[Resolvido] Analise de Log - suspeita de riskware

[Bruno Carazato 0]

Olá pessoal, mais uma vez peço ajuda à vocês, baixei um arquivo duvidoso semana passada e na hora que executei o mesmo minha conexão na mesma hora passou a ser nula ou limitada. Estranho que pelo celular continuei usando nromalmente.

Fiz um pesquisa na web, passei um tal de hitman pro que encontrou no arquivo que eu tinha baixado um riskware, removi, reiniciei o computador porém minha conexao continuave nula ou limitada. Tive que resetar meu modem pra voltar a funcionar. Hoje ao entrar num site de download aconteceu todo o processo novamente...

 

Segue o log do hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:23:56, on 21/06/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.17840)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Users\Bruno Carazato\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\Steam\bin\steamwebhelper.exe
C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe
C:\Program Files (x86)\Steam\bin\steamwebhelper.exe
C:\Users\Bruno Carazato\AppData\Roaming\uTorrent\uTorrent.exe
C:\Program Files (x86)\WinRAR\WinRAR.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dell13.msn.com/?pc=DCJB
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Orbitdownloader\orbitcth.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files (x86)\GbPlugin\gbiehcef.dll
O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
O4 - HKLM\..\Run: [mcpltui_exe] "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui /runkey
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS6ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Dropbox Update] "C:\Users\Bruno Carazato\AppData\Local\Dropbox\Update\DropboxUpdate.exe" /c
O4 - HKLM\..\Policies\Explorer\Run: [BtvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"
O4 - Startup: Dropbox.lnk = C:\Users\Bruno Carazato\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: Monitorar alertas de tinta - HP Deskjet 2540 series (Rede).lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Enviar para o OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files (x86)\Hewlett-Packard\Smart Print\SmartPrintSetup.exe
O9 - Extra 'Tools' menuitem: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files (x86)\Hewlett-Packard\Smart Print\SmartPrintSetup.exe
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Anotações Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Anotações Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: imagem.caixa.gov.br
O15 - Trusted Zone: internetbanking.caixa.gov.br
O15 - Trusted Zone: internetbankingpf.caixa.gov.br
O15 - Trusted Zone: www.caixa.gov.br
O15 - Trusted Zone: http://www.caixa.gov.br
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll
O18 - Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - c:\PROGRA~2\mcafee\msc\mcsniepl.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify:  GbPluginCef - C:\Program Files (x86)\GbPlugin\gbiehCef.dll
O23 - Service: McAfee Application Installer Cleanup (0278951433968854) (0278951433968854mcinstcleanup) - Unknown owner - C:\Windows\TEMP\027895~1.EXE (file missing)
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
O23 - Service: Alarmed Flock - Unknown owner - C:\Users\Bruno Carazato\AppData\Roaming\Alarmed Flock\Alarmed Flock.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AtherosSvc - Windows (R) Win 7 DDK provider - C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: Dell Data Vault (DellDataVault) - Dell Inc. - C:\Program Files\Dell\DellDataVault\DellDataVault.exe
O23 - Service: Dell Data Vault Wizard (DellDataVaultWiz) - Dell Inc. - C:\Program Files\Dell\DellDataVault\DellDataVaultWiz.exe
O23 - Service: Dell Digital Delivery Service (DellDigitalDelivery) - Dell Products, LP. - c:\Program Files (x86)\Dell Digital Delivery\DeliveryService.exe
O23 - Service: Dell Product Registration Manager (DellProdRegManager) - Aviata, Inc. - C:\Program Files (x86)\Dell Product Registration\regmgrsvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia - C:\PROGRA~2\GbPlugin\GbpSv.exe
O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: McAfee Home Network (HomeNetSvc) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - c:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - c:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee AP Service (McAPExe) - McAfee, Inc. - C:\Program Files\McAfee\MSC\McAPExe.exe
O23 - Service: McAfee Activation Service (McAWFwk) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe
O23 - Service: McAfee CSP Service (mccspsvc) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\CSP\1.3.374.0\McCSPServiceHost.exe
O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program Files\mcafee\VirusScan\mcods.exe
O23 - Service: McAfee Platform Services (mcpltsvc) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe
O23 - Service: McAfee Anti-Malware Core (mfecore) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe
O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - Unknown owner - C:\Windows\system32\mfevtps.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: My Dell Client Framework - Dell Inc. - C:\Program Files (x86)\Dell\My Dell Client Framework\Dell.ClientFramework.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: OpenVPN Service (OpenVPNService) - The OpenVPN Project - C:\Program Files (x86)\HMA! Pro VPN\bin\openvpnserv.exe
O23 - Service: ---Time Updater - ---Time - C:\Users\Bruno Carazato\AppData\Roaming\PT\updater.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - CyberLink - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks SAS - C:\Program Files (x86)\Dell Backup and Recovery\SftService.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: Dell SupportAssist Agent (SupportAssistAgent) - Dell Inc. - C:\Program Files (x86)\Dell\SupportAssistAgent\bin\SupportAssistAgent.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Wyse PocketCloud (WysePocketCloud) - Unknown owner - C:\Program Files (x86)\Wyse\PocketCloud\PocketCloudService.exe
O23 - Service: Wyse RemoteAccess (WyseRemoteAccess) - DELL Inc. - C:\Program Files (x86)\Wyse\PocketCloud\WyseRemoteAccess.exe

