ajuda para remoção de malware - win 10

Question

h&aacute; pouco tempo atualizei o pc de win 7 para 0 10, por&eacute;m de cara percebi que algo estava estranho. n&atilde;o consigo abrir configura&ccedil;&otilde;es (as teclas de atalho como abaixar brilho tbm n funcionam), n&atilde;o consigo criar ponto de restaura&ccedil;&atilde;o do sistema entre  outros. por&eacute;m por se tratar de um pc meio lerdo por si s&oacute; eu n&atilde;o queria perder tempo pra ficar indo atras de ver o que era. 
ultimamente meu principal problema tem sido o aparecimento de muitas propagandas, mesmo com o adblock ativo, a pagina inicial do navegador sempre muda sozinho, mesmo que eu v&aacute; em configura&ccedil;&otilde;es e digite o URL que eu queira, o que eu escrevi continua l&aacute; por&eacute;m na pr&aacute;tica sempre abre outra aba, a mesma coisa acontece com a ferramenta de pesquisa. at&eacute; atalhos na &aacute;rea de trabalho de marcas famosas tem aparecido, e n adianta excluir os atalhos que eles voltam em seguida, sobre a pasta de origem &eacute; a do pr&oacute;prio navegador e eu n consigo identificar nada de estranho l&aacute;. 
isso tudo tem feito o pc que j&aacute; era lerdo ficar ainda pior e quase n d&aacute; pra mexer. desde j&aacute; obrigado pela aten&ccedil;&atilde;o.

[ATTACH=full]71615[/ATTACH]

Answer

/_ Bom Dia! [COLOR=#0000b3]Uir&atilde; Alexandre[/COLOR] _\
[CENTER]https://www.hardware.com.br/static/c/m/9833a1031c885417310c631d2553dc71[/CENTER]
https://www.hardware.com.br/static/c/m/2d441aee0b3a76b54acd825fe2334586
https://www.hardware.com.br/comunidade/v-t/1226830/
Siga as recomenda&ccedil;&otilde;es oficiais deste T&oacute;pico e poste: [COLOR=green]FRST.txt[/COLOR] + [COLOR=green]Addition.txt[/COLOR]
Disponibilize os relat&oacute;rios em Cjoint.com ou utilize spoiler,cuja instru&ccedil;&atilde;o est&aacute; ao final daquela p&aacute;gina.
Outra op&ccedil;&atilde;o,&eacute; hospedar os relat&oacute;rios em [COLOR=blue]H&eacute;bergement de fichiers, Security-x.fr[/COLOR].

[Abs]

Answer

segue os logs gerados pelo FRST:

Log addition: http://www.cjoint.com/c/GEvbmORJGNs 
Log FRST: http://www.cjoint.com/c/GEvbjj3wfgs

Answer

/_ Boa Noite! [COLOR=#0000b3]Uir&atilde; Alexandre[/COLOR] _\

> Desinstale: [COLOR=#ff0000]AlphaGo[/COLOR]  Copie estas informa&ccedil;&otilde;es que est&atilde;o no spoiler,para o Bloco de Notas.
> Salve-as com o nome [COLOR=green]fixlist[/COLOR].  Salve-as no desktop! ( [COLOR=#660066]&Aacute;rea de trabalho ...[/COLOR] )

