Zoek

Question

Apresento &agrave; todos a ferramenta Zoek. Este &eacute; o primeiro tutorial sobre esta ferramenta em f&oacute;runs brasileiros.

Trata-se de uma ferramenta holandesa, criada por [COLOR=Blue]Smeenk[/COLOR], e usada na remo&ccedil;&atilde;o de malwares, bem como capaz de realizar outras fun&ccedil;&otilde;es. Trata-se de uma ferramenta bastante antiga, que sofreu muitas modifica&ccedil;&otilde;es.

Ela &eacute; compat&iacute;vel com todas vers&otilde;es do Windows.

[COLOR=Purple]Link para download[/COLOR]

Os usu&aacute;rios dos Windows Vista, 7 e 8, devem clicar com o bot&atilde;o direito do mouse no Zoek e selecionar https://www.hardware.com.br/static/c/m/3be632f976b4e4eb6d824a20c3fcfd76.

Este tutorial ser&aacute; dividido em 3 partes. Nesta primeira parte, informarei os procedimentos b&aacute;sicos. Na parte 2, irei disponibilizar alguns scripts extras que n&atilde;o s&atilde;o vis&iacute;veis bem como atalhos para as op&ccedil;&otilde;es aqui listadas. Assim, estes scripts ser&atilde;o fornecidos conforme o estudo da ferramenta avan&ccedil;ar. Por fim, na parte 3 ser&atilde;o disponibilizados os scripts para fix de alguns achados que n&atilde;o foram removidos durante o [COLOR=DarkRed]Auto Clean[/COLOR] (veja mais abaixo) da ferramenta. Esta parte 3 tamb&eacute;m est&aacute; em crescimento conforme estudos.

Ao abrir o Zoek, vc ter&aacute; a imagem abaixo:

https://www.hardware.com.br/static/c/m/e6ae18a3b1468b864cca8de038c3613d

Clicando em Options ser&atilde;o disponibilizados alguns scripts b&aacute;sicos conforme mostra a figura abaixo:

https://www.hardware.com.br/static/c/m/c540acc27539fd0bf515ec6e6ae53127

Basta selecionar uma ou mais op&ccedil;&otilde;es e clicar em [Run Script].

Durante o scan a mensagem abaixo ser&aacute; apresentada. Aguarde o t&eacute;rmino...pode demorar dependendo do n&uacute;mero e de quais op&ccedil;&otilde;es forem selecionadas.

Zoek.exe is running now.
Do not start any browser windows, they will be closed automatically.
Please wait! This window will close when finished.
A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log
Ao t&eacute;rmino o relat&oacute;rio final ser&aacute; apresentado.

Vamos a uma descri&ccedil;&atilde;o r&aacute;pida das op&ccedil;&otilde;es b&aacute;sicas dispon&iacute;veis.

:veja: [COLOR=DarkRed]Running Processes[/COLOR] => Lista os processos ativos. Nesta op&ccedil;&atilde;o um novo ponto de restaura&ccedil;&atilde;o ser&aacute; criado.

Zoek.exe Version 4.0.0.4 Updated 07-August-2013
    Tool run by wings on 08/08/2013 at 21:41:18,85.
    Microsoft Windows 7 Professional  6.1.7601 Service Pack 1 x86
    Running in: Normal Mode Internet Access Detected
    Launched: C:\Users\wings\Desktop\zoek.exe  [Checkboxes used]
     
    ==== Running Processes ======================
     
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe -k DcomLaunch
    C:\Windows\system32\svchost.exe -k RPCSS
    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
    C:\Windows\system32\svchost.exe -k LocalService
    C:\Windows\system32\svchost.exe -k netsvcs
    C:\Windows\system32\svchost.exe -k GPSvcGroup
    C:\Windows\system32\svchost.exe -k NetworkService
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
    C:\Windows\system32	askhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
    C:\Windows\system32\svchost.exe -k imgsvc
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Windows\System32\sistray.exe
    C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\System32\svchost.exe -k LocalServicePeerNet
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\System32\svchost.exe -k secsvcs
    C:\Users\wings\Desktop\zoek.exe
    C:\Windows\system32\conhost.exe
    C:\Windows\System32\WUDFHost.exe
    C:\Windows\system32\mspaint.exe
    C:\Windows\system32	askhost.exe
    C:\Windows\system32\wbem\wmiprvse.exe
     
    ==== System Restore Info ======================
     
    08/08/2013 21:46:36 Zoek.exe System Restore Point Created Succesfully.
     
    ==== EOF on 08/08/2013 at 21:46:45,31 ======================:veja: [COLOR=DarkRed]Recently Created[/COLOR] => arquivos recentemente criados e/ou modificados

==== Files Recently Created / Modified ======================
     
    ====== C:\Windows ====
    2013-08-08 04:27:45    09698894CC29EA2E125F4FAD8CCE44E7    173289789    ----a-w-    C:\Windows\MEMORY.DMP
    ====== C:\Users\wings\AppData\Local\Temp ====
    ====== C:\Windows\system32 =====
    2013-08-06 18:43:58    F3BB704BBADF329631E9430ACC68E7E0    319576    ----a-w-    C:\Windows\System32\FNTCACHE.DAT
    ====== C:\Windows\system32\drivers =====
    ====== C:\Windows\Tasks ======
    ====== C:\Windows\Temp ======
    ======= C:\Program Files =====
    2013-08-03 04:03:22    --------    d-----w-    C:\Program Files\ZebHelpProcess
    ======= C: =====
    ====== C:\Users\wings\AppData\Roaming ======
    2013-08-08 21:35:05    3F7CE24575F12942932829B62EE58566    63536    ----a-w-    C:\users\wings\AppData\Local\GDIPFONTCACHEV1.DAT
    2013-07-10 22:01:40    --------    d-----w-    C:\users\wings\AppData\Local\Temp:veja: [COLOR=DarkRed]Startup Information[/COLOR] => fornece informa&ccedil;&otilde;es da inicializa&ccedil;&atilde;o tais como entradas no registro, pastas e arquivos.

==== Startup Registry Enabled ======================
     
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
    Sidebar=%ProgramFiles%\Windows\Sidebar.exe /autoRun
     
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
    Sidebar=%ProgramFiles%\Windows\Sidebar.exe /autoRun
     
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    mctadmin=C:\Windows\System32\mctadmin.exe
     
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    mctadmin=C:\Windows\System32\mctadmin.exe
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    SiSPower=Rundll32.exe SiSPower.dll,ModeAgent
    SMSERIAL=C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
     
    ==== Startup Folders ======================
     
    2013-02-27 17:20:49    1804    ----a-w-    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Utility Tray.lnk
     
    ==== EOF on 08/08/2013 at 21:54:51,45 ======================:veja: [COLOR=DarkRed]Installed Programs[/COLOR] => Lista os programas instalados

==== Installed Programs ======================
     
    Arquivo do WinRAR   
    Free eXPert PDF Reader   
    JMicron Flash Media Controller Driver   
    Microsoft .NET Framework 4 Client Profile   
    Microsoft .NET Framework 4 Client Profile PTB Language Pack   
    Microsoft Office Professional Edi&Dagger;&AElig;o 2003   
    Motorola SM56 Speakerphone Modem   
    Mozilla Firefox 23.0 (x86 pt-BR)   
    Mozilla Maintenance Service   
    Pacote de Compatibilidade para o sistema Office 2007   
    Pacote de Idiomas do Microsoft .NET Framework 4 Client Profile - Portugu&circ;s (Brasil)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2789642)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2804576)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2835393)   
    Security Update for Microsoft .NET Framework 4 Client Profile (KB2840628)   
    Update for Microsoft .NET Framework 4 Client Profile (KB2468871)   
    Update for Microsoft .NET Framework 4 Client Profile (KB2533523)   
    Update for Microsoft .NET Framework 4 Client Profile (KB2600217)   
    Update for Microsoft .NET Framework 4 Client Profile (KB2836939)   
    Visual BCD :veja: [COLOR=DarkRed]HijackThis Log[/COLOR] => gera um log do hijack. N&atilde;o &eacute; preciso o hijack estar instalado para usar este script.

:veja: [COLOR=DarkRed]Firefox Look[/COLOR] e [COLOR=DarkRed]Chrome Look[/COLOR] => fornecem informa&ccedil;&otilde;es dos respectivos navegadores tais como: extens&otilde;es, plugins, etc...

==== Firefox Extensions ======================
     
    ProfilePath: C:\Users\wings\AppData\Roaming\Mozilla\Firefox\Profiles\bsmjgjmx.default
    - Memory Fox - %ProfilePath%\extensions\{E173B749-DB5B-4fd2-BA0E-94ECEA0CA55B}
    - Adblock Plus - %ProfilePath%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
     
    ==== Firefox Plugins ======================
:veja: [COLOR=DarkRed]System Specs[/COLOR] => fornece informa&ccedil;&otilde;es do sistema tais como: sistema operacional, mem&oacute;ria ram, HD, adaptadores, placa m&atilde;e, linguagem usada no sistema, vers&atilde;o do IE, Java, etc...

:veja: [COLOR=DarkRed]Silent Runners[/COLOR] => utiliza o j&aacute; conhecido Silent Runners ( http://www.silentrunners.org/thescript.html ), onde ser&atilde;o fornecidas informa&ccedil;&otilde;es das entradas no registro relacionadas com a inicializa&ccedil;&atilde;o do Windows.

:veja: [COLOR=DarkRed]Firefox Defaults[/COLOR] => restaura para o estado inicial do Firefox

:veja: [COLOR=DarkRed]Reset Chrome[/COLOR] => reseta o Google Chrome

:veja: [COLOR=DarkRed]Reset IE Proxy[/COLOR] => reseta as configura&ccedil;&otilde;es de proxy no Internet Explorer

:veja: [COLOR=DarkRed]Empty Temp Folders[/COLOR] => limpa as pastas tempor&aacute;rias

:veja: [COLOR=DarkRed]System Restore Point[/COLOR] => cria um novo ponto de restaura&ccedil;&atilde;o

:veja: [COLOR=DarkRed]System Restore Info[/COLOR] => informa os pontos de restaura&ccedil;&atilde;o existentes

======== System Restore Points ========
     
    RP147: 30/07/2013 10:48:36 - Windows Update
    RP148: 01/08/2013 09:06:02 - Windows Update
    RP149: 01/08/2013 09:07:03 - Windows Update
    RP150: 01/08/2013 09:11:34 - Windows Update
:veja: [COLOR=DarkRed]Reset System Restore[/COLOR] => Todos os pontos de restaura&ccedil;&atilde;o ser&atilde;o removidos e um novo ponto ser&aacute; criado. Ao usar esta fun&ccedil;&atilde;o, a reinicializa&ccedil;&atilde;o ser&aacute; solicitada. Clique [OK] para reiniciar o PC.

==== System Restore Info ======================
     
    08/08/2013 22:25:13 System Restore is disabled.
    Launched: C:\Users\wings\Desktop\zoek.exe  [Checkboxes used]
     
    ==== After Reboot ======================
     
    ==== System Restore Info ======================
     
    08/08/2013 22:28:43 Zoek.exe System Restore Point Created Succesfully.:veja: [COLOR=DarkRed]Shortcut Fix[/COLOR] => lista atalhos no desktop, na barra de inicializa&ccedil;&atilde;o r&aacute;pida, podendo remover  atalhos de programas j&aacute; desinstalados.

:veja: [COLOR=DarkRed]IE defaults[/COLOR] => restaura para o estado inicial do Internet Explorer.

:veja: [COLOR=DarkRed]Reset Hosts[/COLOR] => restaura o arquivo Hosts.

:veja: [COLOR=DarkRed]Auto Clean[/COLOR] => trata-se de um autofix, removendo adwares, clsid's maliciosas, arquivos maliciosos, etc..Quando um ou mais arquivo(s) desconhecido(s) e inexistente(s) no database do programa, o Zoek criar&aacute; um arquivo sample.zip, na pasta onde foi salvo o Zoek, contendo amostra(s) do(s) mesmo(s).

Answer

[COLOR=#006400]Parte 2 
=======[/COLOR]

Nesta parte do tutorial do Zoek, fornecerei uma outra forma de usar o programa que seria escrevendo os comandos que desejamos.  
 
Se escrevemos no espa&ccedil;o [COLOR=DarkRed]standardsearch;[/COLOR] e clicarmos em [Run Script], o Zoek fornecer&aacute; um relat&oacute;rio contendo apenas informa&ccedil;&otilde;es sem tomar nenhuma iniciativa. Seria uma forma de fazer uma varredura no sistema antes de tomarmos uma decis&atilde;o. 
 
Neste relat&oacute;rio teremos: 
 Processos que est&atilde;o correndo; 
Informa&ccedil;&otilde;es do Sistema; 
Arquivos recentemente criados ou modificados; 
Chaves do registro habilitadas na inicializa&ccedil;&atilde;o; 
Pastas e arquivos na inicializa&ccedil;&atilde;o; 
Informa&ccedil;&otilde;es dos navegadores; 
Escopos de pesquisa na chave HKCU; 
Entradas do HijackThis (R3, O1, O4, O8, O9, O11 e O23). 
Uma combina&ccedil;&atilde;o muito empregada, fazendo o Zoek tomar uma decis&atilde;o logo de in&iacute;cio &eacute;: 
[COLOR=#8B0000] 
startupall; 
autoclean; 
filesrcm; 
installedprogs; 
emptyalltemp; 
[/COLOR] 
Na combina&ccedil;&atilde;o acima, solicitamos ao Zoek que: 
 
[COLOR=#8B0000]startupall;[/COLOR]  => lista as entradas do registro na inicializa&ccedil;&atilde;o e arquivos na inicializa&ccedil;&atilde;o 
 
[COLOR=#8B0000]autoclean;[/COLOR]   => realiza o autofix 
 
[COLOR=#8B0000]filesrcm;[/COLOR]     => lista arquivos recentemente criados ou modificados 
 
[COLOR=#8B0000]installedprogs;[/COLOR]    => lista os programas instalados 
 
[COLOR=#8B0000]emptyalltemp;[/COLOR]    => esvazia os caches dos navegadores, cache Flash, cache do Java, pastas de arquivos tempor&aacute;rios, recycle Bin e tempor&aacute;rios da internet.

Segue abaixo uma lista dos poss&iacute;veis comandos que podem ser empregados e a descri&ccedil;&atilde;o de cada um. 
 
[COLOR=#8B0000]autoclean;[/COLOR] 
 
[COLOR=#8B0000]autoruns;[/COLOR]    => gera um relat&oacute;rio do Autoruns da Sysinternals 
 
[COLOR=#8B0000]chrdefaults;[/COLOR]    => restaura o navegador Google Chrome para as configura&ccedil;&otilde;es padr&otilde;es 
 
[COLOR=#8B0000]chromelook;[/COLOR]    => informa&ccedil;&otilde;es do navegador Google Chrome tais como: extens&otilde;es e plugins 
 
[COLOR=#8B0000]emptyalltemp;[/COLOR] 
 
[COLOR=#8B0000]emptyCHRcache;[/COLOR]    => esvazia o cache do navegador Google Chrome 
 
[COLOR=#8B0000]emptyclsid;[/COLOR]    => remove chaves clsid's inv&aacute;lidas 
 
[COLOR=#8B0000]emptyFFcache;[/COLOR]   => esvazia o cache do navegador Firefox 
 
[COLOR=#8B0000]emptyflash;[/COLOR] 
 
[COLOR=#8B0000]emptyIEcache;[/COLOR]    => esvazia o cache do navegador Internet Explorer 
 
[COLOR=#8B0000]emptyjava;[/COLOR] 
 
[COLOR=#8B0000]emptyrecycle.bin;[/COLOR] 
 
[COLOR=#8B0000]emptytemp;[/COLOR]    => esvazia as pastas de arquivos tempor&aacute;rios 
 
[COLOR=#8B0000]ffdefaults;[/COLOR]    => restaura o navegador Firefox para as configura&ccedil;&otilde;es padr&otilde;es 
 
[COLOR=#8B0000]filesrcm;[/COLOR] 
 
[COLOR=#8B0000]firefoxlook;[/COLOR]    => informa&ccedil;&otilde;es do navegador Firefox tais como: extens&otilde;es e plugins 
 
[COLOR=#8B0000]hijackthis;[/COLOR]    => gera um relat&oacute;rio do HijackThis 
 
[COLOR=#8B0000]iedefaults;[/COLOR]    => restaura o navegador Internet Explorer para as configura&ccedil;&otilde;es padr&otilde;es 
 
