[Resolvido] adware

[prrsilva 0]

Boa noite, 

gostaria que me ajudassem tenho o kaspersky total security instalado no windows 11 de uns dias para cá esta dando notificação adware detectado tenta desinfectar reinicia mas no outro dia aparece a mesma mensagem parece que não esta conseguindo desinfectar 

dá o local C:\Users\prrsi\Ap...Inaj\10.10_1\manifest.json

[DigRam 144]

/!\ Bom Dia! prrsilva /!\

 

> Baixe: < > ( ... by Farbar )

> Para sistemas 32 bit!

> Baixe: < Farbar Recovery Scan Tool 64-Bit> (64 bit)

> Ou aqui,para sistemas 64bit!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Yes" >> "Scan".

 

 

> Antes de clicar "Scan",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Optional Scan",deixe marcada a checkbox "Addition.txt".
> Poste os relatórios! (FRST.txt + Addition.txt)
> 
> Como o log será extenso,envie-o à < Hébergement de fichiers, Security-x.fr > 

 

[]s
 

[prrsilva 0]

https://up.security-x.fr/file.php?h=Redbbfc4180baf74e5b15500c8913d8ea

https://up.security-x.fr/file.php?h=Reb0c8d9a0841ff1bc79be2011a47c075

[DigRam 144]

/!\ Boa Noite! prrsilva /!\

 

Seus relatórios vieram bugados, pelo up.security-x.fr.

Tente Cjoint.com ou poste-os utilizando Spoiler.

 

[]s

 

 

[prrsilva 0]

https://www.cjoint.com/c/NBCm2fmUvhI 

https://www.cjoint.com/c/NBCm4rDYZwI

[DigRam 144]

/!\ Boa Noite! prrsilva /!\

 

> Copie estas informações que estão no Spoiler,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

