:59:32 | A | 644914 Ko] - F:\Rec012.avi



<strong>################## | G:\ - Disco removível (FAT) |</strong>



[05/10/2012 - 19:59:52 | D] - G:\autorun.inf

[22/04/2009 - 11:28:24 | A | 104 Ko] - G:\setup.exe

[03/09/2013 - 22:50:34 | A | 13 Ko] - G:\A imigração Italiana para o Brasil tornou.docx

[11/10/2013 - 01:39:40 | A | 28 Ko] - G:\curriculo andré (1).doc

[29/06/2015 - 21:51:30 | A | 44 Ko] - G:\CV_ELÉTRICA.doc

[24/07/2015 - 15:45:56 | A | 1025142 Ko] - G:\Rec011.avi

[23/07/2015 - 15:56:34 | A | 1102330 Ko] - G:\Rec008.avi

[23/07/2015 - 17:00:32 | A | 378433 Ko] - G:\Rec009.avi

[24/07/2015 - 14:59:06 | A | 1383893 Ko] - G:\Rec010.avi

[1356/1356/18384 - 63176:180:6824 | A | 0 Ko] - G:\autorun.inf\con

[1356/1356/18360 - 63176:180:7112 | A | 0 Ko] - G:\autorun.inf\Nul.protected



<strong>################## | Vaccin |</strong>



C:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

D:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

F:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

G:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)



<strong>################## | E.O.F | <a href="http://www.sosvirus.net/" target="_blank">http://www.sosvirus.net/</a> | <a href="http://www.pt.usbfix.net/" target="_blank">http://www.pt.usbfix.net/</a> |</strong>
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#8 Por joram
26/07/2015 - 23:23
/!\ Boa Noite! SVX /!\

> Baixe: < Imagem >

> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"

Imagem

> Em "Computer scan settings",marque:

<*> Enable detection of potentially unwanted applications

> Em "Hide advanced settings",marque:

<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology

> Deixe marcada a remoção automática!

<4> Remove found threats

> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Clique "Back" >> "Finish".
> Poste o relatório!

A+
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas
#9 Por SVX
27/07/2015 - 01:46
Segue relatório. Muito obrigada pela atenção.

C:\Program Files (x86)\FreeTime\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application cleaned by deleting - quarantined
C:\Program Files (x86)\FreeTime\FormatFactory\FFModules\Package\BaiDu\hao123inst.exe a variant of Win32/Hao123.A potentially unwanted application cleaned by deleting - quarantined
C:\Users\asus\AppData\Roaming\uTorrent\updates\3.4.2_38913.exe a variant of Win32/OpenCandy.C potentially unsafe application cleaned by deleting - quarantined
C:\Users\asus\Downloads\Movie studio hd 11 + Keygen.rar Win32/Keygen.HU potentially unsafe application deleted - quarantined
C:\Users\asus\Downloads\uTorrent_3-4-2-build-38913.exe a variant of Win32/OpenCandy.C potentially unsafe application cleaned by deleting - quarantined
C:\Users\asus\Downloads\Movie studio hd 11 + Keygen\Keygen and Patch - DI.rar Win32/Keygen.HU potentially unsafe application deleted - quarantined
C:\Users\asus\Downloads\Movie studio hd 11 + Keygen\Keygen and Patch - DI\Keygen.exe Win32/Keygen.HU potentially unsafe application cleaned by deleting - quarantined
C:\Windows\System32\roboot64.exe a variant of Win64/Systweak.A potentially unwanted application cleaned by deleting - quarantined
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#10 Por joram
27/07/2015 - 04:38
/!\ Bom Dia! SVX /!\
"SVX"
UsbFix... Nossa, realmente tinha infecção.... e o infeliz do MalwareByte não excluiu... e inclusive eu acabei de fazer uma varredura com o Malwarebytes e ele ainda está acusando esse HKLM no meu note.

> Mas este HKLM é uma das chaves do registro!
> Vc tem o log desta detecção para enviar-nos?

Imagem

> Esta imagem pode lhe orientar em sua localização.

> Baixe: < Imagem > ( ... by Malwarebytes.org )

> Salve-o no desktop!
> Desabilite seu antivírus!
> Para Windows 7,clique direito em JRT.exe e execute-o ...

Imagem

Imagem

> Aguarde a conclusão e poste o relatório. ( JRT.txt )

A+
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas
#11 Por SVX
27/07/2015 - 12:13
Bom dia Joram.
Tenho sim o log do Malwareb... Segue relatório dele:

