Social bookmarking
Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking
Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking
Estatísticas
Temos 14810 usuários registradosO último membro registrado é Josevinil
Os nossos membros postaram um total de 36047 mensagens em 3685 assuntos
Quem está conectado?
Há 21 usuários online :: 0 registrados, 0 invisíveis e 21 visitantes Nenhum
O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
Top dos mais postadores
Power Max | ||||
joram | ||||
Wings [In Memoriam] | ||||
caedurodrigues | ||||
Amigo Brasileiro | ||||
luizvilarinho | ||||
Danii | ||||
Admin | ||||
Danilo Marsaro | ||||
Andreata |
Trojan na pasta RunDir
2 participantes
Página 1 de 1
Trojan na pasta RunDir
Boa dia senhores, aparentemente este problema acontece com várias pessoas, como dito no título o diretório " C:\Users\User\AppData\Roaming\RunDir " que possui alguns arquivos está com trojan de acordo com o SUPERAntiSpyware, tentei deleta-lo usando o mesmo, mas sempre que reinicio o pc, la esta a pasta novamente com esses arquivos, me desculpem se já houver algum post relacionado com o mesmo assunto e este seja um duplo post, preciso de um guia para me ajudar a resolver este problema.
J.Menchi- Iniciante
- Mensagens : 6
Reputação : 0
Data de inscrição : 13/08/2015
Re: Trojan na pasta RunDir
/!\ Boa Noite! J.Menchi /!\
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Farbar )
> No banner àcima,é para sistemas 32bits!
< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Yes" >> "Scan".
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Antes de clicar "Scan",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Optional Scan",deixe marcada a checkbox "Addition.txt".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)
> Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
A+
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Farbar )
> No banner àcima,é para sistemas 32bits!
< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Yes" >> "Scan".
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Antes de clicar "Scan",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Optional Scan",deixe marcada a checkbox "Addition.txt".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)
> Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Trojan na pasta RunDir
Bom dia Joram, abaixo estão os links como pedido.
FRST
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Addition
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Aguardo novas instruções
FRST
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Addition
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Aguardo novas instruções
J.Menchi- Iniciante
- Mensagens : 6
Reputação : 0
Data de inscrição : 13/08/2015
Re: Trojan na pasta RunDir
/!\ Bom Dia! J.Menchi /!\
> Desinstale: C:\Program Files\SUPERAntiSpyware <<
> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... ) -/- C:\Users\User\Desktop <<
start
CloseProcesses:
emptytemp:
(SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
(QNT) C:\Users\User\AppData\Roaming\Netlog\Netlog.exe
(QNT) C:\Users\User\AppData\Roaming\NetService\netservice.exe
HKU\S-1-5-21-894723369-241239887-2077736728-1000\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7930136 2015-08-04] (SUPERAntiSpyware)
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [172344 2014-07-22] (SUPERAntiSpyware.com)
R2 NetLogHandler; C:\Users\User\AppData\Roaming\Netlog\Netlog.exe [167704 2015-06-08] (QNT)
R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [211824 2015-03-20] (QNT)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
S3 MUCABRASIL; \??\C:\Program Files (x86)\MUCABRASIL\AntiCheat64.sys [X]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X]
2015-08-14 09:41 - 2015-08-14 09:46 - 00000000 ____D C:\Users\User\AppData\Roaming\RunDir