  Mostrar conteúdo oculto

Start::
Comment: All processes will be force closed
CloseProcesses:
Comment: System Protection will be enabled
SystemRestore: On
Comment: New Restore Point will be created
CreateRestorePoint:
Comment: All network proxies will be removed
RemoveProxy:
StartBatch:
@Echo on
pushd\windows\system32\drivers\etc
attrib -h -s -r hosts
echo 127.0.0.1 localhost>HOSTS
attrib +r +h +s hosts
popd
ipconfig /release
ipconfig /renew
ipconfig /flushdns
netsh winsock reset all
netsh int ip reset all
shutdown -r -t 1
del %0
EndBatch:
ContextMenuHandlers1: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} => C:\Program Files (x86)\PCGameBoost\Smart Game Booster\5.2.1\MenuExt64.dll -> Nenhum Arquivo
ContextMenuHandlers3: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} => C:\Program Files (x86)\PCGameBoost\Smart Game Booster\5.2.1\MenuExt64.dll -> Nenhum Arquivo
ContextMenuHandlers4: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} => C:\Program Files (x86)\PCGameBoost\Smart Game Booster\5.2.1\MenuExt64.dll -> Nenhum Arquivo
ContextMenuHandlers6: [SmartGameBoosterMenu] -> {96C86AD1-055D-457D-9C00-0D4A91ECF1B4} => C:\Program Files (x86)\PCGameBoost\Smart Game Booster\5.2.1\MenuExt64.dll -> Nenhum Arquivo
HKU\S-1-5-21-3235585821-2808089720-296561185-1001\Software\Classes\regfile:  <==== ATENÇÃO
HKU\S-1-5-21-3235585821-2808089720-296561185-1001\Software\Classes\.reg:  =>  <==== ATENÇÃO
HKU\S-1-5-21-3235585821-2808089720-296561185-1001\Software\Classes\.bat:  =>  <==== ATENÇÃO
HKU\S-1-5-21-3235585821-2808089720-296561185-1001\Software\Classes\.cmd:  =>  <==== ATENÇÃO
SearchScopes: HKU\S-1-5-21-3235585821-2808089720-296561185-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FirewallRules: [{B6F87979-5989-4D95-A43F-91B204C62569}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Nenhum Arquivo
FirewallRules: [{B116EC08-F498-4F70-9065-53AD7820105A}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Nenhum Arquivo
FirewallRules: [{21F129AD-814C-49C8-BADB-90B8BB32D249}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Nenhum Arquivo
FirewallRules: [{6BD564E0-0895-426C-AF78-F2776ABDAAB3}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Nenhum Arquivo
FirewallRules: [{07F27C08-3290-4A82-993A-BFB57D4C2F68}] => (Allow) C:\Users\prrsi\AppData\Roaming\uTorrent\uTorrent.exe => Nenhum Arquivo
FirewallRules: [{AE629320-53E2-4A1F-A552-5AAC73F36B77}] => (Allow) C:\Users\prrsi\AppData\Roaming\uTorrent\uTorrent.exe => Nenhum Arquivo
FirewallRules: [{61A7A701-0127-4310-87F8-D7478F09065D}] => (Allow) C:\Users\prrsi\AppData\Local\Temp\utorrent\utorrent.exe => Nenhum Arquivo
FirewallRules: [{50889DFD-3356-4B49-A62A-6B79B322D0E8}] => (Allow) C:\Users\prrsi\AppData\Local\Temp\utorrent\utorrent.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{1064ABA1-3357-4B25-946A-A2999F90BD3B}C:\program files (x86)\dearmob\5kplayer\5kplayer.exe] => (Allow) C:\program files (x86)\dearmob\5kplayer\5kplayer.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{DF30A96D-A69F-4757-A572-B4FF453EB773}C:\program files (x86)\dearmob\5kplayer\5kplayer.exe] => (Allow) C:\program files (x86)\dearmob\5kplayer\5kplayer.exe => Nenhum Arquivo
FirewallRules: [{21A8BFBE-E725-48E9-9CF2-F60767247B93}] => (Allow) C:\Users\prrsi\Desktop\hitpaw-watermark-remover.exe => Nenhum Arquivo
FirewallRules: [{9980F8D0-97BE-41D9-9604-DEB3881BCE5D}] => (Allow) C:\Users\prrsi\Desktop\hitpaw-watermark-remover.exe => Nenhum Arquivo
FirewallRules: [{5FBD3FAB-D0F8-4083-B368-D494303D98E5}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Nenhum Arquivo
FirewallRules: [{C6C1DA20-7111-4CFC-B454-EA9A7850D083}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Nenhum Arquivo
HKLM\...\Print\Monitors\us008 Langmon: us008lm.dll (Nenhum Arquivo)
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{C5A473B7-BDEA-41A4-AC68-4AD30FF1326F} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ATENÇÃO
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Nenhum Arquivo)
Task: {3F7E4248-5E70-4A1C-BE3D-F364B83DC582} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe Display (Nenhum Arquivo)
Task: {BC3A5C7A-A24D-4527-837D-A11988B0798D} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Nenhum Arquivo)
Task: {487BB1FF-A54D-4A6F-BC5F-E9D070065635} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Nenhum Arquivo)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Nenhum Arquivo)
Task: {281C734C-DAFF-4032-B513-A0C4C83FAC9D} - System32\Tasks\RTSS => C:\Program Files (x86)\RivaTuner Statistics Server\RTSS.exe /s (Nenhum Arquivo)
S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ATENÇÃO
S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ATENÇÃO
S3 ALSysIO; C:\Users\prrsi\AppData\Local\Temp\ALSysIO64.sys [47240 2023-04-14] (ALCPU (Arthur Liberman) -> Arthur Liberman) <==== ATENÇÃO
S3 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2024-02-08 21:36 - 2024-02-10 10:01 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2024-02-08 21:36 - 2024-02-08 21:51 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2024-02-08 21:36 - 2024-02-08 21:36 - 000000000 ____D C:\ProgramData\GridinSoft
2024-02-08 08:51 - 2024-02-08 18:48 - 000001413 _____ C:\Users\prrsi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2024-02-08 08:51 - 2024-02-08 18:48 - 000001307 _____ C:\Users\prrsi\Desktop\ESET Online Scanner.lnk
2024-02-08 08:51 - 2024-02-08 08:51 - 000000000 ____D C:\Users\prrsi\AppData\Local\ESET
2024-02-07 21:38 - 2023-04-13 21:03 - 000000000 ____D C:\Users\prrsi\AppData\Local\Malwarebytes
Comment: Use Farbar routine to delete temp files
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
Comment: The system will restart.
Reboot:
End::

 

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde! 
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool". (Fixlog.txt)
 

< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[]s

[prrsilva 0]

Boa Noite! DigRam 

segue relatório 

https://www.cjoint.com/c/NBCxduCLTMI

[DigRam 144]

/!\ Boa Noite! prrsilva /!\

 

> Copie estas informações que estão no Spoiler,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

  Mostrar conteúdo oculto

Start::
CloseProcesses:
StartPowershell:
DISM /Online /Cleanup-image /Restorehealth
sfc /scannow
EndPowershell:
EmptyTemp:
Reboot:
Hosts:
End::

 

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde! 
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool". (Fixlog.txt)

 

< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[]s

[prrsilva 0]

Boa Noite, DijRam 

segue relatório 

https://www.cjoint.com/c/NBDdE378hTI

[DigRam 144]

/!\ Bom Dia! prrsilva /!\

=> Erro: Nenhuma correção automática foi encontrada para esta entrada.
CloseProcesses: => Erro: Nenhuma correção automática foi encontrada para esta entrada.
StartPowershell: => Erro: Nenhuma correção automática foi encontrada para esta entrada.
DISM /Online /Cleanup-image /Restorehealth => Erro: Nenhuma correção automática foi encontrada para esta entrada.
sfc /scannow => Erro: Nenhuma correção automática foi encontrada para esta entrada.
EndPowershell: => Erro: Nenhuma correção automática foi encontrada para esta entrada.
EmptyTemp: => Erro: Nenhuma correção automática foi encontrada para esta entrada.
Reboot: => Erro: Nenhuma correção automática foi encontrada para esta entrada.
Hosts: => Erro: Nenhuma correção automática foi encontrada para esta entrada.

> Segundo o relatório Fixlog, nenhuma correção automática foi efetuada.

> Ps: você poderia tentar a Manual, por comandos, e com seu antivírus desabilitado.

> Neste caso, basta digitar ou colar ao Prompt este comando: sfc /scannow

> Aperte Enter e aguarde!

> Ou, caso queira, executar este batchfile que exporá um relatório deste comando.

> Desabilite o Kaspersky!

-----------------------

> Copie estas informações,em vermelho,ao Bloco de Notas.

 

@ECHO OFF
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"
DEL %0

 

> Deixe como "Todos os arquivos",nomeando para: CFC.bat
> Salve-o no desktop!
> Ps: Execute o batchfile que foi criado,como administrador,e poste o log resultante!

> Caso funcione, faremos a Dism....

 

[]s

[prrsilva 0]

Boa Noite 

Segue log 

https://www.cjoint.com/c/NCbdui41OXI

[DigRam 144]

/!\ Bom Dia! prrsilva /!\

 

Ok! Mas devido às limitações encontradas em Cjoint.com, o arquivo não teve acesso para download.

 

CBS

 

Em seu computador, teremos este caminho ao relatório!

 

VirusTotal

 

Direcione ao VirusTotal suas suspeitas ao arquivo:  C:\Users\prrsi\Ap...Inaj\10.10_1\manifest.json

 

Poste o relatório desta verificação, que pode ser falso positivo, pelo seu antivírus...

 

[]s

[prrsilva 0]

Boa noite, DigRam 

não estou encontrando ou não estou sabendo scanear o arquivo 

 

[DigRam 144]

/!\ Boa Noite! prrsilva /!\

 

  Citar

C:\Users\prrsi\

Ap...Inaj \10.10_1 \manifest.json

 

> Consegues, pelo menos, acessar estes diretórios? C:\ >> prrsi >> Ap...Inaj \ 10.10_1 \manifest.json

> Complete a nomenclatura de "Ap...Inaj".

 

OpenTip

 

> A Kaspersky disponibiliza este serviço, para submeter ficheiros à análise de possíveis falso positivo.

> Vá em  "File Analysis" >> "Add file" e busque o objeto, motivo de suas suspeitas.

 

[]s

 

[prrsilva 0]

Bom dia, DigRam 

rapaz eu não estou é conseguindo localizar este ficheiro 

no usuario prrsilva

[DigRam 144]

/!\ Bom Dia! prrsilva /!\

----------------

C:\ >> prrsi >> Ap...Inaj \ 10.10_1 \manifest.json

----------------

Interessante, pois minha curiosidade focou-se em determinar quem é "Ap...Inaj' << Pasta!

Depois, avançaria para "10.10_1" e para "manifest.json", que seria um objeto oculto.

Esclarecendo que "10.10_1" seria outra subpasta...

 

A OpenTip  ,disponibilizada pela Kaspersky, nada encontrou?

Mesmo efetuando sua reanálise?

 

Como mostrar arquivos e pastas ocultas no Windows 11

 

[]s

[prrsilva 0]

Boa Noite, DigRam 

em AppData>Roaming> dentro de Roaming encontrei 3300576UVDConfig.json 

não aparece esta pasta "Ap...Inaj

[DigRam 144]

/!\ Bom Dia! prrsilva /!\

 

  Em 05/03/2024 at 23:16, prrsilva disse:

em AppData>Roaming> dentro de Roaming encontrei 3300576UVDConfig.json 

não aparece esta pasta "Ap...Inaj

> Como foi você que me relatou sua existência, sendo que não vi sua presença nos logs da FRST, lhe pedi a busca manual.

> Agora a busca será feita pela FRST.

 

OpenTip

 

> Chegou utilizar a OpenTip?

-------------------------

Start::

Folder: C:\Users\prrsi\Ap...Inaj\10.10_1
Folder: C:\Users\prrsi\Ap...Inaj

Folder: C:\Users\prrsi

End::

--------------------------

> Copie estas informações a um Bloco de Notas! (Começa em Start e termina em End)

> Salve-o ao desktop com o nome fixlist.

> Abra a FRST e clique "Corrigir".

> Aguarde a conclusão e poste o relatório! (Fixlog.txt)

 

Singelo Tutorial para expor pastas e arquivos ocultos!

 

Edit: Facilite o trabalho da FRST, expondo pastas ocultas...

Ps: Como não acredito em coincidências, veja as similaridades e pistas da detecção da Kaspersky ...logo abaixo.

----------------------

Edge Extension: (Assistente SaveFrom.net) - C:\Users\prrsi\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\akncjgblpooaigmieecjiigaebgblnaj [2024-02-12]

----------------------

Acredito que a remoção desta extensão, não mais será detectada pelo seu antivírus.

 

Como ativar o modo Aplicativos Confiáveis

 

Ou...caso queira, ativar o modo Aplicativos Confiáveis, para a extensão SaveFrom.net.

 

[]s

[prrsilva 0]

Boa Noite, DigRam 

segue relatório 

https://www.cjoint.com/c/NCgwGXaFqMI

[prrsilva 0]

Boa Noite, DigRam 

removi a extensão