Malwarebytes Anti-Malware
www.malwarebytes.org


Protection, 27/07/2015 00:40, SYSTEM, PC3, Protection, Malware Protection, Stopping,
Protection, 27/07/2015 00:40, SYSTEM, PC3, Protection, Malware Protection, Stopped,
Protection, 27/07/2015 00:40, SYSTEM, PC3, Protection, Malicious Website Protection, Stopping,
Protection, 27/07/2015 00:40, SYSTEM, PC3, Protection, Malicious Website Protection, Stopped,
Protection, 27/07/2015 01:45, SYSTEM, PC3, Protection, Malware Protection, Starting,
Protection, 27/07/2015 01:45, SYSTEM, PC3, Protection, Malware Protection, Started,
Protection, 27/07/2015 01:45, SYSTEM, PC3, Protection, Malicious Website Protection, Starting,
Protection, 27/07/2015 01:45, SYSTEM, PC3, Protection, Malicious Website Protection, Started,
Scan, 27/07/2015 02:03, SYSTEM, PC3, Manual, Início:27/07/2015 01:47, Duração:16 min 38 seg, Verificação da ameaça, Concluído, 0 malware detectados, 0 Non-malware detectados,
Scan, 27/07/2015 02:05, SYSTEM, PC3, Manual, Início:27/07/2015 02:05, Duração:0 min 13 seg, Verificação da ameaça, Cancelado, 0 malware detectados, 0 Non-malware detectados,
Update, 27/07/2015 11:51, SYSTEM, PC3, Scheduler, Remediation Database, 2015.7.20.1, 2015.7.27.3,
Update, 27/07/2015 11:51, SYSTEM, PC3, Scheduler, AKA Domain Database, 2015.7.25.5, 2015.7.27.1,
Update, 27/07/2015 11:51, SYSTEM, PC3, Scheduler, Malware Database, 2015.7.26.6, 2015.7.27.4,
Protection, 27/07/2015 11:51, SYSTEM, PC3, Protection, Refresh, Starting,
Protection, 27/07/2015 11:51, SYSTEM, PC3, Protection, Malicious Website Protection, Stopping,
Protection, 27/07/2015 11:51, SYSTEM, PC3, Protection, Malicious Website Protection, Stopped,
Protection, 27/07/2015 11:52, SYSTEM, PC3, Protection, Refresh, Success,
Protection, 27/07/2015 11:52, SYSTEM, PC3, Protection, Malicious Website Protection, Starting,
Protection, 27/07/2015 11:52, SYSTEM, PC3, Protection, Malicious Website Protection, Started,

(end)


E segue o Relatório do JRT:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.5.1 (07.16.2015:1)
OS: Windows 8 Single Language x64
Ran by asus on 27/07/2015 at 12:02:33,95
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services

Successfully deleted: [Service] 0305561437923207mcinstcleanup [Reboot required]



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys



~~~ Files

Successfully deleted: [File] C:\Users\asus\AppData\Roaming\sp_data.sys



~~~ Folders



~~~ Chrome


[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - default search provider reset

[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - Extensions Deleted:

[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - default search provider reset

[C:\Users\asus\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - Extensions Deleted:
[]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 27/07/2015 at 12:09:09,52
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#12 Por joram
27/07/2015 - 12:39
/!\ Boa Tarde! SVX /!\

> Este log de proteção não nos serve!
> Faça novo escaneamento com o Malwarebytes,em Verificação Personalizada,e poste o relatório. ( ScanLog )

> Acesse este Tutorial! ( Tutorial do Malwarebytes Anti-Malware )
> Obtenha informações de instalação,atualização e configurações do MBAM.

Imagem

> Escolha o "Tipo da Verificação": Verificação Personalizada
> Ao concluir,envie suas detecções para a Quarentena.

Imagem

> Leia no Tutorial: "Como acessar o Log (relatório) do Malwarebytes:"

> Poste o relatório! ( Scan Log )

A+
SVX
SVX Membro Junior Registrado
68 Mensagens 17 Curtidas
#13 Por SVX
27/07/2015 - 15:49
Boa tarde! Prontinho... Acredito que os problemas já foram resolvidos:

Malwarebytes Anti-Malware
www.malwarebytes.org

Data da verificação: 27/07/2015
Hora da verificação: 13:49
Arquivo de registro: mb2.txt
Administrador: Sim

Versão: 2.1.8.1057
Banco de dados de malware: v2015.07.27.05
Banco de dados de rootkit: v2015.07.22.01
Licença: Versão de avaliação
Proteção contra malware: Habilitado
Proteção contra website malicioso: Habilitado
Autoproteção: Desabilitado

Sistema operacional: Windows 8
CPU: x64
Sistema de arquivos: NTFS
Usuário: asus

Tipo de verificação: Personalizar verificação
Resultado: Concluído
Objetos verificados: 521880
Tempo decorrido: 1 hr, 46 min, 51 seg

Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Habilitado
PUM: Habilitado

Processos: 0
(Nenhum item malicioso detectado)

Módulos: 0
(Nenhum item malicioso detectado)

Chaves de registro: 0
(Nenhum item malicioso detectado)

Valores de registro: 0
(Nenhum item malicioso detectado)

Dados de registro: 0
(Nenhum item malicioso detectado)

Pastas: 0
(Nenhum item malicioso detectado)

Arquivos: 0
(Nenhum item malicioso detectado)

Setores físicos: 0
(Nenhum item malicioso detectado)


(end)
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#14 Por joram
28/07/2015 - 00:41
/!\ Bom Dia! SVX /!\
"SVX"
Boa tarde! Prontinho... Acredito que os problemas já foram resolvidos:

> Sim! O log do Malwarebytes veio limpo.
> Não havendo mais problemas,remova as ferramentas que foram utilizadas na desinfecção e restabeleça,backup ao registro do Windows.

> Baixe: < Imagem > ( ... de Xplode )

Imagem

> Link alternativo: < delfix_1.010.exe >
> Estando na página,clique em Download Now.
> Salve-a em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.

Imagem

> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema
> Redefinir as configurações do sistema

> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!
> Ps: Por fim,backup do Registro estará em: C:\WINDOWS\ERUNT\DelFix <<

Imagem

> Caso necessite,abra a pasta DelFix e execute ERDNT.
> Clique OK na mensagem!

A+
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal