Logo Hardware.com.br
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas

[Resolvido] Vírus que não permite o PC conectar-se à internet!!

#1 Por TmfeijoMMonr... 22/03/2017 - 18:56
Bom fim de noite !

O próprio win 10 o detectou como malicioso .

Abraços

heldeR25 disse:
olá,
devo dizer que me superestimou, pois não entendi teu último post (hahha)!! O que tuas imagens querem dizer??
virus navegador-nao-acessa-internet pc problemas baixar arquivo internet virus permite conectarse
Komm
Komm Cyber Highlander Registrado
12.8K Mensagens 2.7K Curtidas
#47 Por Komm
24/03/2017 - 23:39
Fez coisa diferente do que eu pedi na remoção pelo Ultra Adware Killer... mas deixa quieto.
O Baidu não está ativo na sua máquina. Estou removendo os restos que encontrei dele.

Vamos à fixlist da FRST:

Crie um arquivo de nome fixlist.txt no Notepad, copie para dentro dele o conteúdo do spoiler e o salve na Área de trabalho:
Tenha certeza de que a FRST está na Área de trabalho.

Use o seguinte fixlist na FRST:
"fixlist"

start
CreateRestorePoint:
CloseProcesses:
Task: {049CE5DD-872E-4E9A-8EE0-45B619D6C47E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {6763EB52-2762-4078-85CB-8F90875A6729} - \WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6A5BCC93-500E-412F-B89C-664C156B8A2C} - \Sthiwardnerzodom -> Nenhum Arquivo <==== ATENÇÃO
Task: {8934918A-F5F3-4477-961E-77D1BE4A18B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB2B6860-5991-434A-A6DF-FA92EB5839C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {E745A882-7BCA-4253-9FB5-236D02F01087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {E75B7C93-0BBF-47CB-9D06-988305E6C712} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {9F91D2F1-10AC-47BA-BC07-601D149F8358} - System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => pcalua.exe -a "C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe"
AlternateDataStreams: C:\ProgramData\Temp:862BDB1A [132]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A [132]
AlternateDataStreams: C:\Users\Todos os Usuários\Temp:B755D674 [158]
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1461778623064"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1464359625886"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "GUDelayStartup"
HKLM\...\StartupApproved\Run32: => "RemoteControl10"
C:\Program Files (x86)\Baidu Security
C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => -> Nenhum Arquivo
CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
S2 BepatSU; "C:\Users\Helder\AppData\Local\Temp\1\ttff.exe" /i [X] <==== ATENÇÃO
CMD: ipconfig /flushdns
Emptytemp:
reboot:
end

Em seguida, execute novamente a FRST, clique em Corrigir e aguarde.
Poste o log.

[]s.
heldeR25
heldeR25 Membro Junior Registrado
23 Mensagens 16 Curtidas
#48 Por heldeR25
25/03/2017 - 00:35
Komm disse:
Fez coisa diferente do que eu pedi na remoção pelo Ultra Adware Killer... mas deixa quieto.
O Baidu não está ativo na sua máquina. Estou removendo os restos que encontrei dele.

Vamos à fixlist da FRST:

Crie um arquivo de nome fixlist.txt no Notepad, copie para dentro dele o conteúdo do spoiler e o salve na Área de trabalho:
Tenha certeza de que a FRST está na Área de trabalho.

Use o seguinte fixlist na FRST:
"fixlist"