[spoiler=fixlist][COLOR=darkred]start
CloseProcesses:
HKU\S-1-5-21-3078266595-1327449511-1097889016-1000\...\Run: [background_fault] => C:\Users\User\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software)  {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Nenhum Arquivo
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restri&ccedil;&atilde;o  C:\Program Files\Bookness\Application\chrome.exe (Google Inc.)  DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S&q={searchTerms} 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S&q={searchTerms} 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
Edge HomeButtonPage: HKU\S-1-5-21-3078266595-1327449511-1097889016-1000 -> hxxp://www.ourluckysites.com/?type=hp&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
FF Homepage: Mozilla\Firefox\Profiles\y00re22y.default-1453250615773 -> hxxp://www.ourluckysites.com/?type=hp&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
FF Keyword.URL: Mozilla\Firefox\Profiles\y00re22y.default-1453250615773 -> hxxp://login.latinamweb.com/search.php?q= 
FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y00re22y.default-1453250615773\searchplugins\ourluckysites.xml [2017-05-15] 
FF ProfilePath: C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773 [2017-05-19] 
FF user.js: detected! => C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773\user.js [2017-04-17] 
FF Homepage: Firefox\Firefox\Profiles\y00re22y.default-1453250615773 -> hxxp://login.gulfeconnection.com/search.php?q= 
FF Keyword.URL: Firefox\Firefox\Profiles\y00re22y.default-1453250615773 -> hxxp://login.gulfeconnection.com/search.php?q= 
FF Extension: (SimilarWeb) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-17] [n&atilde;o assinado] 
FF Extension: (HSearch) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-17] [n&atilde;o assinado] 
FF Extension: (FF Adr) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-17] [n&atilde;o assinado] 
FF Extension: (Portugu&ecirc;s (pt-BR) Language Pack) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773\Extensions\[email]langpack-pt-BR@firefox.mozilla.org.xpi[/email] [2017-05-08] [n&atilde;o assinado] 
FF Extension: (Video Speed Controller) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\y00re22y.default-1453250615773\Extensions\{7be2ba16-0f1e-4d93-9ebc-5164397477a9}.xpi [2017-05-15]
StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494849662&z=a5e7bb4b2110e33f8ea3303g6zet8zbb0z2tfmeo1g&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
CHR HomePage: Default -> hxxp://www.ourluckysites.com/?type=hp&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
CHR StartupUrls: Default -> hxxp://www.ourluckysites.com/?type=hp&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
CHR DefaultSearchURL: Default -> hxxp://www.ourluckysites.com/search/?type=ds&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S&q={searchTerms} 
CHR DefaultSearchKeyword: Default -> ourluckysites
StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494849662&z=a5e7bb4b2110e33f8ea3303g6zet8zbb0z2tfmeo1g&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
HKU\.DEFAULT\...\StartMenuInternet\ChromeHTML: -> C:\Program Files\Bookness\Application\chrome.exe (Google Inc.)  C:\Program Files\Bookness\Application\chrome.exe (Google Inc.)  C:\Program Files\Bookness\Application\chrome.exe (Google Inc.)  hxxp://www.ourluckysites.com/?type=sc&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492605652&z=1c1bd2b5cbe5292930b8ee6g9zcteo5q6e8w5q2q9b&from=che0812&uid=TOSHIBAXMQ01ABD032_Z2P1SFX4SXXZ2P1SFX4S
FirewallRules: [{5575930C-1D15-4D4D-96F9-210FE7703C04}] => (Allow) C:\Program Files\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe 
FirewallRules: [{3D78DE93-6965-48EE-87A2-72239182ADC2}] => (Allow) C:\Program Files\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe 
FirewallRules: [{4F2B1E52-80AE-42C8-B4E1-0EA0A91A178A}] => (Allow) C:\Program Files\Firefox\bin\FirefoxUpdate.exe 
FirewallRules: [{FB2C8350-0B5C-4359-9A4C-AAD8186D2A37}] => (Allow) C:\Program Files\Firefox\Firefox.exe 
FirewallRules: [{06E57362-8FD1-4DF2-B481-9E6DD09DE3F8}] => (Allow) C:\Program Files\Bookness\Application\chrome.exe 
FirewallRules: [{319BBF47-2457-4105-BC93-4310D7FCAC1B}] => (Allow) C:\Program Files\MIO\loader\toshibaxmq01abd032_z2p1sfx4sxxz2p1sfx4s.dat 
FirewallRules: [{CDDB527C-0A56-4C70-BC92-A1B1EC36D4D9}] => (Allow) C:\Program Files\MIO\loader\toshibaxmq01abd032_z2p1sfx4sxxz2p1sfx4s.dat 
C:\Users\User\AppData\Local\background_fault\QQIme.exe
C:\Users\User\AppData\Local\background_fault\aswRD.exe 
C:\Program Files\Firefox\bin\FirefoxUpdate.exe 
CreateRestorePoint:
RemoveProxy:
EmptyTemp:
Reboot:
Hosts:
end[/COLOR][/spoiler]

> Execute FRST/FRST64 >> Clique Corrigir  Poste o relat&oacute;rio [COLOR=darkred]Resultado da Corre&ccedil;&atilde;o pela Farbar Recovery Scan Tool[/COLOR]. ([COLOR=green]Fixlog.txt[/COLOR])
> Este e outros relat&oacute;rios,podem ser encontrados na pasta: Disco Local (C) > FRST > [COLOR=#660000]Logs[/COLOR]

https://www.hardware.com.br/static/c/m/bda2ffa2e92f7f2a44c02bfd0ae2986b
< [COLOR=red]Pe&ccedil;o aos visitantes que n&atilde;o utilizem este script em outros computadores,sob risco de danos aos mesmos![/COLOR] >

