Notebook infectado pelo Buy2cheap

Olá!

Meu computador foi infectado pelo Buy2cheap, poderia me ajudar?

Obrigado!

/!\ Bom Dia! evanio01 /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] > ( ... de Nicolas Coolman )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Estando na página,clique: Télécharge
> Salve-a ao desktop! ( ZHPDiag3 )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta! [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ao abri-la,clique Scanner.
> Aguarde a conclusão!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> À seguir,clique Relatório.
> Poste o log de diagnóstico: ~ Modo: Scanner
> Ps: Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

> Ou acesse: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > 

> Clique no botão Parcourir... 
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.

A+

Olá!

Segue link do relatório.


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Obrigado!

/!\ Olá! evanio01 /!\

> Vc postou o log de ZHPCleaner e não de ZHPDiag,que foi o solicitado.

> Execute ZHPCleaner.exe <<

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique Reparar.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Acesse as guias que estão assinaladas em vermelho. 
> Clique Reparar ou desmarque algum ítem que seja Falso Positivo.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique Relatório!
> Poste o log de reparo: ~ Type : Reparo

A+

Olá!

Se entendi bem isso:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Abs!

/!\ Boa Noite! evanio01 /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... par Xplode )

> Ou daqui: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Ao acessar,clique em "Download Now".

> Salve-o no desktop!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

> Clique direito em adwcleaner.exe,e escolha sua execução como administrador.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ps: Dê início ao scan,clicando em "Examinar". 

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ao concluir,clique "Limpar" ou "Cleaning" >> Ok >> Ok >> Ok.
> Copie o log ou clique "Relatorio".
> Poste: < C:\AdwCleaner\AdwCleaner[S0].txt > 

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Malwarebytes.org )

> Salve-o no desktop!
> Desabilite seu antivírus!
> Para Windows 7,clique direito em JRT.exe e execute-o ... 

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Aguarde a conclusão e poste o relatório. ( JRT.txt )

A+

Olá!

Segue relatórios:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Abs!

/!\ Bom Dia! evanio01 /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Acesse este Tutorial! ( [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] )

> Obtenha informações de instalação,atualização e configurações do MBAM.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Escolha o "Tipo da Verificação": Verificação Personalizada
> Ao concluir,envie suas detecções para a Quarentena.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Leia no Tutorial: "Como acessar o Log (relatório) do Malwarebytes:"

> Poste o relatório! ( Scan Log )

A+

Segue log do Anti Mawer

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

/!\ Boa Tarde! evanio01 /!\

> Poste o log de ZHPDiag,conforme instruções que lhe passei inicialmente.

A+

Segue :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Obs.: Esse é o mesmo postado em Seg 03 Ago 2015, 21:30, por favor informar caso seja um atualizado.

evanio01 escreveu:Segue :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Obs.: Esse é o mesmo postado em Seg 03 Ago 2015, 21:30, por favor informar caso seja um atualizado.

/!\ Olá! evanio01 /!\

> Vc postou,novamente,o log errado!
> Deves baixar a ferramenta ZHPDiag e não a ZHPCleaner.
> Tenha mais atenção,na leitura das instruções!  

A+

Me desculpe pela confusão.

Fiz conforme instruções para geração do log do ZHPDialog la do inicio, segue relatório gerado:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

/!\ Bom Dia! evanio01 /!\

---\\ Scâner Aditional (088) (1) - 0s
~ Nenhum ítem malicioso o desnecessários foi encontrado.
--
--
> Malwares em potencial não foram encontrados por ZHPDiag.

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!
> Estando na página,clique: "Télécharger"
> Salve-o no desktop!
> Instale-o! ( Suivant >> Suivant >> Suivant >> Suivant >> Suivant >> Installer >> Terminer )
> Execute este script na ferramenta ZHPFix.

