O próprio win 10 o detectou como malicioso .
Abraços
heldeR25 disse:olá,
devo dizer que me superestimou, pois não entendi teu último post (hahha)!! O que tuas imagens querem dizer??
heldeR25 disse:olá,
devo dizer que me superestimou, pois não entendi teu último post (hahha)!! O que tuas imagens querem dizer??
heldeR25 disse:olá,
devo dizer que me superestimou, pois não entendi teu último post (hahha)!! O que tuas imagens querem dizer??
Komm disse:Fez coisa diferente do que eu pedi na remoção pelo Ultra Adware Killer... mas deixa quieto.
O Baidu não está ativo na sua máquina. Estou removendo os restos que encontrei dele.
Vamos à fixlist da FRST:
Crie um arquivo de nome fixlist.txt no Notepad, copie para dentro dele o conteúdo do spoiler e o salve na Área de trabalho:
Tenha certeza de que a FRST está na Área de trabalho.
Use o seguinte fixlist na FRST:
"fixlist"
start
CreateRestorePoint:
CloseProcesses:
Task: {049CE5DD-872E-4E9A-8EE0-45B619D6C47E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {6763EB52-2762-4078-85CB-8F90875A6729} - \WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6A5BCC93-500E-412F-B89C-664C156B8A2C} - \Sthiwardnerzodom -> Nenhum Arquivo <==== ATENÇÃO
Task: {8934918A-F5F3-4477-961E-77D1BE4A18B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB2B6860-5991-434A-A6DF-FA92EB5839C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {E745A882-7BCA-4253-9FB5-236D02F01087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {E75B7C93-0BBF-47CB-9D06-988305E6C712} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {9F91D2F1-10AC-47BA-BC07-601D149F8358} - System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => pcalua.exe -a "C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe"
AlternateDataStreams: C:\ProgramData\Temp:862BDB1A [132]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A [132]
AlternateDataStreams: C:\Users\Todos os Usuários\Temp:B755D674 [158]
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1461778623064"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1464359625886"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "GUDelayStartup"
HKLM\...\StartupApproved\Run32: => "RemoteControl10"
C:\Program Files (x86)\Baidu Security
C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => -> Nenhum Arquivo
CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
S2 BepatSU; "C:\Users\Helder\AppData\Local\Temp\1\ttff.exe" /i [X] <==== ATENÇÃO
CMD: ipconfig /flushdns
Emptytemp:
reboot:
end
Em seguida, execute novamente a FRST, clique em Corrigir e aguarde.
Poste o log.
[]s.
heldeR25 disse:olá,
pois bem, Criei um arquivo .txt, copiei para dentro dele o conteúdo do teu spolier, salvei com o nome fixlist e na área de tabalho. Confirmei que FRST estava na área de trabalho também, executei a FRST e apertei o botão corrigir. Ao final foi pedido uma reinicialização e reiniciei. O log gerado já se encontrava na área de trabalho com o nome Fixlog. Segue, então o Fixlog:
"log Fixlog"
Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 15-03-2017
Executado por Helder (24-03-2017 23:58:56) Run:1
Executando a partir de C:\Users\Helder\Desktop
Perfis Carregados: Helder (Perfis Disponíveis: Helder)
Modo da Inicialização: Normal
==============================================
fixlist Conteúdo:
*****************
start
CreateRestorePoint:
CloseProcesses:
Task: {049CE5DD-872E-4E9A-8EE0-45B619D6C47E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {6763EB52-2762-4078-85CB-8F90875A6729} - \WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6A5BCC93-500E-412F-B89C-664C156B8A2C} - \Sthiwardnerzodom -> Nenhum Arquivo <==== ATENÇÃO
Task: {8934918A-F5F3-4477-961E-77D1BE4A18B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB2B6860-5991-434A-A6DF-FA92EB5839C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {E745A882-7BCA-4253-9FB5-236D02F01087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {E75B7C93-0BBF-47CB-9D06-988305E6C712} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {9F91D2F1-10AC-47BA-BC07-601D149F8358} - System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => pcalua.exe -a "C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe"
AlternateDataStreams: C:\ProgramData\Temp:862BDB1A [132]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A [132]
AlternateDataStreams: C:\Users\Todos os Usuários\Temp:B755D674 [158]
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1461778623064"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1464359625886"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "GUDelayStartup"
HKLM\...\StartupApproved\Run32: => "RemoteControl10"
C:\Program Files (x86)\Baidu Security
C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => -> Nenhum Arquivo
CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
S2 BepatSU; "C:\Users\Helder\AppData\Local\Temp\1\ttff.exe" /i [X] <==== ATENÇÃO
CMD: ipconfig /flushdns
Emptytemp:
reboot:
end
*****************
Ponto de Restauração criado com sucesso.