A+

Answer

segue o log de conserto :http://www.cjoint.com/c/GEyaFxyDnDr

Answer

/_ Boa Noite![COLOR=#0000b3] Uir&atilde; Alexandre [/COLOR]_\

> Baixe: < https://www.hardware.com.br/static/c/m/2bf19e299f5785cfd002c9d77b20d8af > ( https://www.hardware.com.br/static/c/m/d4a4f08ba02aff62cd933f4ad8a73d12[COLOR=#0000b3] ... de Nicolas Coolman[/COLOR] )

> Ou |[COLOR=blue]Aqui![/COLOR]|  Estando na p&aacute;gina,clique https://www.hardware.com.br/static/c/m/fb9eb7e4e4d0c96447127115428deb58

> Salve-a no desktop! ( [COLOR=green]ZHPCleaner.exe[/COLOR] )
> Desabilite seu antiv&iacute;rus e execute ZHPCleaner.exe  Clique Eu.

https://www.hardware.com.br/static/c/m/5f40d35bf6a1928228cf93decbf1f333

> Clique Scanner.

https://www.hardware.com.br/static/c/m/abe6f13634c7d35d7db719b9ead7e806

> Aguarde a conclus&atilde;o!

https://www.hardware.com.br/static/c/m/1bface76938105fea5a78d8bea8bbf72

> Ao concluir,clique Reparar.

https://www.hardware.com.br/static/c/m/344a589d459e6406aeb4e0ea23e97f3d

> Surgir&atilde;o guias que estar&atilde;o em vermelho,indicando problemas a serem reparados.
> Clique Reparar.

https://www.hardware.com.br/static/c/m/49038bb041103b5091e80efa77a00a0c

> Ao concluir,clique Relat&oacute;rio!
> Poste o log de reparo: [COLOR=green]~ Type : Reparo[/COLOR]

[Abs]

Answer

segue relat&oacute;rio de reparo: http://www.cjoint.com/c/GEydt2I5LQr

Answer

/_ Bom Dia! [COLOR=#0000b3]Uir&atilde; Alexandre[/COLOR] _\

> Baixe: < [COLOR=blue]FSS[/COLOR] > ([COLOR=#00b300] ... by Farbar[/COLOR] )
> Salve-a ao desktop!

https://www.hardware.com.br/static/c/m/a29253f53d3edad9fb6ce49323e8fdb0

> Para Windows Vista,7 ou 8,execute FSS.exe como administrador.

[COLOR=#b30000] Internet Services[/COLOR]
 [COLOR=#b30000]Windows Firewall[/COLOR]
 [COLOR=#b30000]System Restore[/COLOR]
[COLOR=#b30000] Security Center/Action Center[/COLOR]
 [COLOR=#b30000]Windows Update[/COLOR]
 [COLOR=#b30000]Windows Defender[/COLOR]

https://www.hardware.com.br/static/c/m/9089f939fe6a8a40f47fb4ad532d3005

> Marque as seguintes caixas!
> Clique em Scan e aguarde o seu t&eacute;rmino!
> Poste o relat&oacute;rio! ( [COLOR=green]FSS.txt[/COLOR] )

[A+]

Answer

segue relat&oacute;rio FSS: http://www.cjoint.com/c/GEzbZtfFOCr

Answer

/_ Boa Noite! [COLOR=#0000b3]Uir&atilde; Alexandre[/COLOR] _\

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile]
EnableFirewall=DWORD:[COLOR=#ff0000]1[/COLOR]
---
> Acesse o Registro e altere o valor DWORD:0 para DWORD:[COLOR=#ff0000]1[/COLOR]
> Execute,novamente,a [COLOR=#006666]FRST.exe[/COLOR] e poste: [COLOR=#660000]FRST.txt [/COLOR]+ [COLOR=#660000]Addition.txt[/COLOR]

[COLOR=#ff0000]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile]
EnableFirewall=DWORD:00000001[/COLOR]

[COLOR=#000000]> Copie estas informa&ccedil;&otilde;es,em destaque,para o Bloco de Notas.
> Salve este Bloco de Notas ao desktop,com o nome: [/COLOR][COLOR=#660000]PF.reg[/COLOR]
[COLOR=#000000]> Mas antes de o [/COLOR][COLOR=rgb(0, 0, 0)]salvar[/COLOR][COLOR=#000000],coloque o [/COLOR][COLOR=rgb(0, 0, 0)]Bloco[/COLOR][COLOR=#000000] para [/COLOR][COLOR=rgb(0, 0, 0)]Arquivos do Tipo[/COLOR][COLOR=#000000]: [/COLOR][COLOR=#00b300]Todos os arquivos[/COLOR][COLOR=#000000]
> Ser&aacute; criado um arquivo de Informa&ccedil;&otilde;es ao Registro do Windows.
> V&aacute; ao desktop e o abra,escolhendo o Editor do registro.
> Basta dar clique direito nesse arquivo e escolher: [COLOR=#cc9933]Abrir com[/COLOR] >> [COLOR=#cc9933]Editor do registro[/COLOR][/COLOR]
[COLOR=#000000]> Confirme e reinicie o computador![/COLOR]