--
End of file - 15167 bytes

[caedurodrigues 19]

Boa tarde Bruno, estou assumindo o seu caso. Por favor utilize a ferramenta abaixo para um diagnóstico mais detalhado do seu sistema.

 

• Baixe: <ZHPDiag ><> ( ...Nicolas Coolman)

• Na página, clique

• Salve-o no Disco local (C ou D).

• Desabilite seu antivírus, e execute ZHPDiag.exe para instalar.

• Execute o ícone do pergaminho!

• Clique na opção "COMPLETA" e aguarde a conclusão.

• Clique OK e,ao concluir, poste o relatório! ( ZHPDiag.txt )

• Obs: O relatório por ser extenso deve ser postado em um desses sites:

• Acesse: <>

• Ou acesse:<>

• Maiores informações:<Link> << Hospedagem !

Um grande abraço. :thumbsup:

[Bruno Carazato 0]

Boa noite caedurodrigues.

Segue o resultado: http://www.cjoint.com/c/EFwaAMNd4lC

Abraços!

[caedurodrigues 19]

Bom dia Bruno Carazato,

• Execute este script na ferramenta ZHPFix.

• Copie estas informações que estão em vermelho para o Bloco de notas.

• Com o Bloco de notas aberto, faça: ctrl+a >> ctrl+c.

• À seguir, minimize o Bloco de notas.

Script ZHPFix

SysRestore

P2 - FPN:Firefox Plugin Navigator . (...) -- C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\buscape.xml

P2 - FPN:Firefox Plugin Navigator . (...) -- C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\mercadolivre.xml

P2 - FPN:Firefox Plugin Navigator . (...) -- C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\yahoo-br.xml

O4 - HKCU\..\Run: [AdobeBridge] Chave orfã

O4 - HKUS\S-1-5-21-1217768727-2746094591-709901937-1001\..\Run: [AdobeBridge] Chave orfã

[MD5.0ED398A4D031B9CFB10E3FEDF97AD836] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe [614400] =>Hacktool.AutoKMS

[MD5.00000000000000000000000000000000] [APT] [bidaily Synchronize Task[973b]] (...) -- c:\programdata\{29cf37b7-6985-d1ba-29cf-f37b7698dedd}\zilean gold hack.exe (.not file.) [0] =>PUP.BidailySync

O39 - APT: AutoKMS - (...) -- C:\Windows\Tasks\AutoKMS.job [230] =>Hacktool.AutoKMS