2015-08-13 17:18 - 2015-08-13 17:18 - 00001265 _____ C:\Windows\system32\3226 - 1boy 1girl artist_name bag black_hair blush breasts earrings green_eyes hetero high_resolution idolmaster idolmaster_cinderella_girls jewelry kappipe_(brd0520) kiss kneehighs large_filesize .jpg.lnk
2015-08-13 12:57 - 2015-08-13 12:57 - 00023664 _____ C:\ZA-Scan.txt
2015-08-13 12:57 - 2015-08-13 12:56 - 00024213 _____ C:\zoek-results2015-08-13-155604.log
2015-08-13 12:56 - 2015-08-13 12:57 - 00023664 _____ C:\Users\User\Desktop\ZA-Scan.txt
2015-08-13 12:54 - 2015-08-13 12:54 - 00000000 ____D C:\zoek_backup
2015-08-13 12:43 - 2015-08-13 12:44 - 01368576 _____ C:\Users\User\Desktop\ZA-Scan.exe
2015-08-13 12:29 - 2015-08-13 12:29 - 00042444 _____ C:\Users\User\Desktop\MbrScan.log
2015-08-13 12:29 - 2015-08-13 12:29 - 00000512 _____ C:\Users\User\Desktop\Dump_Hdd0_DR0.mbr
2015-08-13 12:28 - 2015-08-13 12:28 - 00147456 _____ (Eric_71) C:\Users\User\Desktop\MbrScan.exe
2015-08-13 11:20 - 2015-08-13 11:38 - 00000129 _____ C:\Users\User\Desktop\remoção do trojan.txt
2015-08-04 08:44 - 2015-04-16 10:27 - 00000000 ____D C:\Program Files\SUPERAntiSpyware
Task: {2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6} - System32\Tasks\AdobeAAMUpdater-1.0-User-PC-User => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe
Task: {727BC1C5-18B1-4272-89F4-1D4D016DF57A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {C644A27E-4D50-4122-8055-394DED20AEA6} - \Run_Bobby_Browser -> No File <==== ATTENTION
Task: {C6BDEAD7-7F2D-4202-9B65-2425185A2B47} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-12-12] (Piriform Ltd)
Task: {DE08DF7E-3BF9-4756-BBB4-85EAF69878A7} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
Task: {FBEC6026-8966-40CA-A017-349A0C003473} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
CreateRestorePoint:
Hosts:
RemoveProxy:
Reboot:
end
> Execute FRST/FRST64 >> Clique "Fix" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >
A+
> Desinstale: C:\Program Files\SUPERAntiSpyware <<
> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... ) -/- C:\Users\User\Desktop <<
start
CloseProcesses:
emptytemp:
(SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
(QNT) C:\Users\User\AppData\Roaming\Netlog\Netlog.exe
(QNT) C:\Users\User\AppData\Roaming\NetService\netservice.exe
HKU\S-1-5-21-894723369-241239887-2077736728-1000\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7930136 2015-08-04] (SUPERAntiSpyware)
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [172344 2014-07-22] (SUPERAntiSpyware.com)
R2 NetLogHandler; C:\Users\User\AppData\Roaming\Netlog\Netlog.exe [167704 2015-06-08] (QNT)
R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [211824 2015-03-20] (QNT)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
S3 MUCABRASIL; \??\C:\Program Files (x86)\MUCABRASIL\AntiCheat64.sys [X]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X]
2015-08-14 09:41 - 2015-08-14 09:46 - 00000000 ____D C:\Users\User\AppData\Roaming\RunDir
2015-08-13 17:18 - 2015-08-13 17:18 - 00001265 _____ C:\Windows\system32\3226 - 1boy 1girl artist_name bag black_hair blush breasts earrings green_eyes hetero high_resolution idolmaster idolmaster_cinderella_girls jewelry kappipe_(brd0520) kiss kneehighs large_filesize .jpg.lnk
2015-08-13 12:57 - 2015-08-13 12:57 - 00023664 _____ C:\ZA-Scan.txt
2015-08-13 12:57 - 2015-08-13 12:56 - 00024213 _____ C:\zoek-results2015-08-13-155604.log
2015-08-13 12:56 - 2015-08-13 12:57 - 00023664 _____ C:\Users\User\Desktop\ZA-Scan.txt
2015-08-13 12:54 - 2015-08-13 12:54 - 00000000 ____D C:\zoek_backup
2015-08-13 12:43 - 2015-08-13 12:44 - 01368576 _____ C:\Users\User\Desktop\ZA-Scan.exe
2015-08-13 12:29 - 2015-08-13 12:29 - 00042444 _____ C:\Users\User\Desktop\MbrScan.log
2015-08-13 12:29 - 2015-08-13 12:29 - 00000512 _____ C:\Users\User\Desktop\