[COLOR=#8B0000]installedprogs;[/COLOR] 
 
[COLOR=#8B0000]process;[/COLOR]    => lista os processos que est&atilde;o correndo 
 
[COLOR=#8B0000]reset chrome;[/COLOR] 
 
[COLOR=#8B0000]resetieproxy;[/COLOR]    => reseta proxys no navegador IE 
 
[COLOR=#8B0000]resethosts;[/COLOR]    => reseta o arquivo Hosts 
 
[COLOR=#8B0000]shortcutfix;[/COLOR] 
 
[COLOR=#8B0000]silentrunners;[/COLOR] 
 
[COLOR=#8B0000]skipfix-iedefaults;[/COLOR]    => n&atilde;o restaurar o navegador Internet Explorer para as configura&ccedil;&otilde;es padr&otilde;es 
 
[COLOR=#8B0000]srinfo;[/COLOR]    => lista os pontos de restaura&ccedil;&atilde;o 
 
[COLOR=#8B0000]standardsearch;[/COLOR] 
 
[COLOR=#8B0000]startupall;[/COLOR] 
 
[COLOR=#8B0000]systemspecs;[/COLOR]    => fornece informa&ccedil;&otilde;es do sistema (vide [COLOR=DarkRed]System Specs[/COLOR]) 
 
[COLOR=#8B0000]uninstall-list;[/COLOR]    => fornece a lista de arquivos em Desinstalar um programa bem como as respectivas chaves do registro

Answer

OTL parece ser mais completo.

Answer

Boa dica Wings

Henrique - RJ  OTL parece ser mais completo.

Eu j&aacute; acostumei com o OTL mas este parece ser t&atilde;o bom quanto

Answer

boa dica wings

deus me livre ja nem lembro que e isso

nesse ponto linux e muito bom

Answer

Bom trabalho Wings! Parab&eacute;ns pela iniciativa meu caro...

Answer

[quote=edutango, post: 6643537]Boa dica Wings

Henrique - RJ  OTL parece ser mais completo.

Eu j&aacute; acostumei com o OTL mas este parece ser t&atilde;o bom quanto[/quote]

Me parece que o OTL ainda oferece mais scripts de escaneamento que inclusive ignoro e alguns at&eacute; n&atilde;o entendo.

Answer

[COLOR=DarkGreen]Parte 3
=====[/COLOR]

A partir deste momento, Colaboradores da sala de an&aacute;lise de logs, que j&aacute; utilizam  esta ferramenta, poder&atilde;o contribuir com mais informa&ccedil;&otilde;es inclusive dando  dicas sobre remo&ccedil;&atilde;o em determinadas situa&ccedil;&otilde;es.

[COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]

==== Startup Registry Enabled ====================== 
 
[HKEY_USERS\S-1-5-21-2707585164-3260906907-1855541584-1000\Software\Microsoft\Windows\CurrentVersion\Run] 
WebCake Desktop=C:\Users\Wesley\AppData\Roaming\Web Cake\WebCakeDesktop.exe Para remover o valor na chave HKEY_USERS\S-1-5-21-2707585164-3260906907-1855541584-1000\Software\Microsoft\Windows\CurrentVersion\Run relacionada ao adware WebCake, o fix ser&aacute;: 
 
[HKEY_USERS\S-1-5-21-2707585164-3260906907-1855541584-1000\Software\Microsoft\Windows\CurrentVersion\Run];r 
WebCake Desktop=-;r [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Toda a chave abaixo est&aacute; relacionada ao adware IminentMessenger 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IminentMessenger] 
key=SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
item=IminentMessenger 
hkey=HKLM 
command=C:\Program Files\Iminent\Iminent.Messengers.exe /startup Para remover toda a chave do registro use: 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IminentMessenger];r [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
No resultado abaixo, encontramos um programa indesejado: LyricsChest 
 
==== Uninstall List x86 ====================== 
 
LyricsChest  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\lyricsChast@MZGAP.co] Para desinstalar o programa use u e remova a chave relacionada ao mesmo. 
 
LyricsChest;u 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\lyricsChast@MZGAP.co];r [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
No exemplo abaixo, todas as extens&otilde;es no Google Chrome est&atilde;o relacionadas a adwares. Use chr. 
 
==== Chrome Look ====================== 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions 
fffbeoflhgkjgmmedckkjdebaipbiphd - C:\Program Files\LyricsChest\116.crx[] 
fjoijdanhaiflhibkljeklcghcmmfffh - C:\Program Files\Web Cake\WebCakeLayers.crx[] 
gaiilaahiahdejapggenmdmafpmbipje - C:\Program Files\DealPly\DealPly.crx[] 
kolgnaidildmdbfgdnoapjdianbpajne - C:\Program Files\BrowserCompanion\blabbers-ch.crx[] A remo&ccedil;&atilde;o destas extens&otilde;es ser&aacute; usando o fix: 
 
fffbeoflhgkjgmmedckkjdebaipbiphd;chr 
fjoijdanhaiflhibkljeklcghcmmfffh;chr 
gaiilaahiahdejapggenmdmafpmbipje;chr 
kolgnaidildmdbfgdnoapjdianbpajne;chr [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Para remover uma pasta use fs  ou f
 
======= C:\Program Files ===== 
2013-08-05 14:34:45    --------    d-----w-    C:\Program Files\Web Cake C:\Program Files\Web Cake;fs [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Para remover um arquivo use f ou fs: 
 
====== C: exe-files == 
2013-08-08 18:43:41    69CA82A7482A00D8EE063D2B97FC4338    781383    ----a-w-    C:\Users\Wesley\Desktop\RSIT.exe C:\Users\Wesley\Desktop\RSIT.exe;f [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Para remover uma CLSID use c 
 
HKEY_USERS\S-1-5-21-2707585164-3260906907-1855541584-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{68C0B909-870D-4DAB-BC08-DFCBE26EEF8E}{68C0B909-870D-4DAB-BC08-DFCBE26EEF8E};c [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Caso deseje obter informa&ccedil;&otilde;es sobre um arquivo, use i 
 
C:\Windows\system32\services.exe;i  O Zoek fornecer&aacute; informa&ccedil;&otilde;es sobre o arquivo services.exe 
 
[COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Para deletar um servi&ccedil;o use s 
 
2399d82a7dfaaec6.sys;s [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Para mostrar o conte&uacute;do de uma pasta use vs. 
 
C:\ProgramData\Wincert;vs [COLOR=DarkRed]$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ [/COLOR]
 
Para remover extens&otilde;es no Firefox, use ff 
 
my-web-search.xml;ffUm abra&ccedil;o...:tchau:

Answer

encontrei algumas chaves n&atilde;o citadas, mas n&atilde;o estou com tempo para test&aacute;-las e coment&aacute;-las.
createsrpoint;
symlinksfix;
resetwmi;
installer-list;
resethosts;

estas outras devem exigir alguns par&acirc;metros:
;b
;v
;r64
;ra
;a
;e
;z
;virustotal

Answer

Ol&aacute; ripongao

Bel&iacute;ssimas e ricas informa&ccedil;&otilde;es......

Answer

ixi Wing, eu olhei dentro do programa ao inv&eacute;s de na net.
Baixe a&iacute; o arquivo anexo que depois eu edito essa mensagem para apag&aacute;-lo
Encontrei outras chaves, mas falta analisar com mais &ecirc;nfase, mas n&atilde;o sei se s&atilde;o ou poder&atilde;o ser v&aacute;lidas.
;m1
;m2 at&eacute; ;m6
;m1f

Answer

[quote=ripongao, post: 6644364]ixi Wing, eu olhei dentro do programa ao inv&eacute;s de na net.
Baixe a&iacute; o arquivo anexo que depois eu edito essa mensagem para apag&aacute;-lo
Encontrei outras chaves, mas falta analisar com mais &ecirc;nfase, mas n&atilde;o sei se s&atilde;o ou poder&atilde;o ser v&aacute;lidas.
;m1
;m2 at&eacute; ;m6
;m1f[/quote]
Pode remover o arquivo anexado.

Vamos l&aacute;!