O39 - APT: AutoKMS - (...) -- C:\Windows\System32\Tasks\AutoKMS [230] =>Hacktool.AutoKMS

O39 - APT: Bidaily Synchronize Task[973b] - (...) -- C:\Windows\Tasks\Bidaily Synchronize Task[973b].job [376] =>PUP.BidailySync

O39 - APT: Bidaily Synchronize Task[973b] - (...) -- C:\Windows\System32\Tasks\Bidaily Synchronize Task[973b] [376] =>PUP.BidailySync

[HKCU\Software\ProgSense] =>PUP.ProgSense

O43 - CFD: 20/06/2015 - 00:33:19 - [] ----D C:\Program Files (x86)\PriceeMinius =>PUP.PriceMinus

O43 - CFD: 27/05/2015 - 22:13:12 - [] ----D C:\ProgramData\boost_interprocess

O43 - CFD: 14/04/2015 - 09:23:23 - [] ----D C:\Users\Bruno Carazato\AppData\Roaming\ProgSense =>PUP.ProgSense

O44 - LFC:[MD5.A179B739C79F92617B3511BBC0EC7236] - 21/06/2015 - 13:48:56 ---A- . (...) -- C:\Windows\AutoKMS.log [11913] =>Hacktool.AutoKMS

O61 - LFC: 20/06/2015 - 21:21:52 ---A- . (.Microsoft.) -- C:\Users\Bruno Carazato\AppData\Roaming\GetSummonersName.exe [8192]

[MD5.FF1F01F0473AEC2D821DA055807E9D25] [sPRF][20/06/2015] (.Microsoft - GetSummonersName.) -- C:\Users\Bruno Carazato\AppData\Roaming\GetSummonersName.exe [8192]

[HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] =>Toolbar.Ask

C:\Program Files (x86)\PriceeMinius =>PUP.PriceMinus^

C:\Users\Bruno Carazato\AppData\Roaming\ProgSense =>PUP.ProgSense^

C:\Windows\Tasks\Bidaily Synchronize Task =>PUP.BidailySync^

C:\Windows\System32\Tasks\Bidaily Synchronize Task =>PUP.BidailySync^

[HKCU\Software\ProgSense] =>PUP.ProgSense^

C:\Windows\AutoKMS.exe =>Trojan.Keygen

EmptyClsid

FirewallRaz

EmptyPrefetch

EmptyTemp

EmptyFlash

• Abra a ferramenta ZHPFix. <>

• Clique em IMPORTAÇÃO > OK

• Clique "GO".

• Poste o Relatório!

Um grande abraço.

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes.

Aos visitantes: Se estiverem com um problema semelhante, não utilizem esse script, pois o uso sem supervisão pode causar danos ao sistema.

[Bruno Carazato 0]

Boa tarde colega,

segue o relatório

Rapport de ZHPFix 2015.4.9.5 par Nicolas Coolman, Update du 18/03/2015
Fichier d'export Registre : 
Run by Bruno Carazato at 23/06/2015 14:23:13
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (9600)

Reciclagem vazia (00mn 10s)
Prefetcher vazio

========== Processo memória ==========
ELIMINÉ: Memory Process: C:\Windows\AutoKMS.exe

========== Chaves do Registo ==========
ELIMINÉ: HKCU\Software\ProgSense
ELIMINÉ: HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

========== Valores do Registo ==========
ELIMINÉ RunValue: AdobeBridge
Ausente Valor Perfil Domínio FirewallRaz : 
ELIMINÉ: FirewallRaz (Domain) : {9E3D57FC-7C37-4424-9352-4831E97D029D}
ELIMINÉ: FirewallRaz (Domain) : {548DCF8C-BFF2-4BA4-AA88-FBAF9AC8BCC6}
ELIMINÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
ELIMINÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
ELIMINÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
ELIMINÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
ELIMINÉ: FirewallRaz (Public) : NetPres-In-TCP
ELIMINÉ: FirewallRaz (Public) : NetPres-Out-TCP
ELIMINÉ: FirewallRaz (None) : MCX-Prov-Out-TCP
ELIMINÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
ELIMINÉ: FirewallRaz (None) : {42906629-264D-4E93-AEC4-74F1E37B78B3}

