Esses dias na net, andei pesquisando um arquivo, acabei caindo numa "armadilha" que era de se esperar, peguei vários tipos de malwares e adwares, mas tem um que não consegui remover ainda, mesmo passando ADWCleaner, Malwarebytes e o RogueKiller... Do nada abre uma nova aba com o link, newpoptab.com onde automaticamente redireciona para sites do tipo propagandas, ou pop-ups.
FRST: http://www.cjoint.com/c/ELbvSqyvbBU
Addition: http://www.cjoint.com/c/ELbvSOcGTAU
Link do site: www.newpoptab.com/watch?key=60fd53c3a2cbae821bd2f3056f84047d
- Home
- >
- Fórum
- >
- Windows, Softwa...
- >
- Análise de log,...
- >
- Vírus que não sai do chro...
G@BR!EL LUPP& disse: Esses dias na net, andei pesquisando um arquivo, acabei caindo numa "armadilha" que era de se esperar, peguei vários tipos de malwares e adwares, mas tem um que não consegui remover ainda, mesmo passando ADWCleaner, Malwarebytes e o RogueKiller... Do nada abre uma nova aba com o link, newpoptab.com onde automaticamente redireciona para sites do tipo propagandas, ou pop-ups.
FRST: http://www.cjoint.com/c/ELbvSqyvbBU
Addition: http://www.cjoint.com/c/ELbvSOcGTAU
Link do site: www.newpoptab.com/watch?key=60fd53c3a2cbae821bd2f3056f84047d
Oi Gabriel
Use o Zoek/
Acesse este link abaixo e clique no primeiro botão da esquerda que é o botão Download Zoek.exe:
http://www.hijackthis.nl/smeenk/
*Clique com o botão direito do mouse no Zoek.exe e selecione EXECUTAR como administrador/ certos antivírus podem bloquear o download; desative temporáriamente por 15 minutos
* Copie todo este texto destacado em vermelho abaixo e cole-o no espaço em branco do Zoek:
createsrpoint;
autoclean;
emptyalltemp;
iedefaults;
resetieproxy;
resethosts;
shortcutfix;
ffdefaults;
firefoxlook;
reset chrome;
chrdefaults;
chromelook;
*Clique [Run Script]
Eu não dei reset porque já havia feito isso e não deu em nada.
E não resolveu ainda, abri o chrome e logo depois já abriu uma aba redirecionando para sites de propagandas, mas agradeço a ajuda ainda.
Eu esqueci de citar, que também usei o HitmanPro, apagou várias ameaças, mas nada feito ainda. Será que uma reinstalação do chrome resolveria de vez, ou ainda é cedo?
1) Copie todo a linha em azul abaixo:
start
CreateRestorePoint:
cmd: ipconfig /flushdns
AutoConfigURL: [S-1-5-21-3925143147-219686701-2106125166-1001] => hxxp://unstopp.me/wpad.dat?3e47386bdd90558150f67f47397e81042019759
C:\Users\Gabriel\AppData\Local\Temp\dllnt_dump.dll
C:\Users\Gabriel\AppData\Local\Temp\Quarantine.exe
C:\Users\Gabriel\AppData\Local\Temp\sqlite3.dll
C:\Users\Gabriel\AppData\Local\Temp\tmpAF66.tmp.exe
C:\Users\Todos os Usuários\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {571ADE6F-F9BF-4AF2-B3AC-4444491328FA} - \Comp Rest -> Nenhum Arquivo
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
end
2) Abra o bloco de notas, e cole e salve com nome Fixlist.txt, salve no mesmo local onde está a ferramenta FRST.exe
Execute a ferramenta FRST.exe e clique no botão Fix, ao termino abri-ra um relatório copie e cole aqui em seu tópico.