[COLOR=#8B0000]createsrpoint;[/COLOR]    Cria um novo ponto de restaura&ccedil;&atilde;o

[COLOR=#8B0000]resetwmi;[/COLOR]   reseta o Windows Installer Information

[COLOR=#8B0000]installer-list;[/COLOR]    lista aplicativos distribu&iacute;dos atrav&eacute;s de arquivos MSI

[COLOR=#8B0000]resethosts;[/COLOR]    J&aacute; informado anteriormente

[COLOR=#8B0000];b[/COLOR]    utilizado para comandos DOS

Ex. 
regsvr32 /s actioncenter.dll;b

[COLOR=#8B0000];r64[/COLOR]    utilizado em registros de plataformas 64 bits

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];r64
Browser Infrastructure Helper=-;r64

[COLOR=#8B0000];ra[/COLOR]    resetar permiss&otilde;es a uma chave do registro

[COLOR=#8B0000];a[/COLOR]    pesquisa por uma entrada no registro

[COLOR=#8B0000];e[/COLOR]    exporta valores de uma determinada chave no registro

[COLOR=#8B0000];z[/COLOR]    pesquisa por arquivos/pastas no Windows. Semelhante as fun&ccedil;&otilde;es filefind e folderfind do SystemLook

[COLOR=#8B0000];virustotal[/COLOR]    envia um arquivo para an&aacute;lise no VirusTotal

Ex.
C:\Windows\System32\abcd.exe;virustotal

[COLOR=DarkRed];v[/COLOR]   lista subpastas e arquivos numa pasta

Ex. 
D:\unicode;v

Answer

Ainda estou testando, observei o seguinte:

Baixei para executar no meu Win7 64bits:1&deg; vem tr&ecirc;s arquivos *.com, *.pif, *.scr, ao clicar em qualquer um n&atilde;o aparece a op&ccedil;&atilde;o de executar como administrador. Tive que chamar por outro programa que estava no modo ADM.

2&deg; o programa toda vez que &eacute; executado come&ccedil;a a baixar outro pela internet.
[ATTACH]23102[/ATTACH]

3&deg; outro programa come&ccedil;a a ser executado e nada de aparecer tela  e come&ccedil;a a consumir mem&oacute;ria parando quando chega nos 300MB.
[ATTACH]23100[/ATTACH]

Existe uma certa demora para o programa aparecer inicialmente.
Primeiro executei o script de arquivos recentemente criados e n&atilde;o apareceu nada. S&oacute; ficava a janela do programa e ao tentar fechar era reiniciado

No segundo escript rodou normal mas o programa fechou.

Answer

[quote=Entre-Tr&oacute;picos, post: 6644600]Ainda estou testando, observei o seguinte:

Baixei para executar no meu Win7 64bits:1&deg; vem tr&ecirc;s arquivos *.com, *.pif, *.scr, ao clicar em qualquer um n&atilde;o aparece a op&ccedil;&atilde;o de executar como administrador. Tive que chamar por outro programa que estava no modo ADM.

2&deg; o programa toda vez que &eacute; executado come&ccedil;a a baixar outro pela internet.
[ATTACH]23102[/ATTACH]

3&deg; outro programa come&ccedil;a a ser executado e nada de aparecer tela  e come&ccedil;a a consumir mem&oacute;ria parando quando chega nos 300MB.
[ATTACH]23100[/ATTACH]

Existe uma certa demora para o programa aparecer inicialmente.
Primeiro executei o script de arquivos recentemente criados e n&atilde;o apareceu nada. S&oacute; ficava a janela do programa e ao tentar fechar era reiniciado

No segundo escript rodou normal mas o programa fechou.[/quote]
Talvez se usar o [COLOR=Purple]programa renomeado[/COLOR] possa executar como administrador.

Vc possui antiv&iacute;rus?

N&atilde;o &eacute; comum n&atilde;o ter esta op&ccedil;&atilde;o https://www.hardware.com.br/static/c/m/3be632f976b4e4eb6d824a20c3fcfd76 ao clicar com o bot&atilde;o direito do mouse.

Answer

&Eacute; por causa da extens&atilde;o, mudei aqui e testei. Como voc&ecirc; testou a&iacute;, qual sistema. Ao executar n&atilde;o deixei ter uma conex&atilde;o externa e executou mais r&aacute;pido. Quando executei outro script ele come&ccedil;ou a baixar da internet.

Passo isso como informa&ccedil;&otilde;a. Vou testar depois numa VM com o XP-SP3 sem conex&atilde;o com a internet.

Ferramentas

Mover Tópico