Jump to content
Pedroalves

[Resolvido] Computador possivelmente Infectado

Recommended Posts

/_ Boa Noite! Pedroalves _\

 

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

start::
CloseProcesses:
HKU\S-1-5-21-2955925240-1096623219-443652941-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKU\S-1-5-21-2955925240-1096623219-443652941-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.pt/
SearchScopes: HKU\S-1-5-21-2955925240-1096623219-443652941-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10427__180526__yaie&p={searchTerms}
FF NewTab: Mozilla\Firefox\Profiles\ixdg9mn0.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10427__180526__yaff
Task: {00e220a5-0824-47f5-afe6-5609c16178de} - no filepath
ShortcutWithArgument: C:\Users\Pedro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Node.js\Node.js command prompt.lnk -> C:\Windows\SysWOW64\cmd.exe (Microsoft Corporation) -> /k "C:\Program Files (x86)\nodejs\nodevars.bat"
Task: {18515B67-9C76-4549-9D17-25C9BD18495B} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-03-21] (Adobe Systems Incorporated)
CreateRestorePoint:
Emptytemp:
Hosts:
end::

 

IsRtnte.jpg

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool". (Fixlog.txt)
> Este e outros relatórios,podem ser encontrados na pasta: Disco Local (C) >> FRST >> Logs

 

434264.gif


< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[]s

Share this post


Link to post
Share on other sites

segue-se o resultado

Fix result of Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Ran by Pedro Quesado (18-08-2018 14:31:13) Run:1
Running from C:\Users\Pedro\Desktop
Loaded Profiles: Pedro Quesado (Available Profiles: Pedro Quesado & Pedro & Administrador)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CloseProcesses:
HKU\S-1-5-21-2955925240-1096623219-443652941-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKU\S-1-5-21-2955925240-1096623219-443652941-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.pt/
SearchScopes: HKU\S-1-5-21-2955925240-1096623219-443652941-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10427__180526__yaie&p={searchTerms}
FF NewTab: Mozilla\Firefox\Profiles\ixdg9mn0.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10427__180526__yaff
Task: {00e220a5-0824-47f5-afe6-5609c16178de} - no filepath
ShortcutWithArgument: C:\Users\Pedro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Node.js\Node.js command prompt.lnk -> C:\Windows\SysWOW64\cmd.exe (Microsoft Corporation) -> /k "C:\Program Files (x86)\nodejs\nodevars.bat"
Task: {18515B67-9C76-4549-9D17-25C9BD18495B} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-03-21] (Adobe Systems Incorporated)
CreateRestorePoint:
Emptytemp:
Hosts:

 

Share this post


Link to post
Share on other sites

/_ Boa Noite! Pedroalves _\

 

> O relatório Fixlog veio incompleto!

 

> Baixe: < ZHPCleaner > < 6LcRokv.jpg ... de Nicolas Coolman >

> Ou |Aqui!| << Mirror!

 

Citar


> Caso tenha algum impedimento ao download,assista este tutorial que foi postado no YouTube,para desativar o Windows SmartScreen.

> Estando na página,clique 7ukwnm8.jpg

> Salve-a ao desktop! ( ZHPCleaner.exe )
> Desabilite seu antivírus e execute ZHPCleaner.exe <<

 

nDQ00tR.jpg

 

> Ao abrir esta tela,evite clicar em Update ou Atualização,para não ser direcionado ao ZHPBrowser.
> Ps: Feche a mensagem ao clicar no ["X"].

 

6MKUYyzn.jpg

 

> Com a ferramenta aberta,clique em Scanner.

 

ljOOETD.jpg

 

> Aguarde a conclusão!

 

9g2LW3p.jpg

 

> Ao concluir,clique Repair.

 

88z05Yv.jpg

 

> Ps: Ignore possíveis alertas quanto à sua configuração de rede. (DNS)
> Clique Sim >> Sim!

 

CWxMrxRA.jpg

 

> Surgirão guias que estarão em vermelho,indicando problemas a serem reparados.
> Clique Repair.

 

fN86PG8.jpg

 

> Ao concluir,clique Report.
> Poste o log de reparo: ~ Type : Reparo

 

Citar

file:///C:/Users/xxx../AppData/Roaming/ZHP/ZHPCleaner.html


Ps: Ao clicar "Report",você obterá o relatório,dentre outras informações,em formato HTML.
file:///C:/Users/xxx.../AppData/Roaming/ZHP/ZHPCleaner.txt


Este será seu relatório direto,obtido ao modificar na barra de endereços,de (.html) para (.txt).
Basta selecionar (ctrl + A),copiar (ctrl + C) e colar ao seu Post ou Bloco de Notas. (ctrl + V)

 

dcE3kmT.jpg

 

Disponibilize o relatório em Cjoint.com ou utilize spoiler,cuja instrução está ao final daquela página.
Outra opçãohospedar o relatório em Hébergement de fichiers, Security-x.fr.

 

[Abs]

Share this post


Link to post
Share on other sites

segue-se o log

~ ZHPCleaner v2018.8.16.160 by Nicolas Coolman (2018/08/16)
~ Run by Pedro Quesado (Administrator)  (19/08/2018 00:18:46)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Certificate ZHPCleaner: Legal
~ Type : Repair
~ Report : C:\Users\Pedro\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Pedro\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 17134)


---\\  Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.


---\\  Services (0)
~ No malicious or unnecessary items found.


---\\  Browser internet (1)
DELETED data: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\webcompanion.com\\http [Bad : Sensitive Websites]  =>PUP.Optional.LavasoftWebCompanion


---\\  Hosts file (1)
~ The hosts file is legitimate (2)


---\\  Scheduled automatic tasks. (0)
~ No malicious or unnecessary items found.


---\\  Explorer ( File, Folder) (2)
MOVED file: C:\Users\Pedro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\BitTorrent.lnk  [Bad : C:\Users\Pedro\AppData\Roaming\BitTorrent\BitTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
MOVED folder: C:\Users\Pedro\AppData\Local\SlimWare Utilities Inc  =>.SUP.SlimWareUtilities


---\\  Registry ( Key, Value, Data) (6)
DELETED key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\BitTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
DELETED key*: HKCU\Software\Lavasoft\Web Companion []  =>PUP.Optional.LavasoftWebCompanion
DELETED key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com []  =>PUP.Optional.LavasoftWebCompanion
DELETED key*: HKLM\SOFTWARE\Wow6432Node\Lavasoft\Web Companion []  =>PUP.Optional.LavasoftWebCompanion
DELETED key: HKLM\SOFTWARE\Lavasoft\Web Companion []  =>PUP.Optional.LavasoftWebCompanion
DELETED key*: [X64] HKLM\SOFTWARE\Wow6432Node\SlimWare Utilities Inc []  =>.SUP.SlimWareUtilities


---\\  Summary of the elements found (3)
https://nicolascoolman.eu/2017/03/12/superfluous-lavasoftwebcompanion/ =>PUP.Optional.LavasoftWebCompanion
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/03/03/superfluous-slimwareutilities/ =>.SUP.SlimWareUtilities


---\\  Other deletions. (50)
~ Registry Keys Tracing deleted (48)
~ Remove the old reports ZHPCleaner. (2)


---\\ Result of repair
~ Repair carried out successfully
~ Browser not found (Google Chrome)
~ Browser not found (Opera Software)


---\\ Statistics
~ Items scanned : 2036
~ Items found : 0
~ Items cancelled : 0
~ Items options : 0/7
~ Space saving (bytes) : 0


~ End of clean in 00h00mn21s

---\\  Reports (2)
ZHPCleaner--19082018-00_18_25.txt
ZHPCleaner-[R]-19082018-00_19_07.txt

 

Share this post


Link to post
Share on other sites

/_ Bom Dia! Pedroalves _\

 

você ainda detecta algum Trojan?

 

> Baixe: < AdwCleaner_Logo2_zps580bcd78.jpg > ( ... de Xplode )

> Ou daqui: < AdwCleaner > << Link!
> Ao acessar,clique em "Download Now".

> Salve-o ao desktop!
> Desabilite seu antivírus!

 

< Executar_Administrador.jpg >

 

> Clique direito em adwcleaner.exe,e escolha sua execução como administrador.

> Clique "Definições".

 

XZTQ4T3.jpg

 

> Estando em "Definições",deixe as configurações conforme este banner.

bk0BviF.jpg

 

> Ps: Dê início ao scan,clicando em "Verificar Agora".
> Ao concluir,clique "Limpar e Reparar".
> Na mensagem,clique "Limpar e Reiniciar".
> Ao concluir,clique "Ver Ficheiro de Registos".    
> Copie e poste o relatório! (Mode: Clean)/(AdwCleaner[C00])

 

[]s

Share this post


Link to post
Share on other sites

acho que não detectou trojan mais tenho que fazer um scan novamente

o trojans que eu falo são estes: JS:ScriptIP-inf[Trj]

ele pediu-me para actualizar a versao e eu disse que não

fiz bem devida ter actualizado a versão

segue-se o log

# -------------------------------
# Malwarebytes AdwCleaner 7.2.1.0
# -------------------------------
# Build:    06-26-2018
# Database: 2018-08-17.2
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-19-2018
# Duration: 00:00:03
# OS:       Windows 10 Pro
# Cleaned:  5
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Public\Documents\Downloaded Installers

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
Deleted       HKLM\Software\Wow6432Node\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete IFEO
[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings

*************************

AdwCleaner[S00].txt - [1718 octets] - [19/08/2018 11:36:58]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

 

Share this post


Link to post
Share on other sites

/_ Bom Dia! Pedroalves _\

 

Citar

acho que não detectou trojan mais tenho que fazer um scan novamente

o trojans que eu falo são estes: JS:ScriptIP-inf[Trj]

ele pediu-me para actualizar a versao e eu disse que não

fiz bem devida ter actualizado a versão

 

Caso queira,podes realizar novo scan com a versão atualizada da AdwCleaner. Mas creio que os resultados não serão diferentes da versão anterior.

 

> Não havendo mais problemas,remova as ferramentas que foram utilizadas na desinfecção e estabeleça backup,ao registro do Windows.

 

> Baixe: < sCLvEZN.jpg > ( ... de Xplode )

 

DelFix_Download_zpsb5d944c7.jpg

 

> Estando na página,clique em Download Now.
> Salve-a em um local conveniente. ( desktop! )
> Feche aplicativos que estejam abertos.

 

a2UgMDf.jpg

 

> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema

 

> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!
> Ps: Por fim,backup do Registro estará em: C:\WINDOWS\ERUNT\DelFix <<

 

p4uhpuP.jpg

 

> Caso necessite acioná-lo,abra a pasta DelFix e execute ERDNT.exe.
> Clique OK na mensagem!

 

[Abs]

Share this post


Link to post
Share on other sites

/_ Bom Dia! Pedroalves _\

 

---\\  Summary of the elements found (3)
https://nicolascoolman.eu/2017/03/12/superfluous-lavasoftwebcompanion/ =>PUP.Optional.LavasoftWebCompanion
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/03/03/superfluous-slimwareutilities/ =>.SUP.SlimWareUtilities

---

---

 

Bom trabalho!

O sumário das detecções em sua máquina,mostrou somente PUPs e objetos Superfluous.

 

[]s

Share this post


Link to post
Share on other sites

Caso Resolvido!

 

logo_cartilha.png

 

Para sua Segurança!

Leia as dicas ou orientações contidas na Cartilha de Segurança para Internet.

 

Caso Resolvido!

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Similar Content

    • By Eduarda Lang Duarte
      O windows diz que não pode encontrar programas da Office 2010, eu ja tentei ir no Regedit e renomear o Office como Office.old e não funcionou, tentei reparar mas sempre aparece que não acha uma dll diferente. Eu já vi várias pessoas com o mesmo problema que eu, e disseram que é vírus, como eu resolvo? É minha primeira vez nesse site, se tiver algo errado, me falem que eu arrumo.
    • By Felipe Augusto de Godoy
      Olá, 
       
      Boa tarde 
       
      Estou com um problema recente em meu computador onde sempre que abro alguma página da internet demora séculos para carregar e logo após algum período as páginas carregam normalmente. Tenho notado também que sempre que estou vendo vídeos ou algo que execute áudio no PC, se eu fechar a janela ou programa, ao reabrir o serviço de áudio para de executar e tenho que reiniciar o computador. Desconfio que seja vírus pois meu irmão pequeno vive instalando porcarias no computador e desde um tempo pra cá, na inicialização, se eu não ficar apertando Enter ou mexendo o mouse o computador não inicia, vai pra uma tela onde fica uns riscos em vermelho no canto superior e não sai daquilo.
       
      Segue log do Farbar
      https://www.cjoint.com/c/IAynitdXedb
      https://www.cjoint.com/c/IAyni7MEhxb
       
      Obrigado, até logo
    • By karoline ferreira
      Boa tarde, alguém me ajude por favor! meu notebook anda travando do nada. Só começar usar ele que começa demorar carregar as coisas e travar.
       
    • By Weick
      Olá,
       
      Depois de tentar ativar o office, acho que o computador ficou infectado por vírus. Trava o tempo todo e fica abrindo páginas no navegador Edge sem parar. Verifiquei com o SDefender, mas não encontrou nenhuma ameaça. Seguem logs:
       
      Addition: https://www.cjoint.com/c/HGzoVqnmOI7
      FRST: https://www.cjoint.com/c/HGzoWHMtph7
       
      Obrigado,
      Weick
      Edit: receio ter aberto o tópico no local errado. Tentei mover, mas acredito que somente moderadores podem fazer isso. Caso esteja em local errado, peço a gentileza de mover.
    • By Bobrinha
      Olá.
       
      Estou com problemas ao acessar o site do Bradesco, claramente fui hackeado ou algo do tipo, ao tentar acessar o site do Bradesco me apresenta um site falso, porém bem parecido, pessoas com poucos conhecimentos em navegação ou com falta de atenção, pressa etc ia preencher os dados e cair rapidamente no golpe mais como resolver?
       
      Tenho o antvirus AVG claramente não serve pra nada pois ele diz que não tem nenhum virus rsss... também rodei o superantspwarer que também não achou nada

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.