[Resolvido] HACK TOOL:WIN32/AUTOKM

[prrsilva 0]

Bom dia,

Tinha instalado o kaspersky a licença venceu e eu decidi ficar com o windows defender só que o mesmo esta detectando hack tool:win32/autokms direto e não consegue limpar, e com o kaspersky não apresentava isso. Gostaria de uma ajuda.

[DigRam 144]

/_ Boa Noite! prrsilva _\

 

> Baixe: < > ( ... by Farbar )

> No banner àcima,temos a ferramenta para sistemas 32bits!

 

Citar

http://www.geekstogo.com/forum/files/go/20922c97a7703c8c5829fa5db21c1134/frst-farbar-recovery-scan-tool

> No link àcima,temos o download para sistemas 64bits (FRST64.exe) e/ou 32bits (FRST.exe)
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Sim" >> "Examinar".

 

 

> Antes de clicar "Examinar",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Exame Opcional",deixe marcada as checkbox "Addition.txt" e "Arquivos 90 Dias".
> Ps: Será gerado,também,o relatório "Addition.txt".
> Poste os relatórios! (FRST.txt + Addition.txt)

> Como os logs serão extensos,envie-os à >

 

> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
> Outra opção,é hospedar os relatórios em Hébergement de fichiers, Security-x.fr.
> Fique atento,pois teremos 2 links a serem postados!

 

A+

[prrsilva 0]

Boa noite.

segue links

http://www.cjoint.com/c/GCdaCww1nMn 

http://www.cjoint.com/c/GCdaEGUenen

[DigRam 144]

/_ Bom Dia! prrsilva _\

 

> Copie estas informações que estão no spoiler,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... )

 

 

start
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Nenhum Arquivo
FF Plugin HKU\S-1-5-21-3024616143-3309111996-383524719-1001: kaspersky.com/KPMPlugin -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 8.0.4\npKPMPlugin.dll [Nenhum Arquivo]
FF Plugin HKU\S-1-5-21-3024616143-3309111996-383524719-1001: kpm_win_add_on@kaspersky -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 8.0.4\kpm_win_add_on@kaspersky [Nenhum Arquivo]
S3 klvssbrigde64; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.1\x64\vssbridge64.exe" [X]
U0 aswVmm; não ImagePath
S0 gbpddreg; system32\drivers\gbpddreg64.sys [X]
2017-02-28 10:19 - 2014-10-09 19:56 - 00000000 ____D C:\Program Files\KMSpico
2017-02-27 14:52 - 2016-02-29 20:40 - 00000000 ____D C:\Users\Todos os Usuários\Kaspersky Lab 
2017-02-27 14:52 - 2016-02-29 20:40 - 00000000 ____D C:\ProgramData\Kaspersky Lab 
2017-02-27 14:52 - 2016-02-29 20:40 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab 
Task: {93615CA9-CC73-4FAA-88BE-BDBEE55D0000} - \WPD\SqmUpload_S-1-5-21-3024616143-3309111996-383524719-1001 -> Nenhum Arquivo <==== ATENÇÃO
AlternateDataStreams: C:\Program Files (x86)\GbPlugin:IncompleteStartProcessProtection.cnt [10]
AlternateDataStreams: C:\Program Files (x86)\GbPlugin:u6eBQrM0Z2K3FKLVBMG8dY3IkKT2rqFO+Sf68h8fDg== [32]
AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:DocumentSummaryInformation [63]
AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:SummaryInformation [63]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\gbpddfac64.sys:X5ZN8aGvT4 [1518]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2166]
AlternateDataStreams: C:\ProgramData\GbPlugin:IncompleteStartGbprcm.cnt [10]
AlternateDataStreams: C:\Users\Todos os Usuários\GbPlugin:IncompleteStartGbprcm.cnt [10]
FirewallRules: [{8412C666-86D9-4C8E-B477-B74BCAD4F36B}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe
FirewallRules: [{E230DE0C-9BC0-44A9-8263-02F40EABCC25}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe
FirewallRules: [{738D6913-11F1-4F75-B516-6209408421DE}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe
FirewallRules: [{5FF1B256-559A-4FFE-A09F-3CDD12FF301B}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe
CMD: sfc /scannow
CreateRestorePoint:
EmptyTemp:
Reboot:
end

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Na mensagem,clique Executar. 
> Poste o relatório! (Fixlog.txt)
> Este e outros relatórios,podem ser encontrados na pasta: Disco Local (C) > FRST > Logs

< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[A+]
 

[prrsilva 0]

Boa noite,

segue relatório

http://www.cjoint.com/c/GCdxPfFAQmQ

[DigRam 144]

/_ Boa Noite! prrsilva _\

 

> Baixe: < > ( ... de Nicolas Coolman )

> Ou |Aqui!| << Mirror!
> Estando na página,clique

> Salve-a no desktop! ( ZHPCleaner.exe )
> Desabilite seu antivírus e execute ZHPCleaner.exe <<

> Clique "Eu".

> Clique Scanner.

> Aguarde a conclusão!

> Ao concluir,clique Reparar.

> Acesse as guias que estão assinaladas em vermelho. 
> Clique Reparar.

> Ao concluir,clique Relatório!
> Poste o log de reparo: ~ Type : Reparo

 

[Abs]

[prrsilva 0]

Boa noite,

Segue relatório

http://www.cjoint.com/c/GCedbfgSKOQ

[DigRam 144]

/_ Bom Dia! prrsilva _\

 

> Vamos remover as ferramentas utilizadas na desinfecção!

 

> Baixe: < > ( ... de Xplode )
> Ou Aqui > << Link opcional

 

 

> Estando na página,clique em Download Now. 
> Salve-a em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.

 

 

> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema

> Com estas caixinhas marcadas,clique Executar!

 

 

> Ps: Desejando manter as ferramentas,marque somente estas caixinhas!
> Reinicie o computador!
> Tudo Ok?

 

[A+]

DigRam

[prrsilva 0]

Boa noite,

o windows defender continua detectando software malicoso prejudicial detectado.

[DigRam 144]

/_ Bom Dia! prrsilva _\

 

> Verifique se estas detecções,agora,estão associadas à quarentena das ferramentas utilizadas.

 

> Baixe: < > < > ( ... de Nicolas Coolman )

 

Citar

ftp://zebulon.fr/ZHPDiag3.exe

> Ou daqui!
> Estando na página,clique: Télécharge
> Salve-a ao desktop! ( ZHPDiag3 )

 

> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta!

 

 

 

> Ao abri-la,clique Scanner.
> Aguarde a conclusão!

 

 

> À seguir,clique Relatório.
> Poste o log de diagnóstico: ~ Modo: Scanner

 

> Ps: Como o log será extenso,envie-o à Pjjoint.malekal.

> Ou acesse: < 1fichier.com >

 

> Ou acesse: < > 

 

> Clique no botão Parcourir... 
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

 

 

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

 

 

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.

 

[A+]
 

[prrsilva 0]

Boa noite,

segue relatório

http://www.cjoint.com/c/GCgxY4YTwp7

[DigRam 144]

/_ Boa Noite! prrsilva _\

 

> Baixe: < > << Link!

http://www.commentcamarche.net/download/telecharger-34102185-zhpfix

> Ou aqui!
> Estando na página,clique: "Télécharger"
> Salve-o no desktop!
> Instale-o,clicando em: Suivant >> Suivant >>...>> Suivant >> Suivant >> Installer >> Terminer

Ps: Caso surja uma mensagem do Windows com a frase Deseja permitir que o programa de um fornecedor desconhecido faça alterações neste computador? Clique em Sim

> Execute este script na ferramenta ZHPFix.