Executado por Gabriel (2015-12-01 22:48:12) Run:1
Executando a partir de C:\Users\Gabriel\Desktop
Perfis Carregados: Gabriel (Perfis Disponíveis: Gabriel)
Modo da Inicialização: Normal
==============================================
fixlist Conteúdo:
*****************
start
CreateRestorePoint:
cmd: ipconfig /flushdns
AutoConfigURL: [S-1-5-21-3925143147-219686701-2106125166-1001] => hxxp://unstopp.me/wpad.dat?3e47386bdd90558150f67f47397e81042019759
C:\Users\Gabriel\AppData\Local\Temp\dllnt_dump.dll
C:\Users\Gabriel\AppData\Local\Temp\Quarantine.exe
C:\Users\Gabriel\AppData\Local\Temp\sqlite3.dll
C:\Users\Gabriel\AppData\Local\Temp\tmpAF66.tmp.exe
C:\Users\Todos os Usuários\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {571ADE6F-F9BF-4AF2-B3AC-4444491328FA} - \Comp Rest -> Nenhum Arquivo
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
end
*****************
Ponto de Restauração criado com sucesso.
========= ipconfig /flushdns =========
Configura??o de IP do Windows
Libera??o do Cache do DNS Resolver bem-sucedida.
========= Fim de CMD: =========
HKU\S-1-5-21-3925143147-219686701-2106125166-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valor removido (a) com sucesso.
"C:\Users\Gabriel\AppData\Local\Temp\dllnt_dump.dll" => não encontrado (a).
"C:\Users\Gabriel\AppData\Local\Temp\Quarantine.exe" => não encontrado (a).
"C:\Users\Gabriel\AppData\Local\Temp\sqlite3.dll" => não encontrado (a).
"C:\Users\Gabriel\AppData\Local\Temp\tmpAF66.tmp.exe" => não encontrado (a).
"C:\Users\Todos os Usuários\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat" => não encontrado (a).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{571ADE6F-F9BF-4AF2-B3AC-4444491328FA}" => chave removido (a) com sucesso.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{571ADE6F-F9BF-4AF2-B3AC-4444491328FA}" => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Comp Rest => chave não encontrado (a).
C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => Atalho argumento removido (a) com sucesso..
C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => Atalho argumento removido (a) com sucesso..
C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk => Atalho argumento removido (a) com sucesso..
==== Fim de Fixlog 22:48:32 ====
---------------------------------------
Executado por Gabriel (2015-12-01 22:48:12) Run:1
Executando a partir de C:\Users\Gabriel\Desktop
Perfis Carregados: Gabriel (Perfis Disponíveis: Gabriel)
Modo da Inicialização: Normal
==============================================
fixlist Conteúdo:
*****************
start
CreateRestorePoint:
cmd: ipconfig /flushdns
AutoConfigURL: [S-1-5-21-3925143147-219686701-2106125166-1001] => hxxp://unstopp.me/wpad.dat?3e47386bdd90558150f67f47397e81042019759
C:\Users\Gabriel\AppData\Local\Temp\dllnt_dump.dll
C:\Users\Gabriel\AppData\Local\Temp\Quarantine.exe
C:\Users\Gabriel\AppData\Local\Temp\sqlite3.dll
C:\Users\Gabriel\AppData\Local\Temp\tmpAF66.tmp.exe
C:\Users\Todos os Usuários\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {571ADE6F-F9BF-4AF2-B3AC-4444491328FA} - \Comp Rest -> Nenhum Arquivo
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
ShortcutWithArgument: C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1448673802&a=1031372" <==== ATENÇÃO
end
*****************
Ponto de Restauração criado com sucesso.
========= ipconfig /flushdns =========
Configura??o de IP do Windows
Libera??o do Cache do DNS Resolver bem-sucedida.
========= Fim de CMD: =========
HKU\S-1-5-21-3925143147-219686701-2106125166-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valor removido (a) com sucesso.
"C:\Users\Gabriel\AppData\Local\Temp\dllnt_dump.dll" => não encontrado (a).
"C:\Users\Gabriel\AppData\Local\Temp\Quarantine.exe" => não encontrado (a).
"C:\Users\Gabriel\AppData\Local\Temp\sqlite3.dll" => não encontrado (a).
"C:\Users\Gabriel\AppData\Local\Temp\tmpAF66.tmp.exe" => não encontrado (a).
"C:\Users\Todos os Usuários\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat" => não encontrado (a).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{571ADE6F-F9BF-4AF2-B3AC-4444491328FA}" => chave removido (a) com sucesso.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{571ADE6F-F9BF-4AF2-B3AC-4444491328FA}" => chave removido (a) com sucesso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Comp Rest => chave não encontrado (a).