start
CreateRestorePoint:
CloseProcesses:
Task: {049CE5DD-872E-4E9A-8EE0-45B619D6C47E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {6763EB52-2762-4078-85CB-8F90875A6729} - \WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6A5BCC93-500E-412F-B89C-664C156B8A2C} - \Sthiwardnerzodom -> Nenhum Arquivo <==== ATENÇÃO
Task: {8934918A-F5F3-4477-961E-77D1BE4A18B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB2B6860-5991-434A-A6DF-FA92EB5839C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {E745A882-7BCA-4253-9FB5-236D02F01087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {E75B7C93-0BBF-47CB-9D06-988305E6C712} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {9F91D2F1-10AC-47BA-BC07-601D149F8358} - System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => pcalua.exe -a "C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe"
AlternateDataStreams: C:\ProgramData\Temp:862BDB1A [132]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A [132]
AlternateDataStreams: C:\Users\Todos os Usuários\Temp:B755D674 [158]
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1461778623064"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1464359625886"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "GUDelayStartup"
HKLM\...\StartupApproved\Run32: => "RemoteControl10"
C:\Program Files (x86)\Baidu Security
C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => -> Nenhum Arquivo
CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
S2 BepatSU; "C:\Users\Helder\AppData\Local\Temp\1\ttff.exe" /i [X] <==== ATENÇÃO
CMD: ipconfig /flushdns
Emptytemp:
reboot:
end

Em seguida, execute novamente a FRST, clique em Corrigir e aguarde.
Poste o log.

[]s.


olá,
pois bem, Criei um arquivo .txt, copiei para dentro dele o conteúdo do teu spolier, salvei com o nome fixlist e na área de tabalho. Confirmei que FRST estava na área de trabalho também, executei a FRST e apertei o botão corrigir. Ao final foi pedido uma reinicialização e reiniciei. O log gerado já se encontrava na área de trabalho com o nome Fixlog. Segue, então o Fixlog:
"log Fixlog"

Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 15-03-2017
Executado por Helder (24-03-2017 23:58:56) Run:1
Executando a partir de C:\Users\Helder\Desktop
Perfis Carregados: Helder (Perfis Disponíveis: Helder)
Modo da Inicialização: Normal
==============================================
fixlist Conteúdo:
*****************
start
CreateRestorePoint:
CloseProcesses:
Task: {049CE5DD-872E-4E9A-8EE0-45B619D6C47E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {6763EB52-2762-4078-85CB-8F90875A6729} - \WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6A5BCC93-500E-412F-B89C-664C156B8A2C} - \Sthiwardnerzodom -> Nenhum Arquivo <==== ATENÇÃO
Task: {8934918A-F5F3-4477-961E-77D1BE4A18B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB2B6860-5991-434A-A6DF-FA92EB5839C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {E745A882-7BCA-4253-9FB5-236D02F01087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {E75B7C93-0BBF-47CB-9D06-988305E6C712} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {9F91D2F1-10AC-47BA-BC07-601D149F8358} - System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => pcalua.exe -a "C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe"
AlternateDataStreams: C:\ProgramData\Temp:862BDB1A [132]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A [132]
AlternateDataStreams: C:\Users\Todos os Usuários\Temp:B755D674 [158]
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1461778623064"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1464359625886"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "GUDelayStartup"
HKLM\...\StartupApproved\Run32: => "RemoteControl10"
C:\Program Files (x86)\Baidu Security
C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => -> Nenhum Arquivo
CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
S2 BepatSU; "C:\Users\Helder\AppData\Local\Temp\1\ttff.exe" /i [X] <==== ATENÇÃO
CMD: ipconfig /flushdns
Emptytemp:
reboot:
end
*****************
Ponto de Restauração criado com sucesso.
Processos fechados com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{049CE5DD-872E-4E9A-8EE0-45B619D6C47E} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{049CE5DD-872E-4E9A-8EE0-45B619D6C47E} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxcontent => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6763EB52-2762-4078-85CB-8F90875A6729} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6763EB52-2762-4078-85CB-8F90875A6729} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6A5BCC93-500E-412F-B89C-664C156B8A2C} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6A5BCC93-500E-412F-B89C-664C156B8A2C} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sthiwardnerzodom => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8934918A-F5F3-4477-961E-77D1BE4A18B7} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8934918A-F5F3-4477-961E-77D1BE4A18B7} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\launchtrayprocess => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BB2B6860-5991-434A-A6DF-FA92EB5839C4} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB2B6860-5991-434A-A6DF-FA92EB5839C4} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxconfig => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E745A882-7BCA-4253-9FB5-236D02F01087} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E745A882-7BCA-4253-9FB5-236D02F01087} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E75B7C93-0BBF-47CB-9D06-988305E6C712} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E75B7C93-0BBF-47CB-9D06-988305E6C712} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9F91D2F1-10AC-47BA-BC07-601D149F8358} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F91D2F1-10AC-47BA-BC07-601D149F8358} => chave removido (a) com sucesso.
C:\WINDOWS\System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => chave removido (a) com sucesso.
C:\ProgramData\Temp => ":862BDB1A" ADS removido (a) com sucesso..
C:\ProgramData\Temp => ":B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A" ADS Não pode ser removido.
C:\Users\Todos os Usuários\Temp => ":B755D674" ADS removido (a) com sucesso..
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DIMBaixando a sua atualização...1461778623064 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DIMBaixando a sua atualização...1461778623064 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DIMBaixando a sua atualização...1464359625886 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DIMBaixando a sua atualização...1464359625886 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\GUDelayStartup => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\GUDelayStartup => valor não encontrado (a).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\RemoteControl10 => valor removido (a) com sucesso.
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RemoteControl10 => valor não encontrado (a).
C:\Program Files (x86)\Baidu Security => movido com sucesso
"C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe" => não encontrado (a).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\BaiduAntivirusIconLock => chave removido (a) com sucesso.
HKCR\CLSID\{0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => chave não encontrado (a).
HKLM\SOFTWARE\Policies\Google => chave removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer => chave removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\BepatSU => chave removido (a) com sucesso.
BepatSU => serviço removido (a) com sucesso.
========= ipconfig /flushdns =========