========== Pastas ==========
Nenhuma pasta CLSID local utilizador vazia
ELIMINÉ Temporários windows (270)
ELIMINÉ Flash Cookies (0)

========== Ficheiros ==========
ELIMINÉ: c:\program files (x86)\mozilla firefox\browser\searchplugins\buscape.xml
ELIMINÉ: c:\windows\autokms.log
ELIMINÉ: c:\users\bruno carazato\appdata\roaming\getsummonersname.exe
ELIMINÉ Temporários windows (2624) (2.530.324.528 octets)
ELIMINÉ Flash Cookies (0) (0 octets)

========== Tarefa planificada ==========
ELIMINÉ: AutoKMS
ELIMINÉ: Bidaily Synchronize Task[973b]

========== Restauração Sistema ==========
Ponto de restauro do sistema criado com sucesso


========== Recapitulativo ==========
1 : Processo memória
2 : Chaves do Registo
13 : Valores do Registo
3 : Pastas
5 : Ficheiros
2 : Tarefa planificada
1 : Restauração Sistema


End of clean in 01mn 05s

========== Caminho do ficheiro do relatório ==========
C:\Users\Bruno Carazato\AppData\Roaming\ZHP\ZHPFix[R1].txt - 23/06/2015 14:23:24 [2224]

Abraços!

[caedurodrigues 19]

Boa noite Bruno,

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

 

• Baixe: <> (...par Xplode)

• Ou aqui >>AdwCleaner<<

• Salve-a na sua Desktop (área de trabalho).

• Feche todos os programas e navegadores de internet abertos.

• Usuários do Windows Vista ou Windows 7,clique com o direito do mouse sobre o arquivo AdwCleaner.exe,depois clique em:

• Clique em Examinar, para iniciar o escaneamento!

• Ao término, clique em limpar

• Copie o log ou clique "Relatório".

• Poste: >>C:\AdwCleaner\AdwCleaner [s0].txt<<

 

• Baixe:<> <(...by Oleg N. Scherbakov)>

• Salve-o no desktop!

• Desabilite seu antivírus!

• Para Windows 7, clique direito em JRT.exe e execute-o como

• Aguarde a conclusão e poste o relatório. ( JRT.txt )

• Baixe:<> (...by Malwarebytes)

• Dê um duplo-clique no mbam-setup.exe para instalar o programa.

• Desmarque a caixa: "Ativar trial gratuito do Malwarebytes Anti-Malware PRO"

• Clique "Concluir".

• Atualize o programa !

• Escolha Verificar! >> Verificação Personalizada >> Configurar Varredura!

• Marque as caixinhas conforme figura abaixo:

• Desabilite programas de proteção,ao executar o malwarebytes.

• Para Windows Vista ou 7, clique direito no arquivo e execute-o como administrador.

• Ps: Para determinadas infecções,o programa pedirá reboot. << Confirme!

• Ao concluir,clique em "Ok" >> "Ver Resultados" >> "Remover Selecionados".

• O log é automaticamente salvo pelo MBAM, e para vê-lo clique na aba Histórico >> Logs de aplicativos. Utilize o formato

.txt para exportar o log.

• NÃO UTILIZAR O FORMATO .XML PARA EXPORTAR O LOG.

• O log de Proteção e desnecessário para uma Análise, exporte sempre o log Correto.

