Ir para conteúdo
Weick

Infecção após instalação de arquivo de instalação do office 2016

Recommended Posts

Olá,

 

Depois de tentar ativar o office, acho que o computador ficou infectado por vírus. Trava o tempo todo e fica abrindo páginas no navegador Edge sem parar. Verifiquei com o SDefender, mas não encontrou nenhuma ameaça. Seguem logs:

 

Addition: https://www.cjoint.com/c/HGzoVqnmOI7
FRST: https://www.cjoint.com/c/HGzoWHMtph7

 

Obrigado,

Weick

Edit: receio ter aberto o tópico no local errado. Tentei mover, mas acredito que somente moderadores podem fazer isso. Caso esteja em local errado, peço a gentileza de mover.

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Weick _\

 

CHR NewTab: Default -> "active" : true,
"entry" : "chrome-extension://pbdpajcdgknpendpmecafmopknefafha/index.html"
CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2017-03-31]
CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-07-25]
CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-04]

--
--
> Remova estas extensões que foram configuradas ao Chrome.

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

start::
CloseProcesses:
CHR HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVuvqY6tXmgtW6wAq_3G5aRco9xrGZxVyM2GZowPWLCnrE5-o3T5PvCiWBNp7C365g29QHzrQ_-Q6i6SMeSurTM_DlqpsmQW-vgJ-s5jnpv1WFmjBqtjya1W23S7WHC-Kg3Npq-3_weHm1OPiPYTC1ZIReyP9n5FUImu5Wf0A,,&q={searchTerms}
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVuvqY6tXmgtW6wAq_3G5aRco9xrGZxVyM2GZowPWLCnrE5-o3T5PvCiWBNp7C365g29QHzrQ_-Q6i2FbbulbtMY_yhObfZdyUfOkI7kD0ZA0LYE6wMhUmU5eiW6pFIWauP8C0c831GHhjlFuXbHmEibJBW4nmFSdVyH_qDWg,,
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://samsung17win10.msn.com/?pc=SMTE
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVuvqY6tXmgtW6wAq_3G5aRco9xrGZxVyM2GZowPWLCnrE5-o3T5PvCiWBNp7C365g29QHzrQ_-Q6i6SMeSurTM_DlqpsmQW-vgJ-s5jnpv1WFmjBqtjya1W23S7WHC-Kg3Npq-3_weHm1OPiPYTC1ZIReyP9n5FUImu5Wf0A,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4216877997-3920459586-2356809368-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVuvqY6tXmgtW6wAq_3G5aRco9xrGZxVyM2GZowPWLCnrE5-o3T5PvCiWBNp7C365g29QHzrQ_-Q6i6SMeSurTM_DlqpsmQW-vgJ-s5jnpv1WFmjBqtjya1W23S7WHC-Kg3Npq-3_weHm1OPiPYTC1ZIReyP9n5FUImu5Wf0A,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4216877997-3920459586-2356809368-1001 -> {72B10185-4FDD-4808-B788-0FF5F4CD5EE6} URL =
SearchScopes: HKU\S-1-5-21-4216877997-3920459586-2356809368-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVuvqY6tXmgtW6wAq_3G5aRco9xrGZxVyM2GZowPWLCnrE5-o3T5PvCiWBNp7C365g29QHzrQ_-Q6i6SMeSurTM_DlqpsmQW-vgJ-s5jnpv1WFmjBqtjya1W23S7WHC-Kg3Npq-3_weHm1OPiPYTC1ZIReyP9n5FUImu5Wf0A,,&q={searchTerms}
HKLM\...\RunOnce: [OMEWPRODUCT_4RRFH] => C:\Program Files (x86)\c4e5i2idlbs\OOBC5V8XNIXC5DE.exe [193536 2018-07-25] (BLJO) <==== ATENÇÃO
HKLM\...\RunOnce: [zdkvpsyzhf3] => C:\Program Files (x86)\PMLO\3483853.exe [664576 2018-07-25] ()
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [820BKYM9V8OASAZ] => C:\Program Files\A949NS6C3O\A949NS6C3.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [429699] => C:\Users\Maple Bear\AppData\Roaming\cls4bkk0nhm\0gxe04bloba.exe [537110 2018-07-25] (Gobm )
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [M0D7OJRDPF3F6NY] => C:\Program Files (x86)\c4e5i2idlbs\NF0EX.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [VC1FWU7Y5L7D8BJ] => C:\Program Files\V1OBNIOUTS\V1OBNIOUT.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [UEALPTNUMJEH081] => C:\Program Files\K7BMDM64GL\K7BMDM64G.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [302225] => C:\Users\Maple Bear\AppData\Roaming\24rdlfd0zir\tzja4yvdwjd.exe [537110 2018-07-25] (Gobm )
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [5481861] => C:\Users\Maple Bear\AppData\Roaming\2ltuu2jza0t\2ftovy5o1l2.exe [537110 2018-07-25] (Gobm )
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [1675006] => C:\Users\Maple Bear\AppData\Roaming\k4mm4u3gy20\2ri0gursg3e.exe [537110 2018-07-25] (Gobm )
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [CH84B2JIHH5X4SC] => C:\Program Files\ZISY2WDKFX\MTLJUW7JF.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [1258538] => C:\Users\Maple Bear\AppData\Roaming\odo1acbzw4o\5vc1e2cenqa.exe [537110 2018-07-25] (Gobm )
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [BQLVFXD9T03PGIF] => C:\Program Files\1QGDTP0T64\O19YLPUS7.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [J57LKTND4O41WEU] => C:\Program Files\NTFAJC7CK1\UW3WJF3WE.exe [807936 2018-07-25] (BLJO)
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\...\Run: [6177928] => C:\Users\Maple Bear\AppData\Roaming\fuhvesj40b5\q3xcuyv5arf.exe [537110 2018-07-25] (Gobm )
AppInit_DLLs: C:\ProgramData\Voyasollam\Sumtom.dll => Nenhum Arquivo
AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Ranloting.dll => Nenhum Arquivo
GroupPolicy: Restrição - Chrome <==== ATENÇÃO
CHR HKLM\SOFTWARE\Policies\Google: Restrição <==== ATENÇÃO
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-07-24] () [Arquivo não assinado] <==== ATENÇÃO
R2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2018-07-25] () [Arquivo não assinado] <==== ATENÇÃO
2018-07-25 10:50 - 2018-07-25 10:50 - 000000000 ____D C:\Users\Maple Bear\AppData\Roaming\fuhvesj40b5
2018-07-25 10:50 - 2018-07-25 10:50 - 000000000 ____D C:\Program Files\NTFAJC7CK1
2018-07-25 10:29 - 2018-07-25 10:29 - 000000000 ____D C:\Users\Maple Bear\AppData\Roaming\odo1acbzw4o
2018-07-25 10:29 - 2018-07-25 10:29 - 000000000 ____D C:\Program Files\ZISY2WDKFX
2018-07-25 10:29 - 2018-07-25 10:29 - 000000000 ____D C:\Program Files\1QGDTP0T64
2018-07-25 10:28 - 2018-07-25 10:28 - 000140800 _____ C:\Users\Maple Bear\AppData\Local\installer.dat
2018-07-25 10:28 - 2018-07-25 10:28 - 000000000 ____D C:\Users\Maple Bear\AppData\Roaming\k4mm4u3gy20
2018-07-25 10:28 - 2018-07-25 10:28 - 000000000 ____D C:\Users\Maple Bear\AppData\Roaming\2ltuu2jza0t
2018-07-25 10:34 - 2018-07-25 10:34 - 000375522 _____ ( ) C:\Users\Maple Bear\AppData\Local\Temp\0sz253ohanr.exe
2018-07-25 10:23 - 2018-07-25 10:23 - 002971704 _____ (BitTorrent Inc.) C:\Users\Maple Bear\AppData\Local\Temp\Ativador_Office_2016_PERMANENTE_DEFINITIVO.exe
2013-12-08 19:39 - 2013-12-08 19:39 - 000052224 _____ () C:\Users\Maple Bear\AppData\Local\Temp\Ernestine.dll
2018-07-25 10:24 - 2018-07-25 10:24 - 000540672 _____ () C:\Users\Maple Bear\AppData\Local\Temp\installer_mi.exe
2018-07-25 10:24 - 2018-07-25 10:24 - 000820224 _____ () C:\Users\Maple Bear\AppData\Local\Temp\RegOrganizer.exe
2018-07-25 10:25 - 2018-07-25 10:37 - 015440200 _____ (ChemTable Software ) C:\Users\Maple Bear\AppData\Local\Temp\run.exe
2018-07-25 10:24 - 2018-07-25 10:24 - 008047387 _____ () C:\Users\Maple Bear\AppData\Local\Temp\s2s.exe
2018-07-25 10:24 - 2018-07-25 10:24 - 000667136 _____ () C:\Users\Maple Bear\AppData\Local\Temp\setup.exe
2018-07-25 10:24 - 2018-07-25 10:24 - 000688786 _____ ( ) C:\Users\Maple Bear\AppData\Local\Temp\setupGI.exe
2018-07-25 10:23 - 2018-07-25 10:23 - 000838656 _____ () C:\Users\Maple Bear\AppData\Local\Temp\TigerTrade.exe
2018-07-25 10:24 - 2018-07-25 10:24 - 000256674 _____ () C:\Users\Maple Bear\AppData\Local\Temp\veninstall.exe
2018-07-25 10:24 - 2018-07-25 10:24 - 001130527 _____ (Digital LLC ) C:\Users\Maple Bear\AppData\Local\Temp\whiteclick.exe
2018-07-25 10:50 - 2018-07-25 10:50 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-TR7N1.tmp\q3xcuyv5arf.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-NEHDJ.tmp\0gxe04bloba.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-6B0Q2.tmp\tzja4yvdwjd.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-39QHF.tmp\2ftovy5o1l2.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-EB7CN.tmp\2ri0gursg3e.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-L7G6H.tmp\q3xcuyv5arf.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000715264 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-V581P.tmp\5vc1e2cenqa.tmp
2018-07-25 10:51 - 2018-07-25 10:51 - 000113152 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_ctypes.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000080896 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\bz2.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 001585152 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_hashlib.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000128512 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32api.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000137728 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\pywintypes27.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000548864 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\pythoncom27.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000689664 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\unicodedata.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000438784 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32com.shell.shell.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 001489408 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\wx._core_.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 001007104 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\wx._gdi_.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 001039872 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\wx._windows_.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 001325056 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\wx._controls_.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000916992 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\wx._misc_.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 001084416 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\pysqlite2._sqlite.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000149504 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32file.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000136192 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32security.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000007680 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\hashobjs_ext.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000020992 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\thumbnails_ext.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000118784 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\usb_ext.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000047616 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_socket.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 002224640 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_ssl.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000014848 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\common.time34.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000023040 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32event.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000034304 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\windows.conditional.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000020480 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\windows.winwrap.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000110080 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\windows.volumes.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000223232 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32gui.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000173568 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_elementtree.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000169472 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\pyexpat.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000048128 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32inet.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000103424 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\wx._html2.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000046080 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_psutil_windows.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000633272 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\windows._cacheinvalidation.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000011776 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32crypt.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000301568 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\PIL._imaging.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000032256 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_multiprocessing.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 005458944 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\cello.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000026112 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\_yappi.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000044032 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32process.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000027648 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32pipe.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000010752 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\select.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000029696 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32pdh.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000038400 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\windows.connectivity.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000073216 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\windows.device_monitor.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000020480 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32profile.pyd
2018-07-25 10:51 - 2018-07-25 10:51 - 000026624 _____ () C:\Users\Maple Bear\AppData\Local\Temp\_MEI95882\win32ts.pyd
2018-07-25 10:50 - 2018-07-25 10:50 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-U5I04.tmp\_isetup\_isdecmp.dll
2018-07-25 10:50 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-U5I04.tmp\itdownload.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-M13M9.tmp\_isetup\_isdecmp.dll
2018-07-25 10:51 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-M13M9.tmp\itdownload.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-MNF76.tmp\_isetup\_isdecmp.dll
2018-07-25 10:51 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-MNF76.tmp\itdownload.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-IQCUC.tmp\_isetup\_isdecmp.dll
2018-07-25 10:51 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-IQCUC.tmp\itdownload.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-VF9I0.tmp\_isetup\_isdecmp.dll
2018-07-25 10:51 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-VF9I0.tmp\itdownload.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-77EC1.tmp\_isetup\_isdecmp.dll
2018-07-25 10:51 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-77EC1.tmp\itdownload.dll
2018-07-25 10:51 - 2018-07-25 10:51 - 000024240 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-GDIF4.tmp\_isetup\_isdecmp.dll
2018-07-25 10:51 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\Maple Bear\AppData\Local\Temp\is-GDIF4.tmp\itdownload.dll  
Task: {2E5DA6B3-85F3-4437-B305-954CC6B92C08} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe [2015-08-10] ()
Task: {6B374E88-B012-4905-9A00-C39D8AC8B9B0} - System32\Tasks\psv_ZerSonlab => cmd.exe /c regedit.exe /s "C:\ProgramData\Voyasollam\Transron.reg" & del "C:\ProgramData\Voyasollam\Transron.reg" & SCHTASKS /Delete /TN "psv_ZerSonlab" /F <==== ATENÇÃO
Task: {6BCDDB2B-466D-4310-A659-766ED7336B2D} - System32\Tasks\psv_EcoDontex => cmd.exe /c regedit.exe /s "C:\ProgramData\Voyasollam\Lamlab.reg" & del "C:\ProgramData\Voyasollam\Lamlab.reg" & SCHTASKS /Delete /TN "psv_EcoDontex" /F <==== ATENÇÃO
Task: {7B4B4C1B-20DB-43F7-94B5-2B25400D9BF5} - \Microsoft\Windows\UNP\RunCampaignManager -> Nenhum Arquivo <==== ATENÇÃO
Task: {B2CFC389-6160-4236-8A37-529662C02C4E} - System32\Tasks\psv_Lightron => cmd.exe /c regedit.exe /s "C:\ProgramData\Voyasollam\VilaQuosoft.reg" & del "C:\ProgramData\Voyasollam\VilaQuosoft.reg" & SCHTASKS /Delete /TN "psv_Lightron" /F <==== ATENÇÃO
Task: {DD4EA8FA-DF71-4DA4-941A-757FF467BC45} - System32\Tasks\psv_Dentophase => cmd.exe /c regedit.exe /s "C:\ProgramData\Voyasollam\KonRunla.reg" & del "C:\ProgramData\Voyasollam\KonRunla.reg" & SCHTASKS /Delete /TN "psv_Dentophase" /F <==== ATENÇÃO
Task: {FA3E1221-3080-428C-8F36-322C41F2D4A8} - System32\Tasks\psv_Toughdox => cmd.exe /c regedit.exe /s "C:\ProgramData\Voyasollam\Hottax.reg" & del "C:\ProgramData\Voyasollam\Hottax.reg" & SCHTASKS /Delete /TN "psv_Toughdox" /F <==== ATENÇÃO
FirewallRules: [{61F2D792-0C2F-4B61-B44B-B235B6D9882E}] => (Allow) C:\Users\Maple Bear\AppData\Local\Temp\WZSE0.TMP\Network\EpsonNetSetup\ENEasyApp.exe
FirewallRules: [{F54D3E4F-827A-488C-8885-79574DC72346}] => (Allow) C:\Users\Maple Bear\AppData\Local\Temp\WZSE0.TMP\Network\EpsonNetSetup\ENEasyApp.exe
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2410]
C:\Program Files (x86)\c4e5i2idlbs\OOBC5V8XNIXC5DE.exe
C:\Users\Maple Bear\AppData\Roaming\cls4bkk0nhm\0gxe04bloba.exe
C:\Users\Maple Bear\AppData\Roaming\24rdlfd0zir\tzja4yvdwjd.exe
C:\Users\Maple Bear\AppData\Roaming\2ltuu2jza0t\2ftovy5o1l2.exe
C:\Users\Maple Bear\AppData\Roaming\k4mm4u3gy20\2ri0gursg3e.exe
C:\Users\Maple Bear\AppData\Local\Temp\is-TR7N1.tmp\q3xcuyv5arf.tmp
C:\Users\Maple Bear\AppData\Local\Temp\is-NEHDJ.tmp\0gxe04bloba.tmp
C:\Users\Maple Bear\AppData\Local\Temp\is-6B0Q2.tmp\tzja4yvdwjd.tmp
C:\Users\Maple Bear\AppData\Local\Temp\is-39QHF.tmp\2ftovy5o1l2.tmp
C:\Users\Maple Bear\AppData\Local\Temp\is-EB7CN.tmp\2ri0gursg3e.tmp
C:\Users\Maple Bear\AppData\Local\Temp\is-L7G6H.tmp\q3xcuyv5arf.tmp
C:\Users\Maple Bear\AppData\Local\Temp\is-V581P.tmp\5vc1e2cenqa.tmp
C:\Users\Maple Bear\AppData\Roaming\odo1acbzw4o\5vc1e2cenqa.exe
C:\Users\Maple Bear\AppData\Roaming\fuhvesj40b5\q3xcuyv5arf.exe
C:\Program Files (x86)\c4e5i2idlbs\NF0EX.exe
C:\Program Files\NTFAJC7CK1\UW3WJF3WE.exe
C:\Program Files\1QGDTP0T64\O19YLPUS7.exe
C:\Program Files\NTFAJC7CK1\UW3WJF3WE.exe
C:\Program Files\ZISY2WDKFX\MTLJUW7JF.exe
C:\Program Files\V1OBNIOUTS\V1OBNIOUT.exe
C:\Program Files\K7BMDM64GL\K7BMDM64G.exe
C:\Program Files\A949NS6C3O\A949NS6C3.exe    
CreateRestorePoint:
Emptytemp:
Hosts:
end::

 

IsRtnte.jpg

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool". (Fixlog.txt)
> Este e outros relatórios,podem ser encontrados na pasta: Disco Local (C) >> FRST >> Logs

 

434264.gif


< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Weick _\

 

Editei meu Post anterior,para as corretas informações "em vermelho",que você deve copiar a um Bloco de Notas. Salve-as ao desktop,com o nome fixlist.

Abra a FRST e clique Corrigir.

Aguarde a finalização e poste: Fixlog.txt

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue log:

 

Resultado da Correção pela Farbar Recovery Scan Tool (x64) Versão: 21.07.2018

Executado por Maple Bear (26-07-2018 14:22:16) Run:2

Executando a partir de C:\Users\Maple Bear\Desktop

Perfis Carregados: Maple Bear (Perfis Disponíveis: Maple Bear)

Modo da Inicialização: Normal

==============================================

 

fixlist Conteúdo:

*****************

CHR NewTab: Default -> "active" : true,

"entry" : "chrome-extension://pbdpajcdgknpendpmecafmopknefafha/index.html"

CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2017-03-31]

CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-07-25]

CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-04] 

*****************

 

"Chrome NewTab" => removido (a) com sucesso.

"entry" : "chrome-extension://pbdpajcdgknpendpmecafmopknefafha/index.html" => Erro: Nenhuma correção automática foi encontrada para esta entrada.

CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2017-03-31] => Erro: Nenhuma correção automática foi encontrada para esta entrada.

CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-07-25] => Erro: Nenhuma correção automática foi encontrada para esta entrada.

CHR Extension: (Sem Nome) - C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-04] => Erro: Nenhuma correção automática foi encontrada para esta entrada.

 

==== Fim de Fixlog 14:22:17 ====

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Weick _\

 

> Baixe: < ZHPCleaner6LcRokv.jpg ... de Nicolas Coolman

> Ou |Aqui!| << Mirror!

 

> Estando na página,clique 7ukwnm8.jpg

 

> Salve-a ao desktop! ( ZHPCleaner.exe )
> Desabilite seu antivírus e execute ZHPCleaner.exe <<

 

nDQ00tR.jpg

 

> Ao abrir esta tela,evite clicar em Update ou Atualização,para não ser direcionado ao ZHPBrowser.
> Ps: Feche a mensagem ao clicar no ["X"].

 

6MKUYyzn.jpg

 

> Com a ferramenta aberta,clique em Scanner.

 

ljOOETD.jpg

 

> Aguarde a conclusão!

 

9g2LW3p.jpg

 

> Ao concluir,clique Repair.

 

88z05Yv.jpg

 

> Ps: Ignore possíveis alertas quanto à sua configuração de rede. (DNS)
> Clique Sim >> Sim!

 

CWxMrxRA.jpg

 

> Surgirão guias que estarão em vermelho,indicando problemas a serem reparados.
> Clique Repair.

 

fN86PG8.jpg

 

> Ao concluir,clique Report.
> Poste o log de reparo: ~ Type : Reparo

 

Citar

file:///C:/Users/xxx../AppData/Roaming/ZHP/ZHPCleaner.html


Ps: Ao clicar "Report",você obterá o relatório,dentre outras informações,em formato HTML.
file:///C:/Users/xxx.../AppData/Roaming/ZHP/ZHPCleaner.txt


Este será seu relatório direto,obtido ao modificar na barra de endereços,de (.html) para (.txt).
Basta selecionar (ctrl + A),copiar (ctrl + C) e colar ao seu Post ou Bloco de Notas. (ctrl + V)

 

dcE3kmT.jpg

 

Disponibilize o relatório em Cjoint.com ou utilize spoiler,cuja instrução está ao final daquela página.
Outra opçãohospedar o relatório em Hébergement de fichiers, Security-x.fr.

 

[Abs]

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia,

 

Segue relatório: https://www.cjoint.com/c/HGBjYdacpl7

 

Reiniciei o computador e as janelas do Edge não aparecem mais. Acho que estamos perto da solução! A única coisa que estou achando estranha são esses processos que aparecem no gerenciador de tarefas (segue print).

 

Obrigado,

Weick

Processos.png

Editado por Weick
Inserir print de processos no gerenciador de tarefas

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Weick _\

 

Citar

 

Não vi referências aos processos,mas não diferem muito do adware wizzcaster.

 

> Baixe: < AdwCleaner_Logo2_zps580bcd78.jpg > ( ... par Xplode )

 

> Ou daqui: < AdwCleaner > << Link!
> Ao acessar,clique em "Download Now".

> Salve-o ao desktop!
> Desabilite seu antivírus!

 

< Executar_Administrador.jpg >

 

> Clique direito em adwcleaner.exe,e escolha sua execução como administrador.

> Clique "Definições".

 

XZTQ4T3.jpg

 

> Estando em "Definições",deixe as configurações conforme este banner.

 

bk0BviF.jpg

 

> Ps: Dê início ao scan,clicando em "Verificar Agora".
> Ao concluir,clique "Limpar e Reparar".
> Na mensagem,clique "Limpar e Reiniciar".
> Ao concluir,clique "Ver Ficheiro de Registos".    
> Copie e poste o relatório! (Mode: Clean)/(AdwCleaner[C00])

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites
Spoiler

 

# -------------------------------
# Malwarebytes AdwCleaner 7.2.2.0
# -------------------------------
# Build:    07-17-2018
# Database: 2018-07-25.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    07-27-2018
# Duration: 00:00:06
# OS:       Windows 10 Home Single Language
# Cleaned:  36
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\Voyasollams
Deleted       C:\Windows\Syswow64\SSL
Deleted       C:\Users\Maple Bear\AppData\Local\WhiteClick

***** [ Files ] *****

Deleted       C:\Users\Maple Bear\appdata\local\installationconfiguration.xml
Deleted       C:\Users\Maple Bear\AppData\Local\Main.dat
Deleted       C:\Windows\SysWOW64\findit.xml

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
Deleted       HKLM\Software\MICROSOFT\TechnologyDesktopnew
Deleted       HKLM\SOFTWARE\MICROSOFT\Speedycar
Deleted       HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\VOYASOLLAM.EXE
Deleted       HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\VOYASOLLAM.EXE
Deleted       HKLM\Software\Wow6432Node\mtVoyasollam
Deleted       HKCU\Software\Microsoft\BigTime
Deleted       HKLM\Software\Microsoft\DMunversion
Deleted       HKLM\Software\Wow6432Node\MICROSOFT\WINDOWS NT\CURRENTVERSION\SILENTPROCESSEXIT\Voyasollam.exe
Deleted       HKU\S-1-5-18\Environment|SNP
Deleted       HKLM\System\CurrentControlSet\Services\EventLog\Application\Application Hosting
Deleted       HKCU\Software\Microsoft\Internet Explorer\SearchScopes|DefaultScope
Deleted       HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes|DefaultScope
Deleted       HKCU\Software\mtApService
Deleted       HKLM\Software\Wow6432Node\mtApService
Deleted       HKU\.DEFAULT\Environment|SNP
Deleted       HKCU\Software\MICROSOFT\wewewe
Deleted       HKLM\Software\Wow6432Node\SrcAAAesom Browser Enhancer
Deleted       HKLM\Software\SrcAAAesom Browser Enhancer
Deleted       HKCU\Software\WajIEnhance
Deleted       HKLM\Software\Wow6432Node\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted       HKLM\SOFTWARE\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted       HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Deleted       HKLM\Software\Microsoft\PrIncub
Deleted       HKLM\Software\Microsoft\MPrForShutT
Deleted       HKLM\Software\Microsoft\PrAmNP
Deleted       HKLM\Software\Microsoft\NSaveA
Deleted       HKLM\Software\Microsoft\APreSam

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

Deleted       https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuLH2byhed3g02SoNi4QVwBEebRpqZKmL_uily4GbZLL5c-S2_83jfzjLCAmslX9v8De2p5UnTR7OZrqB6TiKmHBKNCMQJsDrNkA2VHtl91WB1_gXrmK0g6Tjopl3f2-uQcxd6S_eLB0OZbOs1a3i7SMuyBGMDn
Deleted       WebSearch

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete IFEO
[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings

*************************

AdwCleaner[S00].txt - [4254 octets] - [27/07/2018 17:44:41]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Weick _\

 

> Baixe: < k00HFWk.jpg > < 6LcRokv.jpg > ( ... de Nicolas Coolman )

 

54003ae4505a2.jpg


ftp://zebulon.fr/ZHPDiag3.exe


> Ou daqui!
> Estando na página,clique: Télécharger
> Salve-a ao desktop! ( ZHPDiag3 )

 

Icon_zhpdiag3_zpsaigd3wcv.jpg

 

> Feche o navegador!
> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta!

 

6Z3ntic.jpg

 

> Ao surgir esta tela,evite clicar em Atualização! Feche-a clicando no [X].

vS5oRNY.jpg

> Clique Scanner.

 

hbwgVJ0.jpg

 

> Aguarde a conclusão! ( ...de 1% até 100% )

 

au97Ide.jpg

 

> À seguir,clique Relatório.
> O relatório estará disponibilizado em formato html.

file:///C:/Users/xxx.../AppData/Roaming/ZHP/ZHPDiag

.html
file:///C:/Users/xxx.../AppData/Roaming/ZHP/ZHPDiag.txt
Este será seu relatório direto,obtido ao modificar na barra de endereços,de (.html) para (.txt).
Depois,basta selecionar (ctrl + A),copiar (ctrl + C) e colar ao seu Post ou Bloco de Notas. (ctrl + V)

> Copie-o a um Bloco de Notas.
> Poste-o em sua resposta! (~ Modo: Scanner)
> Ps: Como o log será extenso,hospede-o em Pjjoint.malekal.

k1Jh97St.jpg

> Ou acesse: < 1fichier.com >

> Ou acesse: < Cjoint_Logo.jpg >

> Clique no botão Parcourir...
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

 

acrVh6GY.jpg

 

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

 

Copierlelien_zpsd51f499f.jpg

 

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.

 

[]s

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_Boa Tarde! Weick _\

 

2 horas atrás, Weick disse:

Boa tarde,

 

Segue relatório.

 

https://www.cjoint.com/cHGFqxQjf8O7

 

Não consigo mais abrir a página do imasters nem no Edge nem no Chrome. Ela fecha sozinha quando tento acessar.

 

> Somente do iMasters?

 

> Não consigo acesso ao relatório do ZHPDiag,por este link que postou. (Cjoint.com)

 

https://forum.imasters.com.br/topic/452207-pjjointmalekal-hospedagem-inteligente/

 

Poste-o em pjjoint.malekal ,e cole aqui o link ao relatório.

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Weick _\

 

> Baixe: < ZHPFix_Icon_zpsokw8gsh4.jpg > << Link!

Citar

http://www.commentcamarche.net/download/telecharger-34102185-zhpfix


> Ou aqui!
> Estando na página,clique: "Télécharger"
> Salve-o ao desktop!
> Instale-o,clicando em: Suivant >> Suivant >>...>> Suivant >> Suivant >> Installer >> Terminer

 

Citar

Ps: Caso surja uma mensagem do

Windows com a frase "Deseja permitir que o programa de um fornecedor desconhecido faça alterações neste computador?" Clique "Sim"


> Execute este script na ferramenta ZHPFix.

 

Script ZHPFix
SS - Auto   [26/07/2018] [  973768]  ZTUzZWM3NDExNGQ0ZWU (ZTUzZWM3NDExNGQ0ZWU) . (...) - C:\Program Files\ZTUzZWM3NDExNGQ0ZWU\YjZjZWFiYjljMDE3.exe  =>PUP.Optional.Wajam  =>PUP.Optional.Wajam
G0 - GCSP: Preferences [User Data\Default][HomePage]
http://feed.helperbar.com =>PUP.Optional.HelperBar
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%68%65%6c%70%65%72%62%61%72.%63%6f%6d/?p=mko_awfzxipyrystty34mamef947lyudltbxijwf_47u5patwwhshphidnfrtetnsu9ln4ovrosxw3qg0v6vq_pi0dwhpyfvghh1xerug7gkz5esmecfd4u7qzia_mix9yvscxybs6_isuxz8ecled5h03pp-8ep6i0mrllcscmz5cao3siojmzsbgoi&q={searchterms}  =>.SUP.Linkury
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl,Default = http://%66%65%65%64.%68%65%6c%70%65%72%62%61%72.%63%6f%6d/?p=mko_awfzxipyrystty34mamef947lyudltbxijwf_47u5patwwhshphidnfrtetnsu9ln4ovrosxw3qg0v6vq_pi0dwhpyfvghh1xerug7gkz5esmecfd4u7qzia_mix9yvscxybs6_isuxz8ecled5h03pp-8ep6i0mrllcscmz5cao3siojmzsbgoi&q={searchterms}  =>.SUP.Linkury
R1 - HKEY_USERS\S-1-5-21-4216877997-3920459586-2356809368-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%68%65%6c%70%65%72%62%61%72.%63%6f%6d/?p=mko_awfzxipyrystty34mamef947lyudltbxijwf_47u5patwwhshphidnfrtetnsu9ln4ovrosxw3qg0v6vq_pi0dwhpyfvghh1xerug7gkz5esmecfd4u7qzia_mix9yvscxybs6_isuxz8ecled5h03pp-8ep6i0mrllcscmz5cao3siojmzsbgoi&q={searchterms}  =>.SUP.Linkury
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [306X312R0NHD77K] . (. - .) -- C:\Program Files\0R2FMMGO2K\0R2FMMGO2.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [9076895] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\ifhcspx2ikc\disl10x0sok.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [6008864] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\zlolaxqabgi\wlhj2hu3nbb.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [Spotify] . (. - .) -- --minimized.  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [Free Download Manager] . (. - .) -- C:\Program Files\FreeDownloadManager.ORG\Free Download Manager\fdm.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [IXM5LGBMJKNOYPO] . (. - .) -- C:\Program Files\K1YIWLVSU3\XQ4X5K1TU.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [7684565] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\t2rvsfmayfl\3ho5kdlg10j.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [KWTAR679ZT9XGIA] . (. - .) -- C:\Program Files\5S6YIMOOLV\HHDDQLUPK.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [4640116] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\gzz1uzfnff0\i4dhctwkqrf.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [4ND541F9JDTDJ4C] . (. - .) -- C:\Program Files\D3YPSE3AM8\3HCJ8CFCK.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [6777332] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\pttczbotijo\5uybgtpvgr3.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [3IBJM5C6ZA1W7IK] . (. - .) -- C:\Program Files\FXGNA9PN30\V6C5YEZTP.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [9391062] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\hjjtnhr3eko\hlwwv0ttpad.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [MATTCRY3VVPWWAE] . (. - .) -- C:\Program Files\THZ1V89HI1\666G37FIH.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [4649048] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\mplwzptjvre\gucxkyftpjc.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [EWN6U5GCCBBNP1N] . (. - .) -- C:\Program Files\U7QH33N86O\U7QH33N86.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [3673502] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\5ytpwjxdug4\hhrl1le3erk.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [306X312R0NHD77K] . (. - .) -- C:\Program Files\0R2FMMGO2K\0R2FMMGO2.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [9076895] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\ifhcspx2ikc\disl10x0sok.exe (.Not File.)  =>.SUP.Orphan
O4 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\..\Run: [6008864] . (. - .) -- C:\Users\Maple Bear\AppData\Roaming\zlolaxqabgi\wlhj2hu3nbb.exe (.Not File.)  =>.SUP.Orphan
O23 - Service: ZTUzZWM3NDExNGQ0ZWU (ZTUzZWM3NDExNGQ0ZWU) . (...) - C:\Program Files\ZTUzZWM3NDExNGQ0ZWU\YjZjZWFiYjljMDE3.exe {319A5DD25B165F00E7FD142A}  =>PUP.Optional.Wajam
O43 - CFD: 27/07/2018 - [] D -- C:\Program Files\KMSpico  =>HackTool.KMSpico
[HKEY_USERS\S-1-5-18\Environment]:SNP  =>PUP.Optional.Salus
HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\SOFTWARE\Chromium  =>.Chromium
HKLM\SYSTEM\CurrentControlSet\Services\ZTUzZWM3NDExNGQ0ZWU  =>PUP.Optional.Wajam
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32  =>.SUP.Orphan
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}  =>.SUP.Orphan
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32  =>.SUP.Orphan
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}  =>.SUP.Linkury
HKLM\SOFTWARE\mtApService  =>PUP.Optional.Salus
HKCU\SOFTWARE\Chromium  =>.Chromium
C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\File System\002  =>.SUP.Temporary.Chrome
C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\File System\003  =>.SUP.Temporary.Chrome
C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\File System\Plugins  =>.SUP.Temporary.Chrome
C:\Program Files\ZTUzZWM3NDExNGQ0ZWU\YjZjZWFiYjljMDE3.exe  =>PUP.Optional.Wajam
C:\WINDOWS\System32\drivers\ZGZmMzNhODg5MjgyMG.sys  =>PUP.Optional.Wajam
C:\Program Files\KMSpico  =>HackTool.KMSpico
ServiceStop:ZTUzZWM3NDExNGQ0ZWU
EmptyPrefetch
FirewallRaz
ShortcutFix
Emptytemp
EmptyClsid
Ifeofix

 

> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c. ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.

 

> Abra a ferramenta ZHPFix. < ZHPFix_logo2_zpsea0f2aa4.jpg >

 

SMjZDzwL.jpg

 

> Clique IMPORTAÇÃO >> OK.
> Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Não encontrando anormalidades,clique "GO".

 

iwKZUZb.jpg

 

> Ou,clique CONFIGURAR >> Personalizar.
> Cole as informações contidas no Bloco de Notas,ao campo da ferramenta.
> Clique "GO" >> Oui >> Oui
> Poste o relatório! (C:\Users\Usuário\AppData\Roaming\ZHP\ZHPFix[R1].txt)

 

434264.gif


< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >

 

[Abs]

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia,

Não consigo executar o script. Nas duas opções (importação e configurar/personalizar) dá o mesmo problema:

 

 

ZHPfixErro.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Tarde! Weick _\

 

bfjb01S.jpg

 

Esta linha que destaquei,foi copiada sem erros ao script?

O campo estava limpo ao efetuar a cópia?

Verifique estas condições,que podem invalidar o script de ser executado.

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

Consegui.

Segue relatório.

 

Rapport de ZHPFix 2017.06.13.1 par Nicolas Coolman, Update du 13/06/2017
Fichier d'export Registre : 
Run by Maple Bear at 07/08/2018 06:43:35
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (17134)

Reciclagem vazia (00mn 14s)
Prefetcher vazio
Reparação de atalhos do navegador

========== Processo memória ==========
ELIMINA REINICIAR: Memory Process: C:\Program Files\ZTUzZWM3NDExNGQ0ZWU\YjZjZWFiYjljMDE3.exe
ELIMINA REINICIAR: Memory Process: C:\WINDOWS\System32\drivers\ZGZmMzNhODg5MjgyMG.sys

========== Estado dos serviços ==========
ZTUzZWM3NDExNGQ0ZWU Parado

========== Chaves do Registo ==========
ELIMINÉ:³ Service: ZTUzZWM3NDExNGQ0ZWU
ELIMINÉ:³ HKLM\SYSTEM\CurrentControlSet\Services\ZTUzZWM3NDExNGQ0ZWU
ELIMINÉ:³ HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
ELIMINÉ:³ HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
ELIMINÉ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}
ELIMINÉ: HKCU\SOFTWARE\Chromium

========== Valores do Registo ==========
ELIMINÉ RunValue: 306X312R0NHD77K
ELIMINÉ RunValue: 9076895
ELIMINÉ RunValue: 6008864
ELIMINÉ RunValue: Spotify
ELIMINÉ RunValue: Free Download Manager
ELIMINÉ RunValue: IXM5LGBMJKNOYPO
ELIMINÉ RunValue: 7684565
ELIMINÉ RunValue: KWTAR679ZT9XGIA
ELIMINÉ RunValue: 4640116
ELIMINÉ RunValue: 4ND541F9JDTDJ4C
ELIMINÉ RunValue: 6777332
ELIMINÉ RunValue: 3IBJM5C6ZA1W7IK
ELIMINÉ RunValue: 9391062
ELIMINÉ RunValue: MATTCRY3VVPWWAE
ELIMINÉ RunValue: 4649048
ELIMINÉ RunValue: EWN6U5GCCBBNP1N
ELIMINÉ RunValue: 3673502
Ausente Valor Perfil Padrão: FirewallRaz : 
Ausente Valor Perfil Domínio FirewallRaz : 
Nenhum valor presente na chave de exceções do registo (FirewallRaz)

========== Elementos dos dados do Registo ==========
ELIMINÉ: R1 Search Page = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyudltbXijWF_47u5PatwWhshPHIdNfRTEtnSu9Ln4ovROsxw3qG0v6vq_pI0dwHPYfvgHh1XeRUG7GkZ5ESMecFD4u7qzIA_MiX9yVsCxYBs6_iSuxz8eCLEd5h03Pp-8Ep6i0mrLLcsCMz5Cao3siOjMZsBGOI&q={searchTerms}

========== Preferências do navegador ==========
AGORA Chrome File: C:\Users\Maple Bear\AppData\Local\Google\Chrome\User Data\Default\Preferences
AUSENTE Chrome Site: http://feed.helperbar.com

========== Pastas ==========
Nenhuma pasta CLSID local utilizador vazia

========== Ficheiros ==========
ELIMINÉ Temporários windows (3125) (129.086.696 octets)

========== Outros ==========
NÃO-TRATADO R1 - HKUS\S-1-5-21-4216877997-3920459586-2356809368-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bars6_isuxz8ecled5h03pp-8ep6i0mrllcscmz5cao3siojmzsbgoi&q={searchterms}
NÃO-TRATADO [HKU\S-1-5-21-4216877997-3920459586-2356809368-1001\SOFTWARE\Chromium]


========== Recapitulativo ==========
2 : Processo memória
6 : Chaves do Registo
20 : Valores do Registo
1 : Elementos dos dados do Registo
1 : Pastas
1 : Ficheiros
2 : Preferências do navegador
1 : Estado dos serviços
2 : Outros


End of clean in 06mn 37s

========== Caminho do ficheiro do relatório ==========
C:\Users\Maple Bear\AppData\Roaming\ZHP\ZHPFix[R1].txt - 07/08/2018 06:43:49 [3117]
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Bom Dia! Weick _\

 

xTNAob2.jpg

 

> Estes objetos/arquivos,ainda aparecem na linha de processos?

 

> Baixe: < RogueKiller_Logo.jpg  > ( ... by Adlice Software ) ( 64 bits version )

> Ps: Desabilite seu antivírus a ao acessar o link,escolha o plano Free!
> Role a página e clique "DOWNLOAD".
> Escolha "Installer 32/64 bits [Fosshub Mirror]" ou Portable 32 bits ou Portable 64 bits. (V12.12.12.0)
> Salve-o ao desktop!
> Feche aplicativos que estejam abertos!
> Execute-o e aceite a Eula.

 

Citar

http://www.adlice.com/thanks-downloading-roguekiller/


> Feche esta página da Adlice Software,que lhe abre ao navegador.
> Ps: Se o "Filtro SmartScreen",do navegador IE,bloquear o anti-malware,clique em "Mais informações".
> À seguir,clique: "Executar de qualquer maneira"

 

> Clique na guia "SCAN" >> "Start Scan".
> Aguarde a conclusão!

> Clique "Open Report" >> "Open TXT".
> Copie e poste o relatório! (Modo: Escanear)

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 07/08/2018 at 10:09, DigRam disse:

> Estes objetos/arquivos,ainda aparecem na linha de processos?

Olá,

 

Não, estes processos não aparecem mais no gerenciador de tarefas.

 

Estou enfrentando dificuldades com o RogueKiller. Ele inicia o scan, mas em um dado momento, ele fecha sozinho (da mesma forma que a página do fórum fecha sozinha). Quando tento abrir o RogueKiller novamente (indo pelo diretório em C:/Arquivos de Programas/...) a própria pasta fecha sozinha, não me permitindo abrir o programa. Daí tenho que reiniciar o computador para tentar novamente.

 

É isso que estou fazendo agora, rodando o scan mais uma vez para ver se consigo e então postar o relatório. Se tiver alguma dica de como fazer isso, agradeceria.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Conteúdo Similar

    • Por karoline ferreira
      BOM DIA!
      MEU NOTEBOOK ANDA TRAVANDO DO NADA QUERIA QUE VOCES ME AJUDA-SE E TAMBEM ACHO QUE ELE TEM PROGRAMAS INDESEJADOS, QUE NEM SEI PARA QUE SERVE.
      ATT:
      KAROLINE
    • Por karoline ferreira
      Boa tarde, alguém me ajude por favor! meu notebook anda travando do nada. Só começar usar ele que começa demorar carregar as coisas e travar.
       
    • Por Pedroalves
      fiz um com o meu antivirus e detetou 3 trojan e tenho o pc bastante lento
      segue-se os links
        https://www.cjoint.com/c/HHmudNyXmWu
      https://www.cjoint.com/c/HHmufArE0Bu
    • Por fermunhoz
      Boa noite, galera!
       
      Estou precisando de um "esquema" que funcione da seguinte forma.
       
      Tenho uma variável que varia entre 1 (caso esteja ligado) e 0 (desligado)
      Preciso que fique fazendo uma verificação constante nessa variavel pra checar quando ela é diferente de 0, fiz da seguinte forma porém trava a aplicação:
       
      a variavel sempre vai iniciar em 0, se eu mudar manualmente a variavel pos_key pra 1 ele vai executar o while o que faz com que trave a aplicação.
      alguém sabe como fazer ??
       
      Gostaria que ele só saisse do while depois que a variavel for = 0
       
      var pos_key = 0;
      }
       
      while (pos_key != 0) {
              console.log("Perimetro violado!")}
       
       
    • Por Bobrinha
      Olá.
       
      Estou com problemas ao acessar o site do Bradesco, claramente fui hackeado ou algo do tipo, ao tentar acessar o site do Bradesco me apresenta um site falso, porém bem parecido, pessoas com poucos conhecimentos em navegação ou com falta de atenção, pressa etc ia preencher os dados e cair rapidamente no golpe mais como resolver?
       
      Tenho o antvirus AVG claramente não serve pra nada pois ele diz que não tem nenhum virus rsss... também rodei o superantspwarer que também não achou nada

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.