Configura‡Æo de IP do Windows
Libera‡Æo do Cache do DNS Resolver bem-sucedida.
========= Fim de CMD: =========

=========== EmptyTemp: ==========
BITS transfer queue => 5842492 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 1217792459 B
Java, Flash, Steam htmlcache => 2697 B
Windows/system/drivers => 171501933 B
Edge => 271409950 B
Chrome => 86573437 B
Firefox => 17861580 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1492597 B
systemprofile32 => 18455585 B
LocalService => 86100 B
NetworkService => -658 B
Helder => 84257639 B
RecycleBin => 6386659101 B
EmptyTemp: => 7.7 GB de dados temporários Removidos.
================================

O sistema precisou ser reiniciado.
==== Fim de Fixlog 00:09:21 ====


Aguardo contato!
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas
#49 Por TmfeijoMMonr...
25/03/2017 - 00:39
Bom dia ! Dileto regente pleno;autor

Nossa vc está parecendo o joram com toda paciência .
Bom ; no mais como está o sistema agora ? Já que resolvemos a fração Edge e agora o uso da FRST .

Abraços

heldeR25 disse:
olá,
pois bem, Criei um arquivo .txt, copiei para dentro dele o conteúdo do teu spolier, salvei com o nome fixlist e na área de tabalho. Confirmei que FRST estava na área de trabalho também, executei a FRST e apertei o botão corrigir. Ao final foi pedido uma reinicialização e reiniciei. O log gerado já se encontrava na área de trabalho com o nome Fixlog. Segue, então o Fixlog:
"log Fixlog"

Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 15-03-2017
Executado por Helder (24-03-2017 23:58:56) Run:1
Executando a partir de C:\Users\Helder\Desktop
Perfis Carregados: Helder (Perfis Disponíveis: Helder)
Modo da Inicialização: Normal
==============================================
fixlist Conteúdo:
*****************
start
CreateRestorePoint:
CloseProcesses:
Task: {049CE5DD-872E-4E9A-8EE0-45B619D6C47E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {6763EB52-2762-4078-85CB-8F90875A6729} - \WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 -> Nenhum Arquivo <==== ATENÇÃO
Task: {6A5BCC93-500E-412F-B89C-664C156B8A2C} - \Sthiwardnerzodom -> Nenhum Arquivo <==== ATENÇÃO
Task: {8934918A-F5F3-4477-961E-77D1BE4A18B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB2B6860-5991-434A-A6DF-FA92EB5839C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {E745A882-7BCA-4253-9FB5-236D02F01087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {E75B7C93-0BBF-47CB-9D06-988305E6C712} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Nenhum Arquivo <==== ATENÇÃO
Task: {9F91D2F1-10AC-47BA-BC07-601D149F8358} - System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => pcalua.exe -a "C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe"
AlternateDataStreams: C:\ProgramData\Temp:862BDB1A [132]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A [132]
AlternateDataStreams: C:\Users\Todos os Usuários\Temp:B755D674 [158]
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1461778623064"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "DIMBaixando a sua atualização...1464359625886"
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\...\StartupApproved\Run: => "GUDelayStartup"
HKLM\...\StartupApproved\Run32: => "RemoteControl10"
C:\Program Files (x86)\Baidu Security
C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => -> Nenhum Arquivo
CHR HKLM\SOFTWARE\Policies\Google: Restrição <======= ATENÇÃO
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <======= ATENÇÃO
S2 BepatSU; "C:\Users\Helder\AppData\Local\Temp\1\ttff.exe" /i [X] <==== ATENÇÃO
CMD: ipconfig /flushdns
Emptytemp:
reboot:
end
*****************
Ponto de Restauração criado com sucesso.
Processos fechados com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{049CE5DD-872E-4E9A-8EE0-45B619D6C47E} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{049CE5DD-872E-4E9A-8EE0-45B619D6C47E} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxcontent => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6763EB52-2762-4078-85CB-8F90875A6729} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6763EB52-2762-4078-85CB-8F90875A6729} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD\SqmUpload_S-1-5-21-2306744415-2254712149-2456193828-1001 => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6A5BCC93-500E-412F-B89C-664C156B8A2C} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6A5BCC93-500E-412F-B89C-664C156B8A2C} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sthiwardnerzodom => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8934918A-F5F3-4477-961E-77D1BE4A18B7} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8934918A-F5F3-4477-961E-77D1BE4A18B7} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\launchtrayprocess => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BB2B6860-5991-434A-A6DF-FA92EB5839C4} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB2B6860-5991-434A-A6DF-FA92EB5839C4} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxconfig => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E745A882-7BCA-4253-9FB5-236D02F01087} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E745A882-7BCA-4253-9FB5-236D02F01087} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E75B7C93-0BBF-47CB-9D06-988305E6C712} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E75B7C93-0BBF-47CB-9D06-988305E6C712} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9F91D2F1-10AC-47BA-BC07-601D149F8358} => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F91D2F1-10AC-47BA-BC07-601D149F8358} => chave removido (a) com sucesso.
C:\WINDOWS\System32\Tasks\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => movido com sucesso
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F2936E74-CE3B-4544-BFAF-2342EB95F4A4} => chave removido (a) com sucesso.
C:\ProgramData\Temp => ":862BDB1A" ADS removido (a) com sucesso..
C:\ProgramData\Temp => ":B755D674 [158]AlternateDataStreams: C:\Users\Todos os Usuários\Temp:862BDB1A" ADS Não pode ser removido.
C:\Users\Todos os Usuários\Temp => ":B755D674" ADS removido (a) com sucesso..
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DIMBaixando a sua atualização...1461778623064 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DIMBaixando a sua atualização...1461778623064 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DIMBaixando a sua atualização...1464359625886 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DIMBaixando a sua atualização...1464359625886 => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\GUDelayStartup => valor removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\GUDelayStartup => valor não encontrado (a).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\RemoteControl10 => valor removido (a) com sucesso.
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RemoteControl10 => valor não encontrado (a).
C:\Program Files (x86)\Baidu Security => movido com sucesso
"C:\Program Files (x86)\Baidu-Security-2014-4.4.4.73687\Baidu Antivirus\Uninstall.exe" => não encontrado (a).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\BaiduAntivirusIconLock => chave removido (a) com sucesso.
HKCR\CLSID\{0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => chave não encontrado (a).
HKLM\SOFTWARE\Policies\Google => chave removido (a) com sucesso.
HKU\S-1-5-21-2306744415-2254712149-2456193828-1001\SOFTWARE\Policies\Microsoft\Internet Explorer => chave removido (a) com sucesso.
HKLM\System\CurrentControlSet\Services\BepatSU => chave removido (a) com sucesso.
BepatSU => serviço removido (a) com sucesso.
========= ipconfig /flushdns =========