Script ZHPFix
EmptyPrefetch
EmptyClsid
EmptyFlash
EmptyTemp
FirewallRaz
ShortcutFix
Ifeofix
Proxyfix
HostFix
HiddenFix
[MD5.00000000000000000000000000000000] [APT] [avast! BCU UpdateS-1-5-21-122634110-2796016627-362079612-1007] (...) -- C:\Users\RachÆo-Rachinha\AppData\Roaming\AVAST Software\Browser Cleanup\BCUUpdate.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [avastBCLS-1-5-21-122634110-2796016627-362079612-1007] (...) -- C:\Users\RachÆo-Rachinha\AppData\Roaming\AVAST Software\Browser Cleanup\BCUSched.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [DF0604BD-97D1-47C4-AAB2-623E4D30B9D2] (...) -- C:\Users\Evanio\AppData\Local\DF0604BD-97D1-47C4-AAB2-623E4D30B9D2\DF0604BD-97D1-47C4-AAB2-623E4D30B9D2.exe (.not file.)   [0]
G0 - GCSP: Preferences [User Data\Default][HomePage] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
G0 - GCSP: Preferences [User Data\Default][HomePage] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} Orphean   =>.Microsoft Internet Explorer
O2 - BHO: CompSegIB [64Bits] - {2E3C3651-B19C-4DD9-A979-901EC3E930AF}  (Orphean)
O2 - BHO: (no name) [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}  (Orphean)
O2 - BHO: G-Buster Browser Defense [64Bits] - {C41A1C0E-EA6C-11D4-B1B8-444553540000}  (Orphean)     
O2 - BHO: (no name) [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9}  (Orphean)
O4 - HKLM\..\Run: [hola] C:\Program Files\Hola\app\hola.exe (.not file.)
O4 - HKCU\..\Run: [VDownloader] C:\Program Files\VDownloader\VDownloader4.exe (.not file.)
O4 - HKUS\S-1-5-21-122634110-2796016627-362079612-1002\..\Run: [VDownloader] C:\Program Files\VDownloader\VDownloader4.exe (.not file.)
O23 - Service: Serviço do Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe 
O39 - APT: avast! BCU UpdateS-1-5-21-122634110-2796016627-362079612-1007 - (...) -- C:\WINDOWS\System32\Tasks\avast! BCU UpdateS-1-5-21-122634110-2796016627-362079612-1007   [4312]
O39 - APT: avastBCLS-1-5-21-122634110-2796016627-362079612-1007 - (...) -- C:\WINDOWS\System32\Tasks\avastBCLS-1-5-21-122634110-2796016627-362079612-1007   [3420]
O39 - APT: Orphean - (...) -- C:\WINDOWS\System32\Tasks\PCDEventLauncherTask   [3484]
O39 - APT: Orphean - (...) -- C:\WINDOWS\System32\Tasks\{7312A793-C4FD-436C-BBE4-1BC8E727A070}   [3180]
O39 - APT: Orphean - (...) -- C:\WINDOWS\System32\Tasks\SystemToolsDailyTest   [3252] 
O43 - CFD: 2014/02/26 00:43:53 - [] D -- C:\Program Files (x86)\Baidu Security         
O43 - CFD: 2013/10/26 21:19:59 - [] D -- C:\Program Files (x86)\Bonjour     
O43 - CFD: 2014/05/24 13:13:06 - [] D -- C:\ProgramData\Baidu Security     
O43 - CFD: 2015/06/17 00:14:49 - [] D -- C:\ProgramData\TuneUp Software     
O43 - CFD: 2013/11/24 16:37:23 - [] D -- C:\Users\Evanio\AppData\Roaming\Baidu Security     
O43 - CFD: 2013/11/07 01:36:54 - [0] SHD -- C:\Users\Evanio\AppData\Local\Histórico 
O58 - SDL:2014/01/21 11:14:40 A . (.Baidu, Inc. - Baidu Antivirus Minifilter Driver.) -- C:\WINDOWS\System32\drivers\Bfilter.sys   [52032] 
O58 - SDL:2014/01/21 11:14:50 A . (.Baidu, Inc. - Baidu FS Monitor Driver.) -- C:\WINDOWS\System32\drivers\Bfmon.sys   [34624] 
O58 - SDL:2014/01/21 07:01:36 A . (.Baidu, Inc. - Baidu Antivirus Selfprotect Driver.) -- C:\WINDOWS\System32\drivers\Bprotect.sys   [128992] 
O87 - FAEL: "{4013D201-7809-4C5A-9665-8A6DC3363CA9}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe
O87 - FAEL: "{781BCB78-E209-42CF-8683-858385A39E91}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified 
HKLM\SOFTWARE\Wow6432Node\baidu     
HKLM\SOFTWARE\Wow6432Node\Baidu Security     
HKLM\SOFTWARE\Wow6432Node\Baidu_Drp_pos     
HKLM\SOFTWARE\Wow6432Node\AdwCleaner 
HKCU\SOFTWARE\AVAST Software     
HKCU\SOFTWARE\Baidu Security
HKCU\SOFTWARE\Baixaki     
HKCU\SOFTWARE\TuneUp
C:\Program Files\Bonjour\mDNSResponder.exe 
C:\Program Files\Bonjour
ServiceStop:Bonjour Service

> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.

> Abra a ferramenta ZHPFix. < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Clique IMPORTAÇÃO >> OK.
> Ps: Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".
> Poste o relatório!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >

A+

Olá!