Edit: Incluir instru&ccedil;&atilde;o para incluir informa&ccedil;&otilde;es ao [COLOR=#0000b3]Registro do Windows[/COLOR]

[Abs]

Answer

Boa Tarde.
apara acessar o registro eu coloco em executar - regedit, assim que abre a janela, ela &eacute; fechada automaticamente :(

Answer

/_ Boa Tarde! [COLOR=#0000b3]Uirã Alexandre[/COLOR] _\ Ok! Resta-lhe a construção do [COLOR=#b30000]arquivo de informações ao registro [/COLOR]e executá-lo. ([COLOR=#660000]PF.reg[/COLOR]) Houve um lapso de tempo considerável,até o seu retorno! :de_olho: Como está a situação da máquina? -- -- > Baixe: < https://www.hardware.com.br/static/c/m/2697510fe6261bb2d5e10923659cec65 > ( [COLOR=#00b300]... par Xplode [/COLOR]) > Ou daqui: < [COLOR=blue]AdwCleaner[/COLOR] > Ao acessar,clique em Download Now. > Salve-o no desktop! > Desabilite seu antivírus! < https://www.hardware.com.br/static/c/m/98c82b3e1db496fd82db39f077c8ce36 > > Clique direito em adwcleaner.exe,e escolha sua execução como administrador. https://www.hardware.com.br/static/c/m/ee31aaa88f47c1dffaf314d93174942b > Clique Ferramentas >> Opções. https://www.hardware.com.br/static/c/m/6331cd7ee6c4c2125446f0334d13fc4a > Estando em Opções,deixe as configurações conforme este banner. > Clique Ok. https://www.hardware.com.br/static/c/m/3aabfabc43145e226e6ae773636cf55e > Ps: Dê início ao scan,clicando em Verificar. https://www.hardware.com.br/static/c/m/e580854a497f60b560c96916d42741a2 > Ao concluir,clique Limpar ou Cleaning >> Ok >> Ok >> Ok. > Copie o log ou clique Relatorio. > Poste: < C:\AdwCleaner\AdwCleaner[COLOR=red][C0][/COLOR].txt > [Abs]

Answer

desculpe pelo lapso de tempo entre pra resposta, s&oacute; estava usando o pc pra estudar, entrei de f&eacute;rias e dei uma largada dele, pra n passar raiva...
em pouco tempo ela voltou a apresentar os atalhos, por&eacute;m os outros problemas com propagandas est&atilde;o mais leves, ainda n&atilde;o consigo instalar nem executar alguns aplicativos ( pra usar o adclean por exemplo tive que mudar o nome), n&atilde;o consigo tbm acessar configura&ccedil;&otilde;es do sistema.

segue o link do relat&oacute;rio de limpeza: http://www.cjoint.com/c/GFio3Vu6J7i

Answer

/_ Boa Tarde![COLOR=#0000b3] Uir&atilde; Alexandre[/COLOR] _\

> Baixe,novamente,a[COLOR=#006666] ZHPCleaner[/COLOR] e a execute.
> Siga as instru&ccedil;&otilde;es contidas no[COLOR=#660000] Post #6[/COLOR] e poste o relat&oacute;rio ao concluir.

> Poste,tamb&eacute;m,novos logs da[COLOR=#006666] FRST[/COLOR]. ([COLOR=#660066]FRST.txt[/COLOR] +[COLOR=#660066] Addition.txt[/COLOR])
> Delete os anteriores e baixe a nova vers&atilde;o da [COLOR=#006666]FRST[/COLOR],para gerar os relat&oacute;rios.

[]s

Answer

seguem os logs requeridos:

frst.txt = http://www.cjoint.com/c/GFjbW3t2gei
addition.txt = http://www.cjoint.com/c/GFjbX5xtuoi
log de reparo zhp =  http://www.cjoint.com/c/GFjbYY4Qvfi

(ap&oacute;s reparar com o adclean o youtube tem exibido apenas a janela do video, todo o resto do site fica em branco, por&eacute;m abrindo na janela an&ocirc;nima t&aacute; normal... )

Ferramentas

Mover Tópico