C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => Atalho argumento removido (a) com sucesso..
C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => Atalho argumento removido (a) com sucesso..
C:\Users\Gabriel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk => Atalho argumento removido (a) com sucesso..
==== Fim de Fixlog 22:48:32 ====
Como está os navegadores ?
Faça um novo scan de Farbar Recovery Scan Tool, e cole seu relatório.
Continua na mesma...Esse maldito newpoptab não sai de jeito nenhum...
FRST: http://www.cjoint.com/c/ELccNdNh5gU
Addition: http://www.cjoint.com/c/ELccNvQJiXU
Bom dia ! G@BRIEL LUPP@
Siga as instruções dos nossos colegas . Mas rode tbm o eset on line :
http://www.eset.com.br/online-scanner
Marque todas as opções em configurações avançadas .
Abraços
==============================
Olá Gabriel!!
Seu relatório de FRST, não se encontra nenhuma entrada de newpoptab.com, pois já foi removido pelo Zoek solicitado pelo membro Edutango.
Ele adicionou em seu script do Zoek para resetar os dois navegadores Chrome e Firefox, que certamente resolve o problema facilmente!
Eu já peguei casos com esse Adware newpoptab.com, para revolver foi apenas resetar os navegadores, muito simples!
A única entrada de registro contaminada muito seria que eu removi pelo FRST.exe foi essa abaixo:
AutoConfigURL: [S-1-5-21-3925143147-219686701-2106125166-1001] => hxxp://unstopp.me/wpad.dat?3e47386bdd90558150f67f47397e81042019759 <-- pertence ao adware newpoptab.com
Não vejo mais nada em seu relatórios sobre essa contaminação, creio que resolveu seu problema e você está de sacanagem com os membros que perdem seu tempo precioso ajudando os outros aqui no Fórum.
Esses dias na net, andei pesquisando um arquivo, acabei caindo numa "armadilha" que era de se esperar, peguei vários tipos de malwares e adwares, mas tem um que não consegui remover ainda, mesmo passando ADWCleaner, Malwarebytes e o RogueKiller... Do nada abre uma nova aba com o link, newpoptab.com onde automaticamente redireciona para sites do tipo propagandas, ou pop-ups.
Na verdade o ADWCleaner, remove facilmente essa praga -> newpoptab.com
Mais nada a fazer.., Até um abraço!
Opa! #Leandro#
> Vamos com calma,pois sua análise ao computador do Membro ficou incompleta,restando o concurso de algumas ferramentas,onde a adwcleaner que citou deveria ter sido pedida + a JRT + ZHPCleaner.
> Não podemos descartar a possibilidade do Modem/Roteador terem sido alterados em sua configuração de DNS.
> Acusar o Membro foi prematuro de sua parte,pois não queimastes todos os "cartuchos".
newpoptab;a
newpoptab;z
> Este script na Zoek,seria adequado para obter informações sobre a presença do malware no PC.
A+
G@BR!EL LUPP& disse: Continua na mesma...Esse maldito newpoptab não sai de jeito nenhum...
FRST: http://www.cjoint.com/c/ELccNdNh5gU
Addition: http://www.cjoint.com/c/ELccNvQJiXU
Boa dia!
Dá uma olhada neste tutorial, meu primo resolveu o problema dele assim!
http://comoexcluir.logikaijatekok.org/melhor-tutorial-excluir-newpoptab-com-e-limpar-seu-pc-laptops
Boa sorte!
Boa tarde ! #Leandro#
Seria bom o user rodar a DDS para tanto ratificar a existência ainda . Concorda ?
Se vc quiser autor do tópico G@BRIEL LUPP@ ; rode o eset on line cfe. já sugerido por mim acima e a DDS :
http://www.bleepingcomputer.com/download/dds/
PS : A infecção newpoptab.com pode ter voltado também!
Abraços
#Leandro# disse: Tmfeijo!!., o caso dele já foi resolvido leia abaixo em minha explicação, você vai cair em uma armadilha e perde seu tempo!
==============================
Olá Gabriel!!
Seu relatório de FRST, não se encontra nenhuma entrada de newpoptab.com, pois já foi removido pelo Zoek solicitado pelo membro Edutango.