Acho que não consegui concluir algum passo da forma apropriada.

Quando acesso a opção para fazer a opção aparece a seguinte mensagem:

Exemplos
Script ZHPFix
C:\Program Files\MagniPic
[HKEY_CURRENT_USER\Softwer\MagniPic]
[HKEY_USERS\S-1-8\Control MagniPic
[HKCU\Softwer\MagniPic]

/!\ Bom Dia! evanio01 /!\

> Isso lhe ocorreu devido ao fato de ao clicar IMPORTAÇÃO o campo não estava vazio,como deveria estar! Remova informações estranhas ao script,antes de clicar "GO".
Portanto,copie e cole ao campo,somente,as informações que destaquei em vermelho!

A+

Olá!

Quanto abro a ferramenta ZHPFix e clico em histórico aparece um alerta, conforme abaixo:

__________________________________________
Advertissement

Exemplos:
Script ZHPFix
C:\Program Files\MagniPic
[HKEY_CURRENT-USER\Software\MagniPic]
[HKEY_USER\S-1-5-18\Control MagniPic]
[HKCU\Software\MagniPic]
__________________________________________

Quando teclo OK a tela fica limpa. Após colocar o script e clicar no botão "GO" a mensagem aparece novamente.

/!\ Bom Dia! evanio01 /!\

> Copie novamente o script que lhe passei,pois esqueci de incluir os comandos iniciais,que são necessários à ferramenta ZHPFix.
> Ps: Já editei o Post e incluí os comandos!

A+

Bom dia!

Segue relatório do ZHPFix:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Abs!

/!\ Boa Noite! evanio01 /!\

> O buy2cheap ainda lhe incomoda?

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Em "Computer scan settings",marque:

<*> Enable detection of potentially unwanted applications

> Em "Hide advanced settings",marque:

<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology

> Deixe marcada a remoção automática!

<4> Remove found threats

> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Clique "Back" >> "Finish".
> Poste o relatório!

Abs!

Boa noite!

Não estou mais notando a presença do buy2cheap. De qualquer forma rodei o ESET, segue o relatório:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Obrigado,

Evanio

/!\ Bom Dia! evanio01 /!\

> Não havendo mais problemas,remova as ferramentas que foram utilizadas na desinfecção e restabeleça,backup ao registro do Windows.

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Xplode )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Estando na página,clique em Download Now. 
> Salve-a em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema
> Redefinir as configurações do sistema

> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!

> Ps: Por fim,backup do Registro estará em: C:\WINDOWS\ERUNT\DelFix <<

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Caso necessite,abra a pasta DelFix e execute ERDNT.
> Clique OK na mensagem!
> Bom trabalho!  

A+

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Leiam as várias dicas que estão contidas na Cartilha de Segurança e fiquem livres de infecções!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Instalem este complemento ao [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e naveguem tranquilamente!

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Para bloquear conteúdos de propagandas no YouTube,utilizem o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Instalem este complemento ao [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e naveguem tranquilamente!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Para bloqueios pontuais,onde uma lista negra pode ser construída,utilizem o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

 

> Previnam-se da instalação de PUPs com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]. << Link!

> Utilizem o SpywareBlaster para proteger o Internet Explorer de [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e scripts maliciosos.
> Podem reparar,que proteções adicionais são oferecidas ao Mozilla Firefox e Google Chrome.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Salve-o em Arquivos de programas.
> Após instalar o SB,vá em "Protection Status" >> Clique em "Enable All Protection"
> Atualize o SB,clicando em "Updates" >> "Check for Updates" >> Aguarde!
> Terminando,clique novamente em "Enable All Protection".
> Ps: À cada 10 dias,busque atualizar seu banco de definições.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Outra boa solução para exploits,seria a instalação do  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Mantenham o Hosts e Internet Explorer protegidos,com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> O WinPatrol ao detectar solicitações de mudanças ao Hosts,lhes darão as opções de aceitarem ou rejeitarem as alterações.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Para o download,cliquem: "Download WinPatrolToGo 2014"

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Bloqueiem conteúdos adulto,com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] que irá alternar seus DNS.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Desinfecte seus pendrives,com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
> Ao executar,cliquem OK na 1ª e 2ª mensagem!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Mantenham o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e [Tens de ter uma conta e sessão iniciada para poderes visualizar este link],atualizados!
> Para o Java,executem sua instalação off-line. ( Windows Off-line )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ps: Durante sua instalação,desmarquem as caixas de instalação da [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] 

> Mantenham seus computadores atualizados,visitando regularmente o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].


> Necessitando nova verificação para este computador,basta abrir "Novo Tópico" e relatar o problema.