Processos fechados com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{049CE5DD-872E-4E9A-8EE0-45B619D6C47E} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{049CE5DD-872E-4E9A-8EE0-45B619D6C47E} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxcontent => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6763EB52-2762-4078-85CB-8F90875A6729} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6763EB52-2762-4078-85CB-8F90875A6729} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6A5BCC93-500E-412F-B89C-664C156B8A2C} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6A5BCC93-500E-412F-B89C-664C156B8A2C} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sthiwardnerzodom => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8934918A-F5F3-4477-961E-77D1BE4A18B7} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8934918A-F5F3-4477-961E-77D1BE4A18B7} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\launchtrayprocess => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BB2B6860-5991-434A-A6DF-FA92EB5839C4} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB2B6860-5991-434A-A6DF-FA92EB5839C4} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxconfig => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E745A882-7BCA-4253-9FB5-236D02F01087} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E745A882-7BCA-4253-9FB5-236D02F01087} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E75B7C93-0BBF-47CB-9D06-988305E6C712} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E75B7C93-0BBF-47CB-9D06-988305E6C712} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9F91D2F1-10AC-47BA-BC07-601D149F8358} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F91D2F1-10AC-47BA-BC07-601D149F8358} => chave removido (a) com sucesso.
C:\WINDOWS\System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => chave removido (a) com sucesso.
C:\ProgramData\Temp => ":862BDB1A" ADS removido (a) com sucesso..
C:\ProgramData\Temp => ":B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A" ADS Não pode ser removido.
C:\Users\Todos os Usuários\Temp => ":B755D674" ADS removido (a) com sucesso..
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DIMBaixando a sua atualização...1461778623064 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DIMBaixando a sua atualização...1461778623064 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DIMBaixando a sua atualização...1464359625886 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DIMBaixando a sua atualização...1464359625886 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\GUDelayStartup => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\GUDelayStartup => valor não encontrado (a).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\RemoteControl10 => valor removido (a) com sucesso.
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RemoteControl10 => valor não encontrado (a).
C:\Program Files (x86)\Baidu Security => movido com sucesso
"C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe" => não encontrado (a).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\BaiduAntivirusIconLock => chave removido (a) com sucesso.
HKCR\CLSID\{0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => chave não encontrado (a).
HKLM\SOFTWARE\Policies\Google => chave removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer => chave removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\BepatSU => chave removido (a) com sucesso.
BepatSU => serviço removido (a) com sucesso.
========= ipconfig /flushdns =========
Configura‡Æo de IP do Windows
Libera‡Æo do Cache do DNS Resolver bem-sucedida.
========= Fim de CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 5842492 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 1217792459 B
Java, Flash, Steam htmlcache => 2697 B
Windows/system/drivers => 171501933 B
Edge => 271409950 B
Chrome => 86573437 B
Firefox => 17861580 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1492597 B
systemprofile32 => 18455585 B
LocalService => 86100 B
NetworkService => -658 B
Helder => 84257639 B
RecycleBin => 6386659101 B
EmptyTemp: => 7.7 GB de dados temporários Removidos.
================================
O sistema precisou ser reiniciado.
==== Fim de Fixlog 00:09:21 ====
Aguardo contato!
TmfeijoMMonroe disse:Bom dia ! Dileto regente pleno;autor
Nossa vc está parecendo o joram com toda paciência .
Bom ; no mais como está o sistema agora ? Já que resolvemos a fração Edge e agora o uso da FRST .
Abraços
heldeR25 disse:Olá, enquanto ao Joram, vi algumas de suas atividades por aqui na comunidade, mas espero que a comparação tenha sido elogiosa (hahaha)!!
Mas respondendo a tua pergunta, no meu sentimento tanto o sistema como o edge (e os outros navegadores) estão a funcionar adequadamente, ou pelo menos não houve tempo hábil para detectar alguma anormalidade! Estes últimos procedimentos me parecem ser para "aparar as arestas".
Bom dia ! Dileto regente autor
Bom; como de praxe execute a DEL FIX; marcando apenas desinstalar ferramentas de desinfecção .
Prezado autor; é para remover a FRST .
Ps : Não marcar as opções redefinir configurações do sistema e limpar pontos de restauração .
Há mais algumas coisas que poderia mexer (legendas, shareit) e erros nos logs do sistema, mas por hora dou-me por satisfeito.
heldeR25 disse:Olá, enquanto ao Joram, vi algumas de suas atividades por aqui na comunidade, mas espero que a comparação tenha sido elogiosa (hahaha)!!
FirewallRules: [{C5A40E9A-9EA8-40D6-A625-BE1736E37734}] => (Allow) C:\ProgramData\Microsoft\Network\Dsq\network\sysnetwk.exe
joram disse:/_ heldeR25 _\
> Se não for,o Tmfeijo sabe que o "coro canta". rsrs...
> Mas...pelo que vi nestes Posts,a infecção foi browser hijacker e do tipo que configura proxy malicioso.
> E,pela FRST inicial,sua fixlist evitaria muitas ferramentas desnecessárias que resumiria a solução deste caso.
> Por motivos particulares,não pude colaborar,mas o Komm foi brilhante e soube confeccionar a fixlist.
> Restou,esta regra ao Firewall que vc deve bloquear já que trata-se de arquivo malicioso e ligado ao proxy que foi configurado.
C:\ProgramData\Microsoft\Network\Dsq\network\sysnetwk.exe
C:\ProgramData\Microsoft\Network\Dsq\network << Delete!
C:\ProgramData\Microsoft\Network\Dsq << Delete!
---
---
> Delete o arquivo e pastas,caso os encontre!
> No mais....bom trabalho!
[Abs]
Anexos