[Arquivado] java-rmi

[Pathfinder 0]

Bom dia,

 

O computador foi infectado por malware. Descobri isso porque o antivírus não atualizava, e nem permitia instalar uma nova versão. 

 

Rodei o Malwarebytes, foram encontradas várias ameças Trojan BlockAV e removidas.

 

Exclui também uma pasta C:\5ZGaKN4goVxq\ criada exatamente quando começaram os erros no computador.

 

Porém, toda vez que o Windows 10 carrega, aparece uma janela com a mensagem:

O sistema não pode encontrar o arquivo C:\5ZGaKN4goVxq\java-rmi_5ZGaKN4goVxq.exe.

 

Rodei o regedit, procurei as linhas no registro com o termo 5ZGaKN4goVxq e exclui todas. A mensagem continua aparecendo.

 

O que deve ser feito para remover essa mensagem que aparece na inicialização e eu ter certeza de que o computador está desinfectado? Fiquei totalmente sem segurança para fazer compras online usando cartão depois desse fato.

 

Links dos logs:

https://www.cjoint.com/c/HHEmbsqIfsu
https://www.cjoint.com/c/HHEl6VNzEnu
 

 

 

 

 

 

[DigRam 144]

/_ Boa Tarde! Pathfinder _\

 

"Desculpe-me a demora em lhe atender,pois estive enfermo."

 

> Desinstale: Avast Free Antivirus (HKLM-x32\...\Avast Antivirus) (Version: 18.6.2349 - AVAST Software) 
>
> Mantenha,à seguir,habilitado seu antivírus nativo! ( Windows Defender )

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

start::
CloseProcesses:
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} 
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-1963472234-4185235884-2344536914-1002 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-1963472234-4185235884-2344536914-1002 -> {CA8CED1A-EF19-4BA7-991E-73A88A8A62F3} URL = 
SearchScopes: HKU\S-1-5-21-1963472234-4185235884-2344536914-1002 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} 
BHO-x32: GbIehObj Class -> {C41A1C0E-EA6C-11D4-B1B8-444553540008} -> C:\PROGRAM FILES (X86)\GBPLUGIN\gbiehuni.dll => Nenhum Arquivo 
BHO-x32: Sem Nome -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Nenhum Arquivo 
Task: {0E69FBD7-1249-46F0-BCB4-8D555668D883} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Nenhum Arquivo <==== ATENÇÃO 
Task: {13B289F9-343B-4886-AD89-DF9C404DB423} - \Microsoft\Windows\UNP\RunCampaignManager -> Nenhum Arquivo <==== ATENÇÃO 
Task: {3D9C78D1-AC9F-4F0A-A19E-941CAD95083C} - System32\Tasks\Rerun Warsaw's CoreFixer => C:\WINDOWS\TEMP\is-6O6TG.tmp\corefixer.exe <==== ATENÇÃO 
Task: {3F2DC718-B8A9-424A-9F78-F2F21F7CA989} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Nenhum Arquivo <==== ATENÇÃO 
Task: {4045CC7E-935E-492A-B681-56EFC7792261} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {43EDECA1-8EC1-455D-882D-C2BCB2E305E7} - \CCleanerSkipUAC -> Nenhum Arquivo <==== ATENÇÃO 
Task: {61B03B78-A017-4A8F-AD1D-C6D8C3BD255A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Nenhum Arquivo <==== ATENÇÃO 
Task: {6860E70A-F8B6-4D1A-8544-21F56C8EF04B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO 
Task: {713C89B7-9989-4FF5-8226-2B3939B975B1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Nenhum Arquivo <==== ATENÇÃO 
Task: {7AEE2043-E60E-468D-82D9-BB0CDFCA3B67} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO 
Task: {7C15FB46-2A32-4FA0-8463-5C3C277D5822} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Nenhum Arquivo <==== ATENÇÃO 
Task: {867967D7-1B26-4567-AF86-BA09AE0601FB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Nenhum Arquivo <==== ATENÇÃO 
Task: {B173DA12-A1A2-4DFD-AE7E-ACE86E4656FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Nenhum Arquivo <==== ATENÇÃO 
Task: {B3F4E554-473B-4324-A7FD-9168BD97365A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO 
Task: {E26EDD1A-7DA0-4A45-B6BB-AFDFF551BEB6} - \WPD\SqmUpload_S-1-5-21-1963472234-4185235884-2344536914-1002 -> Nenhum Arquivo <==== ATENÇÃO 
AlternateDataStreams: C:\Program Files (x86)\GbPlugin:IncompleteStartProcessProtection.cnt [10] 
AlternateDataStreams: C:\Program Files (x86)\GbPlugin:u6eBQrM0Z2K3FKLVBMG8dY3IkKT2rqFO+Sf68h8fDg== [32] 
AlternateDataStreams: C:\WINDOWS\system32\Drivers\gbpddfac64.sys:r0d3jo5 [20] 
AlternateDataStreams: C:\WINDOWS\system32\Drivers\gbpddfac64.sys:X5ZN8aGvT4 [0] 
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2410] 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" 
FirewallRules: [TCP Query User{1883A0B7-AC88-43FA-AD28-C33BC417C522}C:\program files\java\jre1.8.0_25\launch4j-tmp\irpf2015.exe] => (Allow) C:\program files\java\jre1.8.0_25\launch4j-tmp\irpf2015.exe 
FirewallRules: [UDP Query User{E6FC9077-6989-4BE2-8898-6213322E0B56}C:\program files\java\jre1.8.0_25\launch4j-tmp\irpf2015.exe] => (Allow) C:\program files\java\jre1.8.0_25\launch4j-tmp\irpf2015.exe 
FirewallRules: [{A87B0B3E-CA72-4BA9-A5C3-EFFE46FD16FC}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe 
FirewallRules: [{48DA903C-1425-41A6-8CA4-9175133C9AD1}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe 
Folder: C:\5ZGaKN4goVxq
CreateRestorePoint:
RemoveProxy:
EmptyTemp:
Hosts:
end::

 

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde! 
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool". (Fixlog.txt)
> Este e outros relatórios,podem ser encontrados na pasta: Disco Local (C) > FRST > Logs

< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[A+]
 

[Pathfinder 0]

Desculpe a demora no feedback. Eu não configurei para receber alerta de resposta, nem sei se é possível. Até estava usando apenas o Linux por não saber remover essa mensagem e temer que algo pior ocorra.

 

Fiz o que o senhor indicou. Reiniciei o computador e continua aparecendo a bendita mensagem na inicialização, conforme relatei no post inicial:
"Porém, toda vez que o Windows 10 carrega, aparece uma janela com a mensagem:

O sistema não pode encontrar o arquivo C:\5ZGaKN4goVxq\java-rmi_5ZGaKN4goVxq.exe."

 

Segue o log da ação de reparo do FRST:
https://cjoint.com/c/HLzo4Rxlu14

[DigRam 144]

/_ Boa Tarde! Pathfinder _\

 

> Desinstale: <2>

 

Avast Free Antivirus (HKLM-x32\...\Avast Antivirus) (Version: 18.6.2349 - AVAST Software) 
Malwarebytes versão 3.5.1.2522 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.5.1.2522 - Malwarebytes)
 

> Baixe: < 360 Total Security >
> Instale-o! Ele fará novo gerenciamento da inicialização do Windows.

 

 

> Ao concluir a instalação,faça download dos Motores Avira e BitDefender,para potencializar seu antivirus.

 

 

> Após baixar seus bancos de definições,clique "Verificar".

 

 

> Antes de clicar "Solucionar",verifique se o 360 detectou algum Falso Positivo para adicioná-lo à Lista de Exclusão.
> Neste caso e sendo legítimo,clique "Confiar" >> OK.

 

 

> Ao concluir o scan,clique "Solucionar".

 

 

> Ps: Antes de clicar "Terminar" e caso queira,tenha acesso ao log clicando em "Ver Registro".

 

 

> Caso seja de seu interesse atualizar o Windows,clique no menu "Ferramentas" >> "Atualizações".

 

 

> Indo a Proteção Proativa,PUPs podem ser bloqueados e impedidos de serem instalados juntos com softwares desejados.

> Outra forma de proteção seria você acionar o complemento Safe Site ao Chrome.

> Poste o relatório! ( 360 Registros de Verificação.txt )

 

[]s