 

Script ZHPFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
HiddenFix
[MD5.00000000000000000000000000000000] [APT] [{84016D63-C0E3-421E-8B71-9D9343BBB46C}] (...) -- C:\PROGRA~2\WSE_AS~1\uninstall.exe (.not file.)   [327296] (.Activate.)
[MD5.00000000000000000000000000000000] [APT] [{5D1D1669-F67D-4A03-9713-E1AFC5C452E3}] (...) -- C:\Users\PAULO\AppData\Local\{F936CF6A-DD9E-A3D2-B006-863A946E7AA2}\uninst.exe (.not file.)   [327296] (.Activate.)
[MD5.00000000000000000000000000000000] [APT] [{841843E4-782A-4933-BC62-E1311650F293}] (...) -- C:\Users\PAULO\Desktop\CSC_3.0.172695.53_xp_vista_server2003_server2008_win7.exe (.not file.)   [327296] (.Activate.)
[MD5.00000000000000000000000000000000] [APT] [{B3F96D29-1135-4038-BDB6-C39434087B93}] (...) -- C:\Users\PAULO\Desktop\CPM_SETUP_1.3.2.30_xp_vista_server2003_win7.exe (.not file.)   [327296] (.Activate.)
[MD5.00000000000000000000000000000000] [APT] [{E066C28C-6946-49DE-8BF2-1FA302394993}] (...) -- C:\Program Files (x86)\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe (.not file.)   [327296] (.Activate.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified
HKLM\SOFTWARE\Wow6432Node\CLSID  =>.Unknow
HKCU\SOFTWARE\AutoHelpDesk  =>.Unknow
HKCU\SOFTWARE\Baixaki  =>.Baixaki
O4 - GS\Desktop [Administrador]: SpyHunter.lnk . (.Enigma Software Group USA, LLC. - SpyHunter4 application.) C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe    =>.Enigma Software Group USA, LLC®
O4 - GS\Desktop [Convidado]: SpyHunter.lnk . (.Enigma Software Group USA, LLC. - SpyHunter4 application.) C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe    =>.Enigma Software Group USA, LLC®
O4 - GS\Desktop [PAULO]: SpyHunter.lnk . (.Enigma Software Group USA, LLC. - SpyHunter4 application.) C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe    =>.Enigma Software Group USA, LLC®
O39 - APT: Driver Booster SkipUAC (PAULO) - (...) -- C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (PAULO)  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: OneDrive Standalone Update Task - (...) -- C:\WINDOWS\System32\Tasks\OneDrive Standalone Update Task  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: OneDrive Standalone Update Task - (...) -- C:\WINDOWS\System32\Tasks\OneDrive Standalone Update Task v2  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: SafeZone scheduled Autoupdate 1451431727 - (...) -- C:\WINDOWS\System32\Tasks\SafeZone scheduled Autoupdate 1451431727  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: SafeZone scheduled Autoupdate 1456184566 - (...) -- C:\WINDOWS\System32\Tasks\SafeZone scheduled Autoupdate 1456184566  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: SafeZone scheduled Autoupdate 1456355717 - (...) -- C:\WINDOWS\System32\Tasks\SafeZone scheduled Autoupdate 1456355717  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: {5D1D1669-F67D-4A03-9713-E1AFC5C452E3} - (...) -- C:\WINDOWS\System32\Tasks\{5D1D1669-F67D-4A03-9713-E1AFC5C452E3}  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: {84016D63-C0E3-421E-8B71-9D9343BBB46C} - (...) -- C:\WINDOWS\System32\Tasks\{84016D63-C0E3-421E-8B71-9D9343BBB46C}  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: {841843E4-782A-4933-BC62-E1311650F293} - (...) -- C:\WINDOWS\System32\Tasks\{841843E4-782A-4933-BC62-E1311650F293}  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: {B3F96D29-1135-4038-BDB6-C39434087B93} - (...) -- C:\WINDOWS\System32\Tasks\{B3F96D29-1135-4038-BDB6-C39434087B93}  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O39 - APT: {E066C28C-6946-49DE-8BF2-1FA302394993} - (...) -- C:\WINDOWS\System32\Tasks\{E066C28C-6946-49DE-8BF2-1FA302394993}  [327296]  (.Orphan.)  =>.Superfluous.Orphan
O43 - CFD: 13/10/2015 - [0] D -- C:\ProgramData\{126CFB2A-3098-4C8B-A9BB-8D922A069FE0}
O43 - CFD: 02/09/2015 - [0] D -- C:\ProgramData\{2ACB8283-3DA0-4D9A-8EC6-CE39EEA98C97}
O43 - CFD: 25/02/2016 - [0] D -- C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
O87 - FAEL: "{9E368657-2CB4-4736-A192-471D96BB5016}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\Steam\SteamApps\common\Darksiders 2\Darksiders2.exe  =>.Steam Games
O87 - FAEL: "{ADD020D4-F5C5-44DE-8C05-CF8379B0FA8F}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\Steam\SteamApps\common\Darksiders 2\Darksiders2.exe  =>.Steam Games

 

> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.

> Abra a ferramenta ZHPFix. <

 

>

 

 

> Clique IMPORTAÇÃO >> OK.
> Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".

> Ou,clique CONFIGURAR >> Personalizar.
> Cole as informações contidas no Bloco de Notas,ao campo da ferramenta.
> Clique "GO".
> Poste o relatório!

 

< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >

 

A+

[prrsilva 0]

Boa Noite,

Segue relatório

http://www.cjoint.com/c/GChwRJA7b3N

[DigRam 144]

/_ Boa Noite! prrsilva _\

 

> Como está a situação prrsilva?

> Execute estas 2 ferramentas,na ordem proposta!

 

> Baixe: < > ( ... par Xplode )

 

> Ou daqui: < AdwCleaner > << Link!
> Ao acessar,clique em "Download Now".

> Salve-o no desktop!
> Desabilite seu antivírus!

 

< >

 

> Clique direito em adwcleaner.exe,e escolha sua execução como administrador.

 

 

> Clique "Ferramentas" >> "Opções".

 

 

> Estando em "Opções",deixe as configurações conforme este banner.

> Desmarque "Proxy" e "Winsock".
> Clique "Ok".

 

 

> Ps: Dê início ao scan,clicando em "Verificar". 

 

 

> Ao concluir,clique "Limpar" ou "Cleaning" >> Ok >> Ok >> Ok.
> Copie o log ou clique "Relatorio".
> Poste: < C:\AdwCleaner\AdwCleaner[C0].txt > 

 

> Baixe: < > ( ... by Malwarebytes.org )

 

> Ou aqui! < JRT.exe >
> Salve-o no desktop!
> Desabilite seu antivírus!
> Para Windows 7,clique direito em JRT.exe e execute-o ...

 

 

> Tendo dificuldades,pode executá-lo em Modo de Segurança com Rede.

 

 

> Aguarde a conclusão e poste o relatório. ( JRT.txt )
 

[Abs]

[prrsilva 0]

Boa noite,

Segue relatórios

http://www.cjoint.com/c/GCiaW2Cw1xN

http://www.cjoint.com/c/GCiaZuQekSN

[DigRam 144]

/_ Boa Noite! prrsilva _\

 

> Baixe: <  SFT > ( ... de Pierre13 )

 

< Aqui > ou < Aqui >

> Descompacte-o e salve-o ao desktop!
> Desabilite seu antivírus!
> Tendo dificuldades no download,utilize o navegador Internet Explorer.
> Clique TÉLÉCHARGER e aguarde a finalização do contador.
> Para Windows 8.1 e 7,execute "SFT.exe" como administrador!

 

 

> Execute-o e clique "Go".
> Aguarde seu término,que é rápido.
> Poste o relatório! ( SFT.txt )
> Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

> Acesse,para esta tarefa!

 

< >

 

Citar

https://1fichier.com/?d8czjlosac

> Ou aqui,em 1fichier.com

 

[Abs]
 

[prrsilva 0]

Boa noite,

Segue relatório

http://www.cjoint.com/c/GCicowKIbZN

[prrsilva 0]

Boa noite,

Segue relatório o primeiro tinha esquecido de desabilitar antivirus.

http://www.cjoint.com/c/GCicuCtpoTN

[DigRam 144]

/_ Boa Noite! prrsilva _\

 

Seu antivírus ainda detecta o hack tool:win32/autokms ?

 

[Abs]

[prrsilva 0]

Boa noite, DigRam

o windows defender ainda ta detectando fica um sinal de exclamação pedindo para limpar.