Ele adicionou em seu script do Zoek para resetar os dois navegadores Chrome e Firefox, que certamente resolve o problema facilmente!
Eu já peguei casos com esse Adware newpoptab.com, para revolver foi apenas resetar os navegadores, muito simples!
A única entrada de registro contaminada muito seria que eu removi pelo FRST.exe foi essa abaixo:
AutoConfigURL: [S-1-5-21-3925143147-219686701-2106125166-1001] => hxxp://unstopp.me/wpad.dat?3e47386bdd90558150f67f47397e81042019759 <-- pertence ao adware newpoptab.com
Não vejo mais nada em seu relatórios sobre essa contaminação, creio que resolveu seu problema e você está de sacanagem com os membros que perdem seu tempo precioso ajudando os outros aqui no Fórum.
Na verdade o ADWCleaner, remove facilmente essa praga -> newpoptab.com
Mais nada a fazer.., Até um abraço!
Olá Tmfeijo!
Faça o seguinte.., Solicita ao autor do tópico executar o Junkware Removal Tool e AWDCleaner e postar os relatórios!
Essas duas ferramentas vai ser a contra prova, essas ferramentas resolve o problema junto com Malwaresbytes, caso o autor afirmar que não resolveu o problema, eu te aconselho a cai fora desse tópico, pois você estará perdendo tempo precioso para ajudar quem precisa de verdade!
Boa tarde ! G@BRIEL LUPP@
Vamos seguir à risca então - leia - se recomeçar uma análise .
Adwcleanner e JRT cfe. o #Leandro# citou acima . E por enquanto também o eset on line .
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/junkware-removal-tool/
http://www.eset.com.br/online-scanner
À nível de configurações para o eset on line :
Marque todas as opções em configurações avançadas !
Abraços
#Leandro# disse: Olá Tmfeijo!
Faça o seguinte.., Solicita ao autor do tópico executar o Junkware Removal Tool e AWDCleaner e postar os relatórios!
Essas duas ferramentas vai ser a contra prova, essas ferramentas resolve o problema junto com Malwaresbytes, caso o autor afirmar que não resolveu o problema, eu te aconselho a cai fora desse tópico, pois você estará perdendo tempo precioso para ajudar quem precisa de verdade!
O vírus ainda permanece sim, e já havia rodando o JRT e rodei de novo e achou nada, o mesmo para o AdwCleaner então nem preciso postar o relatório dele, mas do JRT achou só uma entrada maliciosa
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.1 (11.24.2015)
Operating System: Windows 8.1 Pro x64
Ran by Gabriel (Administrator) on 02/12/2015 at 16:25:25,02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File System: 1
Successfully deleted: C:\WINDOWS\system32\Tasks\SmartDefrag3_Startup (Task)
Registry: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 02/12/2015 at 16:26:25,25
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
joram disse: Opa! #Leandro#
newpoptab;a
newpoptab;z
A+
Rodei esse script e o Zoek não encontrou nada relacionado...Ou seja, está muito estranho ainda...
caxorroloko disse: Boa dia!
Dá uma olhada neste tutorial, meu primo resolveu o problema dele assim!
http://comoexcluir.logikaijatekok.org/melhor-tutorial-excluir-newpoptab-com-e-limpar-seu-pc-laptops
Boa sorte!
Já procurei na net sobre esse newpoptab e já segui alguns tutorias, mas não consegui remover ainda, mesmo porque ele não cria uma extensão no Chrome. Já apaguei algumas extensões desconhecidas que estavam na pasta AppData Google Chrome UserData Default Extensions e mesmo assim ele ainda permanece no navegador.
------------------------------
Sobre o ESET, ainda não tentei, vou rodá-lo mais tarde, porque o Scan dele demora muito. Logo quando acabar posto o log dele.
E só mais uma coisa, agora pouco abri o Chrome e já abriu essa página: express-player.com/land/ Parece que é um malware ou adware indestrutível que fica redirecionado para várias páginas de publicidade e propagandas.
Eu já limpei um notebook meu que estava empesteado de pragas, e resolvei usando várias ferramentas, agora esse vírus no meu PC, nunca via nada igual, nenhuma ferramenta é capaz de remover toatalmente...