Um grande abraço. :thumbsup:

 

[Bruno Carazato 0]

Bom dia caedurodrigues

 

Seguem os logs:

 

AdwCleaner:

# AdwCleaner v4.207 - Relatório criado 24/06/2015 às 01:34:52
# Atualizado 21/06/2015 por Xplode
# Base de dados : 2015-06-23.1 [Servidor]
# Sistema operacional : Windows 8.1 Single Language  (x64)
# Usuário : Bruno Carazato - BRUNO
# Executando de : C:\Users\Bruno Carazato\Desktop\adwcleaner_4.207.exe
# Opção : Limpar

***** [ Serviços ] *****


***** [ Arquivos / Pastas ] *****

Pasta Excluído : C:\Program Files (x86)\orbitdownloader
Pasta Excluído : C:\Users\Bruno Carazato\AppData\Roaming\Mozilla\Firefox\Profiles\u7lc2ylj.default\Extensions\nUVB@5dE.net
Pasta Excluído : C:\ProgramData\pepdcalcoaahoigffibdbekcjijmfgoj
Arquivo Excluído : C:\Users\Bruno Carazato\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_lfmhcpmkbdkbgbmkjoiopeeegenkdikp_0.localstorage
Arquivo Excluído : C:\Users\Bruno Carazato\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_lfmhcpmkbdkbgbmkjoiopeeegenkdikp_0.localstorage-journal
Arquivo Excluído : C:\Users\Bruno Carazato\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_st.chatango.com_0.localstorage
Arquivo Excluído : C:\Users\Bruno Carazato\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_st.chatango.com_0.localstorage-journal

***** [ Tarefas agendadas ] *****


***** [ Atalhos ] *****


***** [ Registro ] *****

Chave Apagado : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Download by Orbit
Chave Apagado : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Grab video by Orbit
Chave Apagado : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Do&wnload selected by Orbit
Chave Apagado : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Down&load all by Orbit
Chave Apagado : HKCU\Software\4513bea52c96e1d5fd723028e85580ea
Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{000123B4-9B42-4900-B3F7-F4B073EFC214}
Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{3F1D494B-0CEF-4468-96C9-386E2E4DEC90}
Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{7854F00C-DC77-477E-A10E-603F48442D3B}
Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{A0880527-DC28-4EBB-BA27-D22102F22A9F}
Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{BCDDE143-FAE3-4C57-B22B-C4E8678CFDC0}
Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}
Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000123B4-9B42-4900-B3F7-F4B073EFC214}
Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7854F00C-DC77-477E-A10E-603F48442D3B}
Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{000123B4-9B42-4900-B3F7-F4B073EFC214}
Chave Apagado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4250488A-CB24-0893-C066-B1AEA57BCFF2}
Chave Apagado : HKCU\Software\Orbit
Chave Apagado : HKLM\SOFTWARE\Orbit
Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Orbit_is1

***** [ Navegadores ] *****

-\\ Internet Explorer v11.0.9600.17840


-\\ Mozilla Firefox v38.0.5 (x86 pt-BR)

[u7lc2ylj.default\prefs.js] - Linha Apagado : user_pref("extensions.cvVhP5IYcgcQVTZi.scode", "(function(){try{if(window.location.href.indexOf(\"rjn6qjnHrdrEqTC8qjUFrHkHqjk\")>-1){return;}}catch(e){}try{var d=[[\"search.asistents.com\",\"cryptogma[...]

-\\ Google Chrome v43.0.2357.124

[C:\Users\Bruno Carazato\AppData\Local\Google\Chrome\User Data\Default\Web Data] - Apagado [Search Provider] : hxxp://br.ask.com/web?q={searchTerms}

*************************

AdwCleaner[R0].txt - [3827 bytes] - [24/06/2015 01:33:50]
AdwCleaner[S0].txt - [3634 bytes] - [24/06/2015 01:34:52]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [3693  bytes] ##########

JRT:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.1.0 (06.23.2015:2)
OS: Windows 8.1 Single Language x64
Ran by Bruno Carazato on 24/06/2015 at  1:43:04,76
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks

Successfully deleted: [Task] C:\Windows\system32\tasks\PCDEventLauncherTask
Successfully deleted: [Task] C:\Windows\system32\tasks\PCDoctorBackgroundMonitorTask



~~~ Registry Values



~~~ Registry Keys



~~~ Files

Successfully deleted: [File] C:\Program Files (x86)\mozilla firefox\defaults\pref\channel-prefs.js
Successfully deleted: [File] C:\Users\Bruno Carazato\appdata\local\google\chrome\user data\default\local storage\hxxps_static.olark.com_0.localstorage
Successfully deleted: [File] C:\Users\Bruno Carazato\appdata\local\google\chrome\user data\default\local storage\hxxps_static.olark.com_0.localstorage-journal



~~~ Folders

Successfully deleted: [Folder] C:\ProgramData\pcdr
Successfully deleted: [Folder] C:\Users\Bruno Carazato\AppData\Roaming\pcdr



~~~ Chrome


[C:\Users\Bruno Carazato\appdata\local\Google\Chrome\User Data\Default\Preferences] - default search provider reset

[C:\Users\Bruno Carazato\appdata\local\Google\Chrome\User Data\Default\Preferences] - Extensions Deleted:

[C:\Users\Bruno Carazato\appdata\local\Google\Chrome\User Data\Default\Secure Preferences] - default search provider reset

[C:\Users\Bruno Carazato\appdata\local\Google\Chrome\User Data\Default\Secure Preferences] - Extensions Deleted:
[]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 24/06/2015 at  1:47:25,86
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Malwarebytes:

Malwarebytes Anti-Malware
www.malwarebytes.org

Data da Verificação: 24/06/2015
Hora da Verificação: 01:51:47
Arquivo de Log: log.txt
Administrador: Sim

Versão: 2.01.6.1022
Base de Dados de Malware: v2015.06.23.09
Base de Dados de Rootkit: v2015.06.22.01
Licença: Grátis
Proteção de Malware: Desabilitado
Proteção de Site Malicioso: Desabilitado
Auto-Proteção: Desabilitado

SO: Windows 8.1
Processador: x64
Sistema de Arquivos: NTFS
Usuário: Bruno Carazato

Tipo da Verificação: Verificação Personalizada
Resultado: Terminado
Objetos Verificados: 863746
Tempo Decorrido: 3 hr, 37 min, 32 seg

Memória: Habilitado
Inicialização: Habilitado
Sistema de Arquivos: Habilitado
Arquivos Compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Habilitado
PUM: Habilitado

Processos: 0
(Nenhum item malicioso detectado)

Módulos: 0
(Nenhum item malicioso detectado)

Chaves de Registro: 2
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE, Quarentena, [2005f2cc3555cd697b44a9eb4cb9e719], 
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\WOW6432NODE\POLICIES\GOOGLE\UPDATE, Quarentena, [2302e4da3e4c6dc9edd20b890cf933cd], 

Valores de Registro: 2
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, Quarentena, [2005f2cc3555cd697b44a9eb4cb9e719]
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\WOW6432NODE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, Quarentena, [2302e4da3e4c6dc9edd20b890cf933cd]

Dados de Registro: 0
(Nenhum item malicioso detectado)

Pastas: 0
(Nenhum item malicioso detectado)

Arquivos: 9
Trojan.Agent.PRSW, C:\Users\Bruno Carazato\AppData\Roaming\Skype\My Skype Received Files\crypt.exe, Quarentena, [73b29925860460d656c572de966ca35d], 
Riskware.Keygen, C:\Users\Bruno Carazato\AppData\Roaming\ZHP\Quarantine\autokms.exe.VIR, Quarentena, [7fa6e9d5ff8bf93d6ae1539027d92ad6], 
RiskWare.Tool.CK, E:\Documentos\Bruno\Programas\Ado-Phot-Ligh-4_By_QPA\AL4.KG.rar, Quarentena, [61c40eb02e5c5bdb4c4fbf016b95ad53], 
RiskWare.Tool.CK, E:\Documentos\Bruno\Programas\Ado-Phot-Ligh-4_By_QPA\AL4.KG\AL4.KG.exe, Quarentena, [83a2fec0632765d138638d33ee126d93], 
Trojan.Agent, C:\Users\Bruno Carazato\AppData\Local\Temp\Server.exe, Quarentena, [4ed70eb09febe056b1d19e04ae5648b8], 

Setores Físicos: 0
(Nenhum item malicioso detectado)


(end)

Abraços

[caedurodrigues 19]

Boa noite Bruno,

• Baixe:<zoek.exe> (...by Smeenk)

• Salve na sua Desktop (Área de trabalho) !

• Execute o arquivo Zoek.exe.

• Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo Zoek.exe, depois clique em

• Selecione as linhas em vermelho, clique com o direito sobre a seleção e escolha a opção copiar!

createsrpoint;

emptyclsid;

iedefaults;

CHRdefaults;

chromelook;

ffdefaults;

firefoxlook;

shortcutfix;

autoclean;

emptyalltemp;

ipconfig /flushdns;b

emptyfolderscheck;delete

• Clique com o direito em qualquer parte branca do Zoek e escolha a opção colar.

• Clique , aguarde o scan. Ao final abrirá o bloco de notas com o relatório.

• Uma cópia também será salva no seu disco local com o nome zoek-results.txt.

• Anexe o zoek-results.txt na sua próxima resposta.

Um grande abraço. :thumbsup:

[Bruno Carazato 0]

Olá caedurodrigues,

Aparentemente meus problemas foram resolvidos, estou tendo pouco tempo para 'cuidar' do meu computador, vou pedir que finalizemos aqui o processo, caso eu tenha novos problemas, volto para continuarmos pode ser?

Obrigado por toda atenção!

[caedurodrigues 19]

Bom dia Bruno, já que está impossibilitado de continuar, então siga os passos abaixo para encerrar o tópico.

Agora vamos remover as ferramentas utilizadas na desinfecção.

• Baixe: <> (...par Xplode)

• Salve-a na sua área de trabalho.

• Dê dois cliques no delfix.exe para executá-lo.

• Usuários do Windows Vista ou Windows 7,clique com o direito do mouse sobre o arquivo delfix.exe,depois clique em:

• Marque as caixinhas, de acordo com a imagem.

• Clique no botão Executar.

• Reinicie o computador!

• Tudo OK ?

 

[Bruno Carazato 0]

Pronto, tudo ok, não tive mais os problemas, aparentemente tudo certo.

Muito obrigado pela atenção. Abraços, tenha um bom dia!

[caedurodrigues 19]

Boa noite Bruno,

 

• Cartilha de Segurança > << Link!

• Leia as várias dicas que estão contidas na Cartilha de Segurança e fique livre de infecções!

• Instale a extensão Adblock, para se ver livre das propagandas:

>> Para Google Chrome clique aqui

>> Para Firefox clique aqui

>> Para Internet Explorer: 32 bits clique aqui 64 bits clique aqui

• Previna-se da instalação de PUPs com o Unchecky. << Link!

• Baixe o programa Ccleaner:

• Abra o programa e clique em Executar Limpeza;

• Após isto, clique em Registro >> Procurar erros >> Corrigir erros selecionados

• Atualize o Adobe Reader. Versões antigas têm vulnerabilidades que são exploradas por malwares.

• Atualize o Java. Versões antigas têm vulnerabilidades que alguns malwares podem usar para infectar seu sistema.

• Mantenha o Flash Player atualizado. Versões antigas também têm vulnerabilidades que são exploradas por malwares.

• Visite o Windows Update regularmente e verifique por atualizações.

Novas brechas de segurança são descobertas com frequência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações.

Por isso é fundamental manter o seu sistema atualizado.

Um grande abraço.

[caedurodrigues 19]

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.