Configura‡Æo de IP do Windows
Libera‡Æo do Cache do DNS Resolver bem-sucedida.
========= Fim de CMD: =========

=========== EmptyTemp: ==========
BITS transfer queue => 5842492 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 1217792459 B
Java, Flash, Steam htmlcache => 2697 B
Windows/system/drivers => 171501933 B
Edge => 271409950 B
Chrome => 86573437 B
Firefox => 17861580 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1492597 B
systemprofile32 => 18455585 B
LocalService => 86100 B
NetworkService => -658 B
Helder => 84257639 B
RecycleBin => 6386659101 B
EmptyTemp: => 7.7 GB de dados temporários Removidos.
================================

O sistema precisou ser reiniciado.
==== Fim de Fixlog 00:09:21 ====


Aguardo contato!
heldeR25
heldeR25 Membro Junior Registrado
23 Mensagens 16 Curtidas
#50 Por heldeR25
25/03/2017 - 00:54
TmfeijoMMonroe disse:
Bom dia ! Dileto regente pleno;autor

Nossa vc está parecendo o joram com toda paciência .
Bom ; no mais como está o sistema agora ? Já que resolvemos a fração Edge e agora o uso da FRST .

Abraços

Olá, enquanto ao Joram, vi algumas de suas atividades por aqui na comunidade, mas espero que a comparação tenha sido elogiosa (hahaha)!!
Mas respondendo a tua pergunta, no meu sentimento tanto o sistema como o edge (e os outros navegadores) estão a funcionar adequadamente, ou pelo menos não houve tempo hábil para detectar alguma anormalidade! Estes últimos procedimentos me parecem ser para "aparar as arestas".
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas
#52 Por TmfeijoMMonr...
25/03/2017 - 01:00
Bom dia ! Dileto regente autor

Bom; como de praxe execute a DEL FIX; marcando apenas desinstalar ferramentas de desinfecção .

Prezado autor; é para remover a FRST .

Ps : Não marcar as opções redefinir configurações do sistema e limpar pontos de restauração .


Abraços

heldeR25 disse:
Olá, enquanto ao Joram, vi algumas de suas atividades por aqui na comunidade, mas espero que a comparação tenha sido elogiosa (hahaha)!!
Mas respondendo a tua pergunta, no meu sentimento tanto o sistema como o edge (e os outros navegadores) estão a funcionar adequadamente, ou pelo menos não houve tempo hábil para detectar alguma anormalidade! Estes últimos procedimentos me parecem ser para "aparar as arestas".
heldeR25
heldeR25 Membro Junior Registrado
23 Mensagens 16 Curtidas
#53 Por heldeR25
25/03/2017 - 10:11
Olá!
Vamos lá:


Bom dia ! Dileto regente autor

Bom; como de praxe execute a DEL FIX; marcando apenas desinstalar ferramentas de desinfecção .

Prezado autor; é para remover a FRST .

Ps : Não marcar as opções redefinir configurações do sistema e limpar pontos de restauração .


Orientações devidamente seguidas!!


Há mais algumas coisas que poderia mexer (legendas, shareit) e erros nos logs do sistema, mas por hora dou-me por satisfeito.

Bem, confesso que fiquei tentando em dar prosseguimento, mas por hora também estou (bem) satisfeito!!
Pessoal, agradeço demais o auxílio e empenho de vocês!! Salvaram uma vida!!
Caso resolvido!boa.gifboa.gifcomemorando.gifcomemorando.gifrindo_atoa.gif
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#54 Por joram
25/03/2017 - 10:32
/_ heldeR25 _\
heldeR25 disse:
Olá, enquanto ao Joram, vi algumas de suas atividades por aqui na comunidade, mas espero que a comparação tenha sido elogiosa (hahaha)!!

> Se não for,o Tmfeijo sabe que o "coro canta". rsrs... big_green.png

> Mas...pelo que vi nestes Posts,a infecção foi browser hijacker e do tipo que configura proxy malicioso.
> E,pela FRST inicial,sua fixlist evitaria muitas ferramentas desnecessárias que resumiria a solução deste caso.
> Por motivos particulares,não pude colaborar,mas o Komm foi brilhante e soube confeccionar a fixlist.
FirewallRules: [{C5A40E9A-9EA8-40D6-A625-BE1736E37734}] => (Allow) C:\ProgramData\Microsoft\Network\Dsq\network\sysnetwk.exe

> Restou,esta regra ao Firewall que vc deve bloquear já que trata-se de arquivo malicioso e ligado ao proxy que foi configurado.

C:\ProgramData\Microsoft\Network\Dsq\network\sysnetwk.exe
C:\ProgramData\Microsoft\Network\Dsq\network << Delete!
C:\ProgramData\Microsoft\Network\Dsq << Delete!
---
---
> Delete o arquivo e pastas,caso os encontre!
> No mais....bom trabalho! bom_trabalho.gif

[Abs]
heldeR25
heldeR25 Membro Junior Registrado
23 Mensagens 16 Curtidas
#55 Por heldeR25
25/03/2017 - 11:22
joram disse:
/_ heldeR25 _\

> Se não for,o Tmfeijo sabe que o "coro canta". rsrs... big_green.png

> Mas...pelo que vi nestes Posts,a infecção foi browser hijacker e do tipo que configura proxy malicioso.
> E,pela FRST inicial,sua fixlist evitaria muitas ferramentas desnecessárias que resumiria a solução deste caso.
> Por motivos particulares,não pude colaborar,mas o Komm foi brilhante e soube confeccionar a fixlist.

> Restou,esta regra ao Firewall que vc deve bloquear já que trata-se de arquivo malicioso e ligado ao proxy que foi configurado.

C:\ProgramData\Microsoft\Network\Dsq\network\sysnetwk.exe
C:\ProgramData\Microsoft\Network\Dsq\network << Delete!
C:\ProgramData\Microsoft\Network\Dsq << Delete!
---
---
> Delete o arquivo e pastas,caso os encontre!
> No mais....bom trabalho! bom_trabalho.gif

[Abs]

Olá!!
Continuemos então, pois toda contribuição é muito bem vinda!
Pois bem joram (Zumbi?? hahaha) fiz o que orientou e como podes ver na imagem abaixo não se encontram os arquivos mencionados! Não sei se procedi corretamente, pois fui simplesmente acessando as pastas normalmente exibindo as pastas ocultas, obviamente (C:>ProgramData>Microsoft>Network e não há a pasta Dsq). É assim mesmo???

Aguardo contato!

Anexos

Orientação JORAM.png
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#56 Por joram
25/03/2017 - 17:10
/_ heldeR25 _\

Foi por isso que disse: caso os encontre
Pois,normalmente,costumam ser detectados por procedimentos automáticos onde a Eset e MBAM,podem remover estes objetos.
Mas a configuração ao Firewall fica setada (Allow) e,caso seja de seu interesse,procure removê-la ou bloqueá-la.
Ps: Neste tipo de infecção,as configurações da Firewall devem ser vistas para os localizar,pois são arquivos que mantêm proxy maliciosos. São,praticamente, invisíveis aos antivírus pois adotam nomenclatura da Microsoft para dificultar a detecção e tornando sem efeito,qualquer remoção ao proxy.
O navegaki.com é outro hijacker que adota semelhante ação,em suas variantes mais recentes. Mas existem outros,onde todo cuidado é pouco!

[Abs]
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal