Fórum PC Brasil
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
Flux RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Social bookmarking

Social bookmarking reddit      

Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking

Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking

Estatísticas
Temos 14807 usuários registrados
O último membro registrado é Costa24

Os nossos membros postaram um total de 36044 mensagens em 3685 assuntos
Últimos assuntos
» Problema no disco rígido do Windows 11
por Costa24 Hoje à(s) 10:19

Quem está conectado?
14 usuários online :: 0 registrados, 0 invisíveis e 14 visitantes

Nenhum

O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
 
 

Resultados por:
 


Rechercher Pesquisa avançada

março 2024
SegTerQuaQuiSexSábDom
    123
45678910
11121314151617
18192021222324
25262728293031

Calendário Calendário


Navegaki.com

2 participantes

Ir para baixo

Navegaki.com Empty Navegaki.com

Mensagem por pamonha Sáb 04 Abr 2015, 04:55

Boa noite, amigos.

Meu pc foi invadido pelo "navegaki.com", sequestrando os navegadores e provocando lentidão exagerada nos programas. Peço a ajuda de vocês para extirpá-lo.  A seguir, o log do ZHPDiag:

~ Relatório do ZHPDiag v2015.4.1.34 - Nicolas Coolman  (29/03/2015)
~ Iniciado por Haroldo (04/04/2015 04:50:50)
~ Facebook : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
~ Endereço do Webforum : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
~ Tradução pelo utilizador
~ Estatuto da versão : Versão atualizada.
~  Lista Branca : Ativado pelo programa
~ Elevação dos Privilégios : OK
~ Controle de Conta de Utilizador : Activate by user


---\\ Navegadores Internet
MSIE: Internet Explorer v11.0.9600.17690
GCIE: Google Chrome v41.0.2272.118 (Defaut)

---\\ Informações sobre os produtos Windows
~ Langage: Portugais
Windows Server License Manager Script : OK
Software Protection Service (Protection logicielle) : OK
Windows Automatic Updates : OK
Windows Activation Technologies : OK
Windows 8.1 Pro, 64-bit  (Build 9600)

---\\ Softwares de proteçao do sistema
Avast Free Antivirus v10.2.2215
Malwarebytes Anti-Malware versão 2.1.4.1018
Windows Defender W8 (Deactivate)

---\\ Softwares d'optimização do sistema
CCleaner v3.22

---\\ Softwares de partilha do PeerToPeer (P2P)

---\\ Monitoramento dos softwares
Adobe Reader XI

---\\ Informações sobre o sistema
~ Processor: Intel64 Family 6 Model 37 Stepping 2, GenuineIntel
~ Operating System: 64 Bits
Boot mode: Normal (Normal boot)
Total RAM: 3766 MB (56% free)
System Restore: Activé (Enable)
System drive C: has 154 GB (82%) free of 187 GB

---\\ Modo de conexão ao sistema
~ Computer Name: HAROLDO
~ User Name: Haroldo
~ All Users Names: HomeGroupUser$, Haroldo, Convidado, Administrador,
~ Unselected Option: 045,061,O62,065,066,080,O82,089
Logged in as Administrator

---\\ As variáveis de ambiente
~ System Unit : C:\
~ %AppZHP% : C:\Users\Haroldo\AppData\Roaming\ZHP\
~ %AppData% : C:\Users\Haroldo\AppData\Roaming\
~ %Desktop% : C:\Users\Haroldo\Desktop\
~ %Favorites% : C:\Users\Haroldo\Favorites\
~ %LocalAppData% : C:\Users\Haroldo\AppData\Local\
~ %StartMenu% : C:\Users\Haroldo\AppData\Roaming\Microsoft\Windows\Start Menu\
~ %Windir% : C:\Windows\
~ %System% : C:\Windows\System32\

---\\ Enumeração das unidades dos discos
C: Hard drive, Flash drive, Thumb drive (Free 154 Go of 187 Go)
D: Hard drive, Flash drive, Thumb drive (Free 9 Go of 98 Go)
E: CD-ROM drive (Not Inserted)



---\\ Estado do Centro de Segurança do Windows
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
~ Security Center: 41 Legitimates Filtered in 00mn 00s



---\\ Pesquisa particular de ficheiros genéricos
[MD5.C10A66189DC8C090E7C84873EDCEBC88] - (.Microsoft Corporation - Windows Explorer.) (.27/01/2015 - 20:47:12.) -- C:\Windows\Explorer.exe [2501368]
[MD5.48CFA7BE561A7BE144C29BB912055016] - (.Microsoft Corporation - Aplicativo de Inicialização do Windows.) (.22/08/2013 - 06:58:29.) -- C:\Windows\System32\Wininit.exe [144384]
[MD5.36F99BD8A0F09BDBB7850A138845A014] - (.Microsoft Corporation - Internet Extensions para Win32.) (.19/02/2015 - 22:28:25.) -- C:\Windows\System32\wininet.dll [2358784]
[MD5.306EB21E5B480AE9065EA55AC8C35936] - (.Microsoft Corporation - Aplicativo de Logon do Windows.) (.22/02/2014 - 06:45:48.) -- C:\Windows\System32\Winlogon.exe [562176]
[MD5.AFCAB4DC692CCE37E283B00E2D7B438F] - (.Microsoft Corporation - Biblioteca de Licenciamento de Software.) (.21/12/2013 - 05:54:07.) -- C:\Windows\System32\sppcomapi.dll [447488]
[MD5.374E27295F0A9DCAA8FC96370F9BEEA5] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.30/05/2014 - 00:03:03.) -- C:\Windows\system32\Drivers\AFD.sys [563200]
[MD5.74B14192CF79A72F7536B27CB8814FBD] - (.Microsoft Corporation - ATAPI IDE Miniport Driver.) (.22/08/2013 - 09:43:41.) -- C:\Windows\system32\Drivers\atapi.sys [26464]
[MD5.2FA6510E33F7DEFEC03658B74101A9B9] - (.Microsoft Corporation - CD-ROM File System Driver.) (.22/08/2013 - 08:40:15.) -- C:\Windows\system32\Drivers\Cdfs.sys [88576]
[MD5.C6796EA22B513E3457514D92DCDB1A3D] - (.Microsoft Corporation - SCSI CD-ROM Driver.) (.22/08/2013 - 05:46:35.) -- C:\Windows\system32\Drivers\Cdrom.sys [164352]
[MD5.A03F362C5557E238CBFA914689C77248] - (.Microsoft Corporation - DFS Namespace Client Driver.) (.06/03/2014 - 06:22:50.) -- C:\Windows\system32\Drivers\DfsC.sys [134144]
[MD5.D4B7ED39C7900384D9E5C1283F1E7926] - (.Microsoft Corporation - High Definition Audio Bus Driver.) (.24/07/2014 - 08:45:39.) -- C:\Windows\system32\Drivers\HDAudBus.sys [76800]
[MD5.84CFC5EFA97D0C965EDE1D56F116A541] - (.Microsoft Corporation - Driver de porta i8042.) (.22/08/2013 - 08:39:15.) -- C:\Windows\system32\Drivers\i8042prt.sys [107520]
[MD5.B7342B3C58E91107F6E946A93D9D4EFD] - (.Microsoft Corporation - IP Network Address Translator.) (.27/11/2013 - 09:02:29.) -- C:\Windows\system32\Drivers\IpNat.sys [142848]
[MD5.7A1A3F213CDB3363D179D5014272025D] - (.Microsoft Corporation - Minirdr SMB do Windows NT.) (.30/04/2014 - 03:41:46.) -- C:\Windows\system32\Drivers\MRxSmb.sys [402432]
[MD5.0217532E19A748F0E5D569307363D5FD] - (.Microsoft Corporation - MBT Transport driver.) (.22/08/2013 - 08:37:02.) -- C:\Windows\system32\Drivers\netBT.sys [282624]
[MD5.038C77D577900EE39410662478BB0D50] - (.Microsoft Corporation - Driver do Sistema de Arquivos NT.) (.24/07/2014 - 12:07:52.) -- C:\Windows\system32\Drivers\ntfs.sys [2009920]
[MD5.764B1121867B2D9B31C491668AC72B2B] - (.Microsoft Corporation - Driver de porta paralela.) (.22/08/2013 - 08:40:02.) -- C:\Windows\system32\Drivers\Parport.sys [94208]
[MD5.BBB6272B7F46C4640A8CDB8A70C3450F] - (.Microsoft Corporation - RAS L2TP mini-port/call-manager driver.) (.22/08/2013 - 08:35:51.) -- C:\Windows\system32\Drivers\Rasl2tp.sys [120832]
[MD5.680C1DAE268B6FB67FA21B389A8B79EF] - (.Microsoft Corporation - Redirecionador do Dispositivo RDP da Microsoft.) (.22/08/2013 - 16:11:17.) -- C:\Windows\system32\Drivers\rdpdr.sys [195584]
[MD5.FFF28F9F6823EB1756C60F1649560BBF] - (.Microsoft Corporation - TDI Translation Driver.) (.22/08/2013 - 10:25:35.) -- C:\Windows\system32\Drivers\tdx.sys [107520]
[MD5.64CA2B4A49A8EAF495E435623ECCE7DB] - (.Microsoft Corporation - Driver de cópia de sombra de volume.) (.18/06/2014 - 23:13:36.) -- C:\Windows\system32\Drivers\volsnap.sys [310080]
~ Generic Processes:  Scanned in 00mn 01s



---\\ Estatuto dos ficheiros ocultos (Oculto/Total)
~ Mes Videos (My Videos) : 1/3
~ Mes Favoris (My Favorites) : 1/2
~ Mes Documents (My Documents) : 2/192
~ Mon Bureau (My Desktop) : 1/8
~ Menu demarrer (Programs) : 1/29
~ Hidden Files:  Scanned in 00mn 00s



---\\ Processos lançados
[MD5.D0A518D233620D59A3D2D79511FBB736] - (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe   [6212408] [PID.6436]
[MD5.63A2D767B9261B4F33F97BF88F2FB197] - (.Hewlett-Packard Co. - HP Digital Imaging Monitor.) -- C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe   [276328] [PID.4296]
[MD5.06964B7DE858BB6317164BF184E9C766] - (.Avast Software s.r.o. - avast! Antivirus.) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe   [5512912] [PID.480]
[MD5.D722BEA04DD8EA91AF60308393CF5293] - (.Microsoft Corporation - Send to OneNote Tool.) -- C:\Program Files (x86)\Microsoft Office\Office15\ONENOTEM.exe   [194728] [PID.100]
[MD5.34D296AFC913E302953C70463EF09A48] - (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe   [96056] [PID.2004]
[MD5.8D983B20A6DA39016B13213E54916BD1] - (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe   [296520] [PID.936]
[MD5.20989BBD2114539B5C21948E94F6E11E] - (.No owner - RealDownloader.) -- C:\Program Files (x86)\RealNetworks\RealDownloader\downloader2.exe   [560192] [PID.7132]
[MD5.2FB757B35C94B1C1C65BA35E4E7EC0F2] - (.Hewlett-Packard Co. - HP CUE Status Root.) -- C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe   [174952] [PID.5852]
[MD5.F01A418BDDFC14D60E463C50CABC7750] - (.Hewlett-Packard Co. - HP CUE Alert Popup Window Objects.) -- C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe   [565096] [PID.3100]
[MD5.B2F0B501A7C017F21C4B4417623895BD] - (.Hewlett-Packard - GPCore COM object.) -- C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe   [367976] [PID.7056]
[MD5.7C0787598607A46A32726BA8AEAFEF18] - (.Google Inc. - Google Chrome.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe   [809288] [PID.6484]
[MD5.6076B562F7848DED4CDB128B485B6132] - (.Nicolas Coolman - ZHPDiag.) -- C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe   [8195072] [PID.4928]
~ Processes Running:  Scanned in 00mn 00s



---\\ Google Chrome, Arranque,Pesquisa,Extensões (G0,G1,G2)
C:\Users\Haroldo\AppData\Local\Google\Chrome\User Data\Default\Preferences

---\\ Pasta de extensão do Google Chrome
~ Google Lines Browser: 11 Legitimates Filtered in 00mn 00s



---\\ Mozilla Firefox, Plugins,Arranque,Pesquisa,Extensões (P2,M0,M1,M2,M3)
P2 - FPN: [HKCU] [gastecnologia.com.br/sf/cef] - (.GAS Tecnologia - Internet Banking Helper.) -- C:\Users\Haroldo\AppData\Local\GAS Tecnologia\GBBD\npsf_cef.dll
P2 - FPN: [HKCU] [gastecnologia.com.br/sf/cef64] - (.GAS Tecnologia - Internet Banking Helper.) -- C:\Users\Haroldo\AppData\Local\GAS Tecnologia\GBBD\npsf_cef_64.dll
~ Firefox Browser: 4 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Arranque, Pesquisa, URLSearchHook( gancho de URL), Phishing (R0,R1,R3,R4)
R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = about:newtab
~ IE Browser: 18 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Gestão do Proxy (R5)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll
~ Proxy management:  Scanned in 00mn 00s



---\\ Análise das linhas F0, F1, F2, F3 - Ficheiros ini, Carregamento Automático de programas
F2 - REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,
F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
F2 - REG:system.ini: VMApplet=C:\Windows\System32\SystemPropertiesPerformance.exe
~ Keys:  Scanned in 00mn 00s



---\\ Redireção do ficheiro Hosts (01)
~ Le fichier hôte est sain (The hosts file is clean) (21)
~ Hosts File:  Scanned in 00mn 00s



---\\ Browser Helper Objects do navegador (02)
O2 - BHO: RealNetworks Download and Record Plugin for Internet Explorer [64Bits] - {3049C3E9-B461-4BC5-8870-4C09146192CA} . (.RealDownloader - RealPlayer Video Downloader.) -- C:\Program Files (x86)\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll
O2 - BHO: G-Buster Browser Defense CEF [64Bits] - {C41A1C0E-EA6C-11D4-B1B8-444553540003} . (.Caixa Economica Federal - Gbieh Module.) -- C:\Program Files (x86)\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Bnb [64Bits] - {C41A1C0E-EA6C-11D4-B1B8-444553540014} . (.Banco do Nordeste do Brasil S.A. - Gbieh Module.) -- C:\Program Files (x86)\GbPlugin\gbiehbnb.dll
~ BHO: 15 Legitimates Filtered in 00mn 00s



---\\ Outras conexões do utilizador (04)
O4 - GS\QuickLaunch [Haroldo]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>Hijacker.Browsers
O4 - GS\Program [Haroldo]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>Hijacker.Browsers
~ Global Startup: 2 Legitimates Filtered in 00mn 02s



---\\ Aplicações iniciadas por registo & pastas (04)
O4 - HKLM\..\Run: [IgfxTray] . (.Intel Corporation - igfxTray Module.) -- C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] . (.Intel Corporation - hkcmd Module.) -- C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] . (.Intel Corporation - persistence Module.) -- C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Diebold - Warsaw] . (.GAS Tecnologia LTDA - GAS Tecnologia - Core.) -- C:\Program Files\Diebold\Warsaw\core.exe
O4 - HKLM\..\Wow6432Node\Run: [AvastUI.exe] . (.Avast Software s.r.o. - avast! Antivirus.) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe
O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe   =>.Adobe Systems Incorporated
O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe   =>.Hewlett-Packard Co
O4 - HKLM\..\Wow6432Node\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe   =>.RealNetworks, Inc
O4 - HKLM\..\Wow6432Node\Run: [RealDownloader] . (.No owner - RealDownloader.) -- C:\Program Files (x86)\RealNetworks\RealDownloader\downloader2.exe
~ Application:  Scanned in 00mn 00s



---\\ Boutões da barra de ferramentas principal do Internet Explorer (09)
O9 - Extra button: &Enviar para o OneNote [64Bits] - {2670000A-7350-4f3c-8081-5663EE0C6C49} . (.Microsoft Corporation - Microsoft OneNote Internet Explorer Add-in.) -- C:\Program Files (x86)\MICROS~1\Office15\ONBttnIE.dll  =>.Microsoft Corporation
O9 - Extra button: Clique para Telefonar do Lync [64Bits] - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -- C:\Program Files\Microsoft Office\Office15\lync.exe (.not file.)
O9 - Extra button: &Anotações Vinculadas do OneNote [64Bits] - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} . (.Microsoft Corporation - Microsoft OneNote Internet Explorer Add-in.) -- C:\Program Files (x86)\MICROS~1\Office15\ONBTTN~1.dll  =>.Microsoft Corporation
~ IE Extra Buttons:  Scanned in 00mn 00s



---\\ Site na zona confiavél do Internet Explorer (05)
O15 - Trusted Zone: [HKCU\...\Domains\www] *.bnb.gov.br
O15 - Trusted Zone: [HKCU\...\Domains\www] http.caixa.gov.br
~ IE Zone Confiance:  Scanned in 00mn 00s



---\\ Alteração Dominio/Clientes DNS (017)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BE91FD7-F209-4F99-9F15-189E31288B26}: DhcpNameServer = 192.168.1.1 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{5BE91FD7-F209-4F99-9F15-189E31288B26}: DhcpNameServer = 192.168.1.1 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 192.168.1.1
~ Domain:  Scanned in 00mn 00s



---\\ Protocolo adicional (018)
O18 - Handler: vbscript [64Bits] - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation - Visualizador de HTML da Microsoft (R).) -- C:\Windows\System32\mshtml.dll
O18 - Filter: text/xml [64Bits] - {807583E5-5146-11D5-A672-00B0D022E945} . (.Microsoft Corporation - Microsoft Office XML MIME Filter.) -- C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.dll  =>.Microsoft Corporation
~ Protocole Additionnel:  Scanned in 00mn 00s



---\\ Valor do Registo AppInit_DLLs e sub-chaves Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\Windows\System32\igfxdev.dll
~ Winlogon:  Scanned in 00mn 00s



---\\ Lista dos serviços NT não Microsoft e não desativados (023)
O23 - Service: Gbp Service (GbpSv) . (.GAS Tecnologia - G-Buster Browser Defense - Service.) - C:\Program Files (x86)\GbPlugin\GbpSv.exe
O23 - Service: RealPlayer Update Service (RealPlayerUpdateSvc) . (...) - C:\Program Files (x86)\Real\UpdateService\RealPlayerUpdateSvc.exe
O23 - Service: Service KMSELDI (Service KMSELDI) . (.@ByELDI - Service_KMS.) - C:\Program Files\KMSpico\Service_KMS.exe  =>PUA.KMSpico
O23 - Service: Warsaw Technology (Warsaw Technology) . (.GAS Tecnologia LTDA - GAS Tecnologia - Core.) - C:\Program Files\Diebold\Warsaw\core.exe
~ Services: 11 Legitimates Filtered in 00mn 14s



---\\ Tarefas planificadas automaticamente (039)
[MD5.CCB2387238BC39C056DF01F3C9124BB6] [APT] [AutoPico Daily Restart] (.@ByELDI.) -- C:\Program Files\KMSpico\AutoPico.exe   [966848]  =>PUA.KMSpico
O39 - APT:  - (..) -- C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore   [1104]
O39 - APT:  - (..) -- C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA   [1108]
O39 - APT:  - (..) -- C:\Windows\Tasks\WebReg HP Photosmart D110 series.job   [344]  =>.Hewlett-Packard Co
O39 - APT:  - (..) -- C:\Windows\System32\Tasks\WebReg HP Photosmart D110 series   [344]  =>.Hewlett-Packard Co
~ Scheduled Task: 15 Legitimates Filtered in 00mn 04s



---\\ Software instalados (042)
O42 - Logiciel: GBBD Caixa Economica Federal - (...) [HKLM][64Bits] -- {5d01f486-f32d-462e-8830-cc1d116e8ece}_is1
O42 - Logiciel: KMSpico - (...) [HKLM][64Bits] -- {8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1  =>PUA.KMSpico
O42 - Logiciel: Receitanet - (.Serpro - Serviço Federal de Processamento de Dados.) [HKLM][64Bits] -- ECC16E3C-16D1-4DC2-9D8A-6AC06B3005A5
O42 - Logiciel: Warsaw 1.5.1.8886 64 bits - (.GAS Tecnologia.) [HKLM][64Bits] -- {20E60725-16C8-4FB9-8BC2-AF92C5F8D06D}_is1
~ Logic: 24 Legitimates Filtered in 00mn 00s



---\\ HKCU & HKLM Software Keys
[HKCU\Software\AutoHelpDesk]
[HKCU\Software\Baidu Security]
[HKCU\Software\GbAs]
[HKLM\Software\Baidu Security]
[HKLM\Software\Wow6432Node\Baidu Security]
[HKLM\Software\Wow6432Node\Baidu_Drp_pos]
[HKLM\Software\Wow6432Node\navegaki]
~ Key Software: 169 Legitimates Filtered in 00mn 00s



---\\ Conteúdo das pastas Programs/ProgramFiles/ProgramData/AppData (O43)
O43 - CFD: 23/03/2015 - 22:51:30 - [] ----D C:\Program Files (x86)\Baidu Security
O43 - CFD: 23/03/2015 - 21:35:53 - [] --H-D C:\Program Files (x86)\Diebold
O43 - CFD: 23/03/2015 - 21:05:22 - [] ----D C:\Program Files (x86)\Programas RFB
O43 - CFD: 23/03/2015 - 22:51:30 - [] ----D C:\ProgramData\Baidu Security
O43 - CFD: 24/03/2015 - 14:32:06 - [] ----D C:\ProgramData\boost_interprocess
O43 - CFD: 23/03/2015 - 17:06:26 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>PUA.KMSpico
O43 - CFD: 23/03/2015 - 21:05:24 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Programas RFB
O43 - CFD: 22/08/2013 - 16:11:27 - [0] R-H-D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tablet PC
O43 - CFD: 24/03/2015 - 13:43:03 - [0] ----D C:\Users\Haroldo\AppData\Roaming\ntsvc
O43 - CFD: 28/03/2015 - 05:49:57 - [] -SH-D C:\Users\Haroldo\AppData\Local\EmieBrowserModeList
~ Program Folder: 135 Legitimates Filtered in 00mn 00s



---\\ Últimos ficheiros alterados ou criados no Windows e Sistema32 (044)
O44 - LFC:[MD5.1F451F9E6AEE2980E40A96ACC1C20454] - 03/04/2015 - 23:47:38 ---A- . (...) -- C:\Windows\System32\prfc0416.dat   [150714]
O44 - LFC:[MD5.42301DDCABFC9D9AFBC601263409CAA5] - 03/04/2015 - 23:47:38 ---A- . (...) -- C:\Windows\System32\prfh0416.dat   [738078]
O44 - LFC:[MD5.AA0B7720D0CB89DCC3363E5DBDF3EBB6] - 23/03/2015 - 16:31:29 ---A- . (...) -- C:\Windows\System32\Drivers\aswHwid.sys   [29168]
O44 - LFC:[MD5.3D733144477CADCF77009EF614413630] - 23/03/2015 - 17:06:24 ---A- . (.Vestris Inc. - ResourceLib.) -- C:\Windows\System32\Vestris.ResourceLib.dll   [90112]
O44 - LFC:[MD5.6D7FDBF9CEAC51A76750FD38CF801F30] - 23/03/2015 - 17:06:37 ---A- . (...) -- C:\Windows\SECOH-QAD.dll   [3584]  =>PUA.KMSpico
O44 - LFC:[MD5.38DE5B216C33833AF710E88F7F64FC98] - 23/03/2015 - 17:06:37 ---A- . (...) -- C:\Windows\SECOH-QAD.exe   [4608]  =>PUA.KMSpico
O44 - LFC:[MD5.54F3CBBBA70F48526D3AEA0CEBA92D34] - 23/03/2015 - 21:05:24 ---A- . (...) -- C:\Windows\REC-NET.INI   [176]
O44 - LFC:[MD5.8D568B1E99BAD4BCC9B58A06E22A5354] - 23/03/2015 - 21:36:00 ---A- . (.Basil's Projects - WinDivert network packet capture and (re)in.) -- C:\Windows\System32\WinDivert64.sys   [37592]
O44 - LFC:[MD5.2C1EA4F0084B46604F4F437776551F36] - 23/03/2015 - 21:36:03 ---A- . (.Basil's Projects - WinDivert network packet capture and (re)in.) -- C:\Windows\System32\WinDivert.dll   [33592]
O44 - LFC:[MD5.C30FC902F460A5C8B62FA9804DA04541] - 23/03/2015 - 21:36:42 ---A- . (...) -- C:\.rnd   [1024]
O44 - LFC:[MD5.39F773AF5DE1BE0EFF76E00FD1C1499A] - 24/03/2015 - 04:00:07 ----- . (...) -- C:\Windows\hpomdl46.dat   [478]
O44 - LFC:[MD5.9937468EFB81FDB0E704F2D5305C7F9C] - 24/03/2015 - 10:59:44 ----- . (...) -- C:\Windows\hpoins46.dat.temp   [229522]
O44 - LFC:[MD5.39F773AF5DE1BE0EFF76E00FD1C1499A] - 24/03/2015 - 10:59:44 ----- . (...) -- C:\Windows\hpomdl46.dat.temp   [478]
O44 - LFC:[MD5.E7B53AF004BEE5112F787A6E5B04D737] - 25/03/2015 - 01:16:07 ---A- . (...) -- C:\Windows\System32\connectedsearch-results.searchconnector-ms   [11109]
O44 - LFC:[MD5.F1DB86EA935C13CDFF27AB957297136A] - 25/03/2015 - 01:16:20 ---A- . (...) -- C:\Windows\System32\connectedsearch-suggestions.searchconnector-ms   [7762]
O44 - LFC:[MD5.1FDF29F970E2E843B4DC5D0626D0EDD5] - 25/03/2015 - 01:16:20 ---A- . (...) -- C:\Windows\System32\connectedsearch-zeroinput.searchconnector-ms   [7130]
O44 - LFC:[MD5.DE461B86C05946D10E519F512D09E389] - 25/03/2015 - 01:16:21 ---A- . (...) -- C:\Windows\System32\RacRules.xml   [100197]
O44 - LFC:[MD5.119E0F7A71775A5CFB208B036ECE35E1] - 25/03/2015 - 01:17:06 ---A- . (...) -- C:\Windows\System32\WimBootCompress.ini   [2255]
O44 - LFC:[MD5.DCF2510E0745720E543E84F5E921FCC0] - 25/03/2015 - 01:18:59 ---A- . (...) -- C:\Windows\System32\dfpinc.dat   [262335]
O44 - LFC:[MD5.FFFCC3C3ED6886A95D3C0E1B49C652BA] - 25/03/2015 - 01:20:58 ---A- . (...) -- C:\Windows\System32\systemsf.ebd   [139600]
O44 - LFC:[MD5.08750A50CF027F93070C8BB78E27C3B7] - 26/03/2015 - 15:13:55 -SH-- . (...) -- C:\Windows\System32\desktop.ini   [75]
O44 - LFC:[MD5.B7CC32E00C5C5152D221DF182827F58E] - 28/03/2015 - 01:40:41 ---A- . (...) -- C:\Windows\System32\srms.dat   [50745]
O44 - LFC:[MD5.BDE6152B584ABDA7DA102B363E58354F] - 28/03/2015 - 01:58:20 ---A- . (...) -- C:\Windows\System32\ApnDatabase.xml   [396419]
O44 - LFC:[MD5.96949400031891CC609C8B92A410CAEF] - 30/03/2015 - 13:39:55 ---A- . (...) -- C:\Windows\win.ini   [202]
O44 - LFC:[MD5.F41B30C69762573CAA83A5BC6E9036CB] - 30/03/2015 - 14:05:39 ---A- . (...) -- C:\Windows\hpoins46.dat   [229458]
~ Files: 857 Legitimates Filtered in 00mn 25s



---\\ Negação do serviço (Local Security Authority) (048)
~ LSA: 3 Legitimates Filtered in 00mn 00s



---\\ Enumeração das chaves do registo PoliciesSystem (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
~ MWPS: 18 Legitimates Filtered in 00mn 00s



---\\ Enumeração das chaves do registo PoliciesExplorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
~ MWPE Keys: 3 Legitimates Filtered in 00mn 00s



---\\ Lista dos drivers do sistema (SDL) (O58)
O58 - SDL:23/03/2015 - 16:31:29 ---A- . (...) -- C:\Windows\System32\Drivers\aswHwid.sys   [29168]  =>.ALWIL Software
O58 - SDL:23/03/2015 - 16:31:29 ---A- . (...) -- C:\Windows\System32\Drivers\aswRvrt.sys   [65736]  =>.ALWIL Software
O58 - SDL:23/03/2015 - 16:31:30 ---A- . (...) -- C:\Windows\System32\Drivers\aswVmm.sys   [271200]  =>.ALWIL Software
O58 - SDL:12/08/2013 - 20:25:46 ---A- . (.Windows (R) Win 7 DDK provider - BCM Function 2  Device Driver.) -- C:\Windows\System32\Drivers\bcmfn2.sys   [17624]
O58 - SDL:19/10/2012 - 04:52:32 ---A- . (.Windows (R) Win 7 DDK provider - IEEE-1284.4-1999 Driver.) -- C:\Windows\System32\Drivers\Dot4.sys   [151968]
O58 - SDL:19/10/2012 - 04:52:30 ---A- . (.Windows (R) Win 7 DDK provider - IEEE-1284.4 Print Class Driver.) -- C:\Windows\System32\Drivers\Dot4Prt.sys   [27040]
O58 - SDL:22/08/2013 - 09:43:32 ---A- . (.Promise Technology, Inc. - Promise SuperTrak EX Series Driver for Windows x64.) -- C:\Windows\System32\Drivers\stexstor.sys   [31072]
O58 - SDL:13/02/2015 - 15:47:24 ---A- . (.Basil's Projects - WinDivert network packet capture and (re)injection driver.) -- C:\Windows\System32\WinDivert64.sys   [37592]
~ Drivers: 49 Legitimates Filtered in 00mn 05s



---\\ Lista das ferramentas de remoção de vírus (LAT) (063)
O63 - Logiciel: ZHPDiag 2015 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1  =>.Nicolas Coolman
~ ADS:  Scanned in 00mn 00s



---\\ Associações Shell Spawning (O67)
O67 - Shell Spawning: <.html> [HKCU\..\open\Command] (.Not Key.)
~ FASS Keys: 11 Legitimates Filtered in 00mn 00s



---\\ Menu de inicialização Internet (068)
O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Google Inc. - Google Chrome.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe
~ Keys:  Scanned in 00mn 00s



---\\ Pesquisa de infeção nos navegadores da Internet (SBI) (069)
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O69 - SBI: SearchScopes [HKCU] {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} - (Google) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
~ Keys:  Scanned in 00mn 00s



---\\ Pesquisa adicional à raiz do sistema (radicular) (SPRF) (O84)
[MD5.2B9337ADB409CFE647ADB60722A103B7] [SPRF][24/03/2015] (...) -- C:\Users\Haroldo\AppData\Roaming\unins000.dat   [16699]
[MD5.169180F02ABCECA5DE72FC5EEBC861BB] [SPRF][24/03/2015] (.No owner - Setup/Uninstall.) -- C:\Users\Haroldo\AppData\Roaming\unins000.exe   [730322]
[MD5.E55CCE4E4A0153A3122E76A3DA23B288] [SPRF][24/03/2015] (.No owner - Aut2Exe.) -- C:\Users\Haroldo\Desktop\adwcleaner_4.113.exe   [2168320]
~ Files: 3 Legitimates Filtered in 00mn 00s



---\\ Listagem dos códigos dos software (PUC) (090)
O90 - PUC: "C6AC1163ACF500943A92A6111832CCCF" . (.Bing Bar.) -- C:\Windows\Installer\{3611CA6C-5FCA-4900-A329-6A118123CCFC}\icon_installer_ico  =>Toolbar.Bing
~ Update Products: 1 Legitimates Filtered in 00mn 00s



---\\ Pesquisa dos pacotes WindowsInstaller (WIS) (O93) (NTFS)
[MD5.AC1A126967CB9D5EAF9678A05E5A5175] [WIS][25/01/2012] (.Microsoft Corporation - Bing Bar.) -- C:\Windows\Installer\a7ef3a.msi   [475136]  =>Toolbar.Bing
~ WIS: 1 Legitimates Filtered in 00mn 01s



---\\ Estado general dos serviços não Microsoft (EGS) (SR=Executados, SS=Parados)
SS - | Auto 25/01/2012 192792 |  (BBSvc) . (.Microsoft Corporation..) - C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BBSvc.exe  =>Toolbar.Bing
SS - | Auto 23/03/2015 116648 |  (gupdate) . (.Google Inc..) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
SS - | Demand 23/03/2015 116648 |  (gupdatem) . (.Google Inc..) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
SS - | Demand 23/03/2015 194032 |  (gusvc) . (.Google.) - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
SS - | Auto 22/08/2013 37768 | C:\Windows\System32\HPZinw12.dll (Net Driver HPZ12) . (.Hewlett-Packard.) - C:\Windows\System32\svchost.exe
SS - | Demand 22/08/2013 37768 | C:\Windows\System32\wuaueng.dll (wuauserv) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
SR - | Auto 03/12/2014 81088 |  (AdobeARMservice) . (.Adobe Systems Incorporated.) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
SR - | Auto 23/03/2015 343336 |  (avast! Antivirus) . (.Avast Software s.r.o..) - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
SR - | Demand 23/03/2015 4030800 |  (AvastVBoxSvc) . (.Avast Software.) - C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe
SR - | Demand 25/01/2012 240408 |  (BBUpdate) . (.Microsoft Corporation..) - C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\SeaPort.exe  =>Toolbar.Bing
SR - | Auto 03/11/2014 555320 |  (GbpSv) . (.GAS Tecnologia.) - C:\Program Files (x86)\GbPlugin\GbpSv.exe
SR - | Demand 22/08/2013 37768 | C:\Program Files (x86)\HP\Digital Imaging\bin\hpqcxs08.dll (hpqcxs08) . (.Hewlett-Packard Co..) - C:\Windows\System32\svchost.exe
SR - | Auto 22/08/2013 37768 | C:\Program Files (x86)\HP\Digital Imaging\bin\hpqddsvc.dll (hpqddsvc) . (.Hewlett-Packard Co..) - C:\Windows\System32\svchost.exe
SR - | Auto 22/08/2013 37768 | C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.dll (HPSLPSVC) . (.Hewlett-Packard Co..) - C:\Windows\System32\svchost.exe
SR - | Auto 17/03/2015 1871160 |  (MBAMScheduler) . (.Malwarebytes Corporation.) - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe
SR - | Auto 17/03/2015 1080120 |  (MBAMService) . (.Malwarebytes Corporation.) - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
SR - | Auto 22/08/2013 37768 | C:\Windows\System32\HPZipm12.dll (Pml Driver HPZ12) . (.Hewlett-Packard.) - C:\Windows\System32\svchost.exe
SR - | Auto 26/10/2014 39568 |  (RealNetworks Downloader Resolver Service) . (...) - C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe
SR - | Auto 24/03/2015 1141848 |  (RealPlayer Cloud Service) . (.RealNetworks, Inc..) - C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin\rpdsvc.exe
SR - | Auto 30/10/2014 31856 |  (RealPlayerUpdateSvc) . (...) - C:\Program Files (x86)\Real\UpdateService\RealPlayerUpdateSvc.exe
SR - | Auto 04/12/2014 966336 |  (Service KMSELDI) . (.@ByELDI.) - C:\Program Files\KMSpico\Service_KMS.exe  =>PUA.KMSpico
SR - | Auto 13/02/2015 847160 |  (Warsaw Technology) . (.GAS Tecnologia LTDA.) - C:\Program Files\Diebold\Warsaw\core.exe
SR - | Demand 22/07/1658 0 |  (WdNisSvc) . (...) - C:\Program Files (x86)\Windows Defender\NisSrv.exe
SR - | Demand 22/07/1658 0 |  (WinDefend) . (...) - C:\Program Files (x86)\Windows Defender\MsMpEng.exe
SR - | Auto 22/07/1658 0 |  (WMPNetworkSvc) . (...) - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe  =>.Microsoft Corporation
~ Services:  Scanned in 00mn 14s



---\\ Scâner Aditional (088)
Database Version : 13008 - (29/03/2015)
Clés trouvées (Keys found) : 2
Valeurs trouvées (Values found) : 2
Dossiers trouvés  (Folders found) : 1
Fichiers trouvés  (Files found) : 2

[HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI]   =>PUA.KMSpico^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1]   =>PUA.KMSpico^
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico   =>PUA.KMSpico^
C:\Program Files\KMSpico\AutoPico.exe   =>PUA.KMSpico^
C:\Windows\Installer\a7ef3a.msi   =>Toolbar.Bing^
~ Additionnel Scan: 231802 Items scanned in 00mn 39s



---\\ Informações complémentaires do módulos
~ [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>.Internet Explorer, Gestão do Proxy (R5)
~ [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>.Browser Helper Objects do navegador (02)
~ [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>.Aplicações iniciadas por registo & pastas (04)
~ AMI: 3 Legitimates Filtered in 00mn 00s



---\\ Sumário das deteções encontradas na sua estação
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>Hijacker.Browsers
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  =>PUA.KMSpico
~ MSI: 2 link(s) detected in 00mn 00s



~ 1383 Legitimates filtered by white list
End of the scan (462 lines in 02mn 10s)(0.6)
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Sáb 04 Abr 2015, 08:18

/!\ Bom Dia! pamonha /!\

> Execute este script na ferramenta ZHPFix.
> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.

Script ZHPFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
HiddenFix
IfeoFix
[MD5.169180F02ABCECA5DE72FC5EEBC861BB] [SPRF][24/03/2015] (.No owner - Setup/Uninstall.) -- C:\Users\Haroldo\AppData\Roaming\unins000.exe   [730322]
O4 - GS\QuickLaunch [Haroldo]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O4 - GS\Program [Haroldo]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O44 - LFC:[MD5.6D7FDBF9CEAC51A76750FD38CF801F30] - 23/03/2015 - 17:06:37 ---A- . (...) -- C:\Windows\SECOH-QAD.dll   [3584]
O44 - LFC:[MD5.38DE5B216C33833AF710E88F7F64FC98] - 23/03/2015 - 17:06:37 ---A- . (...) -- C:\Windows\SECOH-QAD.exe   [4608]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1]
[HKLM\Software\Wow6432Node\navegaki]
C:\Program Files\KMSpico\AutoPico.exe
C:\ProgramData\boost_interprocess
C:\Windows\Installer\a7ef3a.msi
ShortcutFix

> Abra a ferramenta ZHPFix. < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >
> Clique IMPORTAÇÃO >> OK.
> Ps: Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".
> Poste o relatório!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos irreparáveis aos mesmos! >

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por pamonha Seg 06 Abr 2015, 14:48

Boa tarde, senhores.

Abaixo, o log gerado pelo ZHPFix:


Rapport de ZHPFix 2015.3.18.4 par Nicolas Coolman, Update du 18/03/2015
Fichier d'export Registre :
Run by Haroldo at 06/04/2015 14:40:42
High Elevated Privileges : OK
Windows 8 Business Edition, 64-bit Service Pack 1 (9600)

Reciclagem vazia (00mn 06s)
Prefetcher vazio
Reparação de atalhos do navegador

========== Processo memória ==========
ELIMINÉ: Memory Process: C:\Users\Haroldo\AppData\Roaming\unins000.exe
ELIMINÉ: Memory Process: C:\Program Files\KMSpico\AutoPico.exe

========== Chaves do Registo ==========
Ramo Base de Registos IFEO não infetado !
ELIMINÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1
ELIMINÉ: HKLM\Software\Wow6432Node\navegaki

========== Valores do Registo ==========
Ausente Valor Perfil Padrão: FirewallRaz :
Ausente Valor Perfil Domínio FirewallRaz :
ELIMINÉ: FirewallRaz (Domain) : {9E3D57FC-7C37-4424-9352-4831E97D029D}
ELIMINÉ: FirewallRaz (Domain) : {548DCF8C-BFF2-4BA4-AA88-FBAF9AC8BCC6}

========== Pastas ==========
ELIMINÉ Temporários windows (690)
ELIMINÉ Flash Cookies (0)
ELIMINÉ: c:\programdata\boost_interprocess

========== Ficheiros ==========
ELIMINÉ Temporários windows (4574) (3.296.259.317 octets)
ELIMINÉ Flash Cookies (0) (0 octets)
ELIMINÉ: c:\users\haroldo\appdata\roaming\microsoft\internet explorer\quick launch\launch internet explorer browser.lnk (http://www.navegaki.com)
CRIADO: C:\Users\Haroldo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
ELIMINÉ: c:\users\haroldo\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk (http://www.navegaki.com)
CRIADO: C:\Users\Haroldo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
ELIMINÉ: c:\windows\secoh-qad.dll
ELIMINÉ: c:\windows\secoh-qad.exe
ELIMINÉ: C:\Windows\Installer\a7ef3a.msi

========== Pastas/Ficheiros ocultos restaurados ==========
Mes images (My Pictures) : 1  restaurados com sucesso
Ma musique (My Music) : 1  restaurados com sucesso
Ma Video (My Video) : 2  restaurados com sucesso
Mes Favoris (My Favorites) : 2  restaurados com sucesso
Mes Documents (My Documents) : 9  restaurados com sucesso
Mon Bureau (My Desktop) : 1  restaurados com sucesso
Menu demarrer (Programs) : 9  restaurados com sucesso
Dossier utilisateur (AppData) : 13  restaurados com sucesso
Programmes (Program Files) : 10  restaurados com sucesso


========== Recapitulativo ==========
2 : Processo memória
3 : Chaves do Registo
4 : Valores do Registo
3 : Pastas
9 : Ficheiros
48 : Pastas/Ficheiros ocultos restaurados


End of clean in 01mn 12s

========== Caminho do ficheiro do relatório ==========
C:\Users\Haroldo\AppData\Roaming\ZHP\ZHPFix[R1].txt - 06/04/2015 14:40:50 [2725]
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Seg 06 Abr 2015, 14:51

/!\ Boa Tarde! pamonha /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Oleg N. Scherbakov )

> Salve-o no desktop!
> Desabilite seu antivírus!
> Para Windows 7,clique direito em JRT.exe e execute-o ... 

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Aguarde a conclusão e poste o relatório. ( JRT.txt )

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... par Xplode )
>
> Ou daqui: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Ao acessar,clique em "Download Now".
>
> Salve-o no desktop!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

> Clique direito em adwcleaner.exe,e escolha sua execução como administrador.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ps: Dê início ao scan,clicando em "Examinar". 

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ao concluir,clique "Limpar" ou "Cleaning" >> Ok >> Ok >> Ok.
> Copie o log ou clique "Relatório".
> Poste: < C:\AdwCleaner\AdwCleaner[S0].txt > 

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por pamonha Ter 07 Abr 2015, 07:41

Bom dia, Joram.

A seguir, os logs gerados pelos AdwCleaner e JRT, respectivamente, executados não necessariamente nessa ordem, mas como orientado:


# AdwCleaner v4.200 - Arquivo de log criado 07/04/2015 às 07:30:46
# Atualizado 29/03/2015 por Xplode
# Base de dados : 2015-04-06.3 [Servidor]
# Sistema operacional : Windows 8.1 Pro  (x64)
# Usuário : Haroldo - HAROLDO
# Executando de : C:\Users\Haroldo\Downloads\adwcleaner_4.200 (1).exe
# Opção : Limpar

***** [ Serviços ] *****


***** [ Arquivos / Pastas ] *****


***** [ Tarefas agendadas ] *****


***** [ Atalhos ] *****


***** [ Registro ] *****


***** [ Navegadores ] *****

-\\ Internet Explorer v11.0.9600.17416


-\\ Google Chrome v41.0.2272.118


*************************

AdwCleaner[R0].txt - [3533 bytes] - [24/03/2015 14:06:07]
AdwCleaner[R1].txt - [850 bytes] - [28/03/2015 12:35:20]
AdwCleaner[R2].txt - [1448 bytes] - [04/04/2015 05:36:05]
AdwCleaner[R3].txt - [1118 bytes] - [07/04/2015 07:28:43]
AdwCleaner[S0].txt - [2926 bytes] - [24/03/2015 14:09:13]
AdwCleaner[S1].txt - [915 bytes] - [28/03/2015 12:41:57]
AdwCleaner[S2].txt - [1494 bytes] - [04/04/2015 05:38:57]
AdwCleaner[S3].txt - [1037 bytes] - [07/04/2015 07:30:46]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1096  bytes] ##########

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.5.2 (04.06.2015:1)
OS: Windows 8.1 Pro x64
Ran by Haroldo on 07/04/2015 at  7:12:31,45
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\baidu security"
Successfully deleted: [Folder] "C:\Program Files (x86)\baidu security"



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 07/04/2015 at  7:17:45,92
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Ter 07 Abr 2015, 07:49

/!\ Bom Dia! pamonha /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de g3n-h@ckm@n )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Para o download,clique: TÉLÉCHARGER
> Salve-o no desktop!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Execute QuickDiag.exe >> Clique Quick.
> Aguarde a conclusão do scan!

¤¤¤¤¤¤¤¤¤¤¤¤ QuickDiag | g3n-h@ckm@n | 2.04.05.1 ¤¤¤¤¤¤¤¤¤¤¤¤

> Poste o relatório!

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por pamonha Ter 07 Abr 2015, 11:51

Boa tarde, Joram.

A seguir, o log gerado pelo QuickDiag, postado em partes:

1ª parte:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ QuickDiag | g3n-h@ckm@n | 02.04.06.3 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 07/04/2015 11:11:06

Updated 06.04.2015 | 20.30 by g3n-h@ckm@n
Contact : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

[Haroldo (Administrator)] - [HAROLDO]
SID = S-1-5-21-1369937336-1038112277-458697065

System : Windows 8.1 Pro (64 bits) Professional
PC : Acer - ZR7B - Calpella_CRB
Bios : INSYDE - 08/10/2010

Boot: Normal boot
Quick

Memory RAM = Total (MB) : 3857 | Free (MB) : 2355
Pagefile = Total (MB) : 4513 | Free (MB) : 2792
Virtual = Total (MB) : 4194 | Free (MB) : 4087

¤¤¤¤¤¤¤¤¤¤ | Drives

C:\ -> [Fixed] | [] | Total : 191830 Mo | Free : 154000 Mo -> NTFS
D:\ -> [Fixed] | [] | Total : 100000 Mo | Free : 9130 Mo -> NTFS

¤¤¤¤¤¤¤¤¤¤ | Windows updates

No detected update !!!


¤¤¤¤¤¤¤¤¤¤ | Browsers

IE : 11.0.9600.17416     (© Microsoft Corporation. Todos os direitos reservados.)
GC : 41.0.2272.118     (Copyright 2012 Google Inc.)

¤¤¤¤¤¤¤¤¤¤ | FlashPlayer

FlashPlayer ActiveX : 17.0.0.134

¤¤¤¤¤¤¤¤¤¤ | Security

FW : WINDOWS Firewall
WMI : OK
WU: Windows Update Service [Manual(3)] = stopped
AS: Windows Defender [Manual(3)] = stopped
FW: Windows FireWall Service [Auto(2)] = stopped

---
---

Log disponibilizado em Cjoint.com <<<
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Ter 07 Abr 2015, 12:32

/!\ Boa Tarde! pamonha /!\

> Para estudo mais eficiente ao relatório,que foi postado em partes,terei que unificá-lo e dispor o mesmo em Cjoint.com.

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Vai àcima,o link ao relatório!
> Peço-lhe que me dê algumas horas,para que estude o log que me enviou.
> Provavelmente,o script será realizado por intermédio da OTM ou OTL.

> Realizei pela Zoek.

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Smeenk )

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Salve-o ao desktop!
> Desabilite seu antivírus!
> Feche seu navegador!
> Para Windows 7,execute Zoek.exe como administrador.

[HKU\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Clients\StartMenuInternet\BoBrowser.K4SEXUY42UXQ3A77VPFWLUNUEY\Shell\Open\Command];r
""=-;r
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run];r
"Adobe ARM"=-;r
[-HKLM\Software\WOW6432Node\Google\Chrome\Extensions\gomekmidlodglbbmalcneegieacbdmki];r
[-HKU\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Baidu Security];r
[-HKLM\Software\Baidu Security];r
[-HKLM\Software\WOW6432Node\Baidu Security];r
[-HKLM\Software\WOW6432Node\Baidu_Drp_pos];r
C:\Users\Haroldo\AppData\Local\BoBrowser\Application\bobrowser.exe;f
C:\.rnd;f
chrdefaults;
chromelook; 
quickscan;  
shortcutfix;
emptytemp;
navegaki;a
navegaki;z


> Copie e cole estas informações,que estão em vermelho,no campo da ferramenta.
> Clique "Run Script". 

Zoek.exe is running now. 
Do not start any browser windows, they will be closed automatically. 
Please wait! This window will close when finished. 
A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log
> Surgirão informações,pedindo-lhe que aguarde o surgimento do relatório.
> Ps: Essas informações,podem permanecer estáticas na tela por 30 minutos ou mais.

> Confirme o reboot!

zoek.hta failed by unknown error.
Restart computer, and try again.
> Ps: Ao obter algum erro,reinicie o PC e execute,novamente,a ferramenta.
> Poste o relatório,que estará em C:\zoek-results.txt << 

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por pamonha Ter 07 Abr 2015, 20:18

Boa noite, Joram.

Impossibilidade em executar o Zoek.exe. Meu sistema é Windows 8.1.  Teima em aparecer a expressão "O Windows não pode acessar o dispositivo, caminho ou arquivo especificado. Talvez você não tenha as permissões adequadas para acessar o item". É a 1ª vez que isso acontece. Alguma incompatibilidade?  Aguardo ajuda. Grato.
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Ter 07 Abr 2015, 21:25

pamonha escreveu:Boa noite, Joram.

Impossibilidade em executar o Zoek.exe. Meu sistema é Windows 8.1.  Teima em aparecer a expressão "O Windows não pode acessar o dispositivo, caminho ou arquivo especificado. Talvez você não tenha as permissões adequadas para acessar o item". É a 1ª vez que isso acontece. Alguma incompatibilidade?  Aguardo ajuda. Grato.
/!\ Boa Noite! pamonha /!\

> Tentou em Modo de Segurança?

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por pamonha Qua 08 Abr 2015, 00:52

Caro Joram, boa noite.

A execução como sugerida (modo de segurança) saiu a contento. Não tenho segurança é quanto à transmissão via Cjoint.com, pois esta é minha 1ª vez. A seguir repasso-lhe o link:


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Aguardo orientação. Grato.
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Qua 08 Abr 2015, 03:17

/!\ Bom Dia! pamonha /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by OldTimer Tools )
> Ou aqui: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
>
> Salve-o no desktop! 
> Duplo clique em OTL.exe >> Executar ou.. [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Copie estas informações que estão no CÓDIGO,para o campo clipboard da ferramenta. ( "Exames Personalizados Correções" ) 

Código:
:Files
C:\$Recycle.Bin\S-1-5-21-1369937336-1038112277-458697065-1001\$RR0QPRX\PACKAGE_CUBEPILE_NAVEGAKI_INS-4FB5B7E6.pf
C:\Users\Haroldo\AppData\Local\Packages\windows_ie_ac_001\AC\Microsoft\Internet Explorer\DOMStore\D4A92B6N\www.navegaki[1].xml
C:\Users\Haroldo\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\9CJS55I9\www.navegaki[1].xml
C:\Users\Haroldo\AppData\Local\BoBrowser

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
"HomepageLocation"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
"DefaultSearchProviderSearchURL"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl&q={searchTerms}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\RestoreOnStartupURLs]
"1"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl"
[-HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\navegaki.com]
[HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{15BC6B9F-3672-4AE4-9914-2A1A293FDBD9}Machine\Software\Policies\Google\Chrome]
"HomepageLocation"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl"
[HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{15BC6B9F-3672-4AE4-9914-2A1A293FDBD9}Machine\Software\Policies\Google\Chrome]
"DefaultSearchProviderSearchURL"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl&q={searchTerms}"
[HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{15BC6B9F-3672-4AE4-9914-2A1A293FDBD9}Machine\Software\Policies\Google\Chrome\RestoreOnStartupURLs]
"1"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl"
[-HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\navegaki.com]
[-HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\www.navegaki.com]
[-HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\navegaki.com]
[-HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\www.navegaki.com]

:commands
[emptytemp]
[reboot]

> Clique no botão Consertar >> Aguarde a conclusão!
> O computador vai reiniciar! 
> Ao surgir,novamente,clique "Executar". 

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Para versões em Inglês,clique em Run Fix que é o mesmo que Consertar.
> Poste o relatório: C:\_OTL\MovedFiles\*.log 

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty NAVEGAKI.COM

Mensagem por pamonha Qua 08 Abr 2015, 14:59

Boa tarde, Joram.

A seguir,  o relatório OTL\MovedFiles\*.log. Aguardo orientação.


All processes killed
========== FILES ==========
C:\$Recycle.Bin\S-1-5-21-1369937336-1038112277-458697065-1001\$RR0QPRX\PACKAGE_CUBEPILE_NAVEGAKI_INS-4FB5B7E6.pf moved successfully.
C:\Users\Haroldo\AppData\Local\Packages\windows_ie_ac_001\AC\Microsoft\Internet Explorer\DOMStore\D4A92B6N\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] moved successfully.
C:\Users\Haroldo\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\9CJS55I9\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] moved successfully.
File\Folder C:\Users\Haroldo\AppData\Local\BoBrowser not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\\"HomepageLocation"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd|ssl" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\\"DefaultSearchProviderSearchURL"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl&q|{searchTerms}" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\RestoreOnStartupURLs\\"1"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd|ssl" /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\navegaki.com\ deleted successfully.
HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{15BC6B9F-3672-4AE4-9914-2A1A293FDBD9}Machine\Software\Policies\Google\Chrome\\"HomepageLocation"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd|ssl" /E : value set successfully!
HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{15BC6B9F-3672-4AE4-9914-2A1A293FDBD9}Machine\Software\Policies\Google\Chrome\\"DefaultSearchProviderSearchURL"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd=ssl&q|{searchTerms}" /E : value set successfully!
HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{15BC6B9F-3672-4AE4-9914-2A1A293FDBD9}Machine\Software\Policies\Google\Chrome\RestoreOnStartupURLs\\"1"="https://www.google.com.br/?gfe_rd=cr&ei=wb8kVdShNYmC8QfYn4GYCw&gws_rd|ssl" /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\navegaki.com\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\navegaki.com\ not found.
Registry key HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Haroldo
->Temp folder emptied: 2851736 bytes
->Temporary Internet Files folder emptied: 523092862 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 42408672 bytes
->Flash cache emptied: 1224 bytes

User: Public

User: Todos os Usuários

User: Usuário Padrão
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12404865 bytes
RecycleBin emptied: 5024473073 bytes

Total Files Cleaned = 5.346,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04082015_123341

Files\Folders moved on Reboot...
C:\Users\Haroldo\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Haroldo\AppData\Local\Microsoft\Windows\INetCache\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Qua 08 Abr 2015, 15:43

/!\ Boa Tarde! pamonha /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Nicolas Coolman )

> Estando na página,clique [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Salve-a no desktop! ( ZHPCleaner.exe )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Execute ZHPCleaner.exe <<
> Clique "Eu".

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique Scanner.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Aguarde a conclusão!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ao concluir,clique Reparar.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique Relatório!
> Poste o log de reparo: ~ Type : Reparo

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por pamonha Qui 09 Abr 2015, 02:07

Boa noite, Joram.


Abaixo, o log de reparo do ZHPCleaner:


~ ZHPCleaner v2015.4.8.161 by Nicolas Coolman (09/04/2015)
~ Run by Haroldo (Administrator)  (09/04/2015 01:36:49)
~ Forum : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
~ Facebook : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
~ State version : Version OK
~ Type : Reparo
~ Report : C:\Users\Haroldo\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Haroldo\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
~ Windows 81, 64-bit  (Build 9600)


---\\  Serviços (0)
~ Nenhum ítem malicioso foi encontrado.


---\\  Navegadores de Internet (0)
~ Nenhum ítem malicioso foi encontrado.


---\\  Arquivo hosts (1)
~ O arquivo hosts é legítimo (21)


---\\  Tarefas automáticas agendadas. (0)
~ Nenhum ítem malicioso foi encontrado.


---\\  Explorer ( Arquivos, Pastas) (24)
MOVIDO pasta: C:\Windows\System32\drivers\iaStorAV.sys [Intel Corporation - Intel Rapid Storage Technology driver (inbox) - x64] (PUP.InboxEmail)
MOVIDO pasta: C:\Program Files\KMSpico\Service_KMS.exe [@ByELDI - Service_KMS] (PUA.KMSpico)
MOVIDO pasta: C:\Program Files\KMSpico\DevComponents.DotNetBar2.dll [DevComponents.com - DevComponents.DotNetBar] (PUA.KMSpico)
MOVIDO pasta: C:\Program Files\KMSpico\KMSELDI.exe [@ByELDI - KMS GUI ELDI] (PUA.KMSpico)
MOVIDO pasta: C:\Program Files\KMSpico\unins000.dat   (PUA.KMSpico)
MOVIDO pasta: C:\Program Files\KMSpico\unins000.exe [ - Setup/Uninstall] (PUA.KMSpico)
MOVIDO pasta: C:\Program Files\KMSpico\UninsHs.exe [Han-soft - Uninstall for InnoSetup by Han-soft] (PUA.KMSpico)
MOVIDO pasta: C:\Program Files\KMSpico\Vestris.ResourceLib.dll [Vestris Inc. - ResourceLib] (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\cert (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\driver (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\icons (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\logs (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\scripts (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\sounds (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\TokensBackup (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\x64 (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico\x86 (PUA.KMSpico)
MOVIDO arquivo: C:\Program Files\KMSpico (PUA.KMSpico)
MOVIDO pasta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk   (PUA.KMSpico)
MOVIDO pasta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk   (PUA.KMSpico)
MOVIDO pasta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Log KMSpico.lnk   (PUA.KMSpico)
MOVIDO pasta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Uninstall KMSpico.lnk   (PUA.KMSpico)
MOVIDO arquivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico (PUA.KMSpico)
MOVIDO pasta: C:\Windows\SECOH-QAD.exe   (PUA.KMSpico)


---\\  Registro ( Chaves, Valores, Dados ) (7)
SUPRIMIDO chave*: HKLM\SYSTEM\CurrentControlSet\Services\iaStorAV [C:\Windows\System32\drivers\iaStorAV.sys (Not File)] (PUP.InboxEmail)
SUPRIMIDO chave*: HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI [C:\Program Files\KMSpico\Service_KMS.exe (Not File)] (PUA.KMSpico)
SUPRIMIDO chave*: HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\ProductSetup [] (Adware.InstallCore)
SUPRIMIDO chave*: HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Classes\BoBrowser.K4SEXUY42UXQ3A77VPFWLUNUEY [] (PUP.BoBrowser)
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Linkey [] (PUP.LinkeySearch)
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4a7cf448-0d71-4687-be0a-e1a14495d32e} [C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\] (Toolbar.BingBar)
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{cb665965-c27d-4b48-81ea-a382952823d8} [C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\] (Toolbar.BingBar)


---\\ Resultado de reparação
~ Reparação efectuada com sucesso
~ Este navegador está faltando ! (Mozilla Firefox)
~ Este navegador está faltando ! (Opera Software)


---\\ Estatísticas
~ Items scan : 78620
~ Items encontrado : 0
~ Items réparo : 33


End of clean at 01:54:36
===================
ZHPCleaner-[R]-09042015-01_54_36.txt
ZHPCleaner-[S]-09042015-01_36_33.txt
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Qui 09 Abr 2015, 05:36

/!\ Bom Dia! pamonha /!\

> Não vejo mais a presença do navegaki.com em seu computador!
--
--
SUPRIMIDO chave*: HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\ProductSetup [] (Adware.InstallCore)
SUPRIMIDO chave*: HKEY_USERS\S-1-5-21-1369937336-1038112277-458697065-1001\Software\Classes\BoBrowser.K4SEXUY42UXQ3A77VPFWLUNUEY [] (PUP.BoBrowser)
SUPRIMIDO chave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Linkey [] (PUP.LinkeySearch)

--
--
> A ferramenta removeu o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e algumas entradas maliciosas.
--
--
Hint : If you like MS products please buy legal and original copies. This program help to test these products, but its highly recommended to buy legal versions from creators!
--
--
> Aceite esta recomendação do desenvolvedor,na aquisição de produtos originais.

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Pierre13 )
> Salve-o no desktop!
> Para Windows Vista e 7,execute "SFTGC.exe" como administrador!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Execute-o e clique "Go".
> Aguarde seu término,que é rápido.
> Poste o relatório! ( SFT.txt )
> Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

> Acesse,para esta tarefa! < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty NAVEGAKI.COM

Mensagem por pamonha Qui 09 Abr 2015, 15:04

Boa tarde, Joram.


Apesar dos antídotos, o malware encontra-se em mutação. Apresenta-se agora apenas no Chrome (endereço) como "Search.navegaki.com". Em "Configurações" > "Gerenciar mecanismos de pesquisa", ele aparece mais completo, com detalhamento de inúmeros caracteres que o complementam. Aguardo instruções.

A seguir, o link do SFTGC.txt:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Qui 09 Abr 2015, 15:52

/!\ Boa Tarde! pamonha /!\

> Vá em "Personalizar e controlar o Google Chrome" >> Configurações.
> Estando em Configurações,acesse "Pesquisar".
> Clique: "Gerenciar mecanismos de pesquisa..."
> Indo em "Configurações padrão de pesquisa",exclua o mecanismo malicioso.
> Torne Padrão àquele que lhe agradar!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O banner mostra a Ask,mas no seu caso é o Navegaki.com.
> Verifique se existe algum mecanismo malicioso,à ser removido,indo em "Outros mecanismos de pesquisa".
> Clique Concluido ao terminar!
> Caso não tenha êxito,siga os procedimentos com a Zoek.

> Teremos que resetar o Chrome.
> Abra a Zoek.

emptyCHRcache;
reset chrome;
chrdefaults;

> Cole estas informações,que estão em vermelho,em seu campo.
> Clique "Run Script". 
> Aguarde a conclusão e poste o relatório!

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty NAVEGAKI.COM

Mensagem por pamonha Qui 09 Abr 2015, 18:37

Boa noite, Joram.

Impossibilitado de excluir da forma como orientada. Abaixo o log do Zoek.exe:



Zoek.exe v5.0.0.0 Updated 08-April-2015
Tool run by Haroldo on 09/04/2015 at 18:29:33,30.
Microsoft Windows 8.1 Pro 6.3.9600  x64
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\Haroldo\Downloads\zoek.exe [Scan all users] [Script inserted]

==== Older Logs ======================

C:\zoek-results2015-04-08-025809.log 180798 bytes

==== Reset Google Chrome ======================

C:\Users\Haroldo\AppData\Local\Google\Chrome\User Data\Default\Preferences was reset successfully
C:\Users\Haroldo\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences was reset successfully
C:\Users\Haroldo\AppData\Local\Google\Chrome\User Data\Default\Web Data was reset successfully
C:\Users\Haroldo\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal was reset successfully

==== Empty Chrome Cache ======================

C:\Users\Haroldo\AppData\Local\Google\Chrome\User Data\Default\Cache emptied successfully

==== C:\zoek_backup content ======================

C:\zoek_backup (files=0 folders=0 0 bytes)

==== EOF on 09/04/2015 at 18:30:33,04 ======================
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Qui 09 Abr 2015, 18:44

/!\ Boa Noite! pamonha /!\

pamonha escreveu:Impossibilitado de excluir da forma como orientada.
> Normalmente,esta forma de exclusão é muito eficiente!
> O reset teve algum efeito?

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty NAVEGAKI.COM

Mensagem por pamonha Qui 09 Abr 2015, 19:14

Boa noite, Joram.

Não... não surtiu efeito. Assim, resolvi desinstalá-lo usando o "Revo Uninstall", que eficientemente remove todas suas sobras. Ao reinstalá-lo, ressurge o malware. Em "Configurações", do lado esquerdo de "Gerenciar mecanismos de pesquisa", aparece o seu ícone em forma de um "L" espesso, com a seguinte expressão: "Esta configuração é aplicada por seu administrador". Isto lhe sugere alguma coisa? Não tenho idéia do que possa ser.
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Qui 09 Abr 2015, 19:26

pamonha escreveu:Boa noite, Joram.

Não... não surtiu efeito. Assim, resolvi desinstalá-lo usando o "Revo Uninstall", que eficientemente remove todas suas sobras. Ao reinstalá-lo, ressurge o malware. Em "Configurações", do lado esquerdo de "Gerenciar mecanismos de pesquisa", aparece o seu ícone em forma de um "L" espesso, com a seguinte expressão: "Esta configuração é aplicada por seu administrador". Isto lhe sugere alguma coisa? Não tenho idéia do que possa ser.
/!\ Olá! pamonha /!\

> Ao desinstalar o Chrome,utilizando o RevoUninstaller,utilizou o módulo "Avançado"?

... editando para incluir novos procedimentos!

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Salve este batchfile ao desktop!
> Clique direito e execute-o como administrador!
> Aguarde a conclusão!
> Abra seu navegador Google Chrome e na barra de endereços,digite: chrome:policy >> Aperte Enter!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Clique no botão "Atualizar políticas".
> Feche o Chrome e abra-o novamente!
> Vá em "Personalizar e controlar o Google Chrome" >> Configurações.
> Estando em Configurações,acesse "Pesquisar".
> Clique: "Gerenciar mecanismos de pesquisa..."
> Indo em "Configurações padrão de pesquisa",exclua o mecanismo malicioso.

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty NAVEGAKI.COM

Mensagem por pamonha Sex 10 Abr 2015, 10:04

Meu caro Joram, um bom dia.

Após procedimentos conforme sua última orientação, finalmente consegui excluir o item malicioso. Navegador Google Chrome agora está OK. Alguma ulterior orientação?
pamonha
pamonha
Membro
Membro

Mensagens : 171
Reputação : 6
Data de inscrição : 14/02/2014

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Sex 10 Abr 2015, 10:11

pamonha escreveu:Meu caro Joram, um bom dia.

Após procedimentos conforme sua última orientação, finalmente consegui excluir o item malicioso. Navegador Google Chrome agora está OK. Alguma ulterior orientação?
/!\ Bom Dia! pamonha /!\

> Apenas a remoção de Pontos de Restauração,que podem estar infectados,e estabelecimento de novo Ponto,pela DelFix.

> Caso não haja mais problemas,remova as ferramentas que foram utilizadas na desinfecção!

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Xplode )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Estando na página,clique em Download Now
> Salve-a em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema

> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!
> Bom trabalho!   Navegaki.com 648673379

A+
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por joram Sex 10 Abr 2015, 10:42

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Leia as várias dicas que estão contidas na Cartilha de Segurança e fique livre de infecções!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Instale este complemento ao Chrome e navegue tranquilamente!

CASO RESOLVIDO

> Necessitando nova verificação,para este computador,basta abrir "Novo Tópico" e relatar o problema.


Última edição por joram em Dom 12 Abr 2015, 07:24, editado 1 vez(es) (Motivo da edição : Incluir logo Avira)
joram
joram
Administrador
Administrador

Mensagens : 4160
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Ir para o topo Ir para baixo

Navegaki.com Empty Re: Navegaki.com

Mensagem por Conteúdo patrocinado


Conteúdo patrocinado


Ir para o topo Ir para baixo

Ir para o topo

- Tópicos semelhantes

 
Permissões neste sub-fórum
Não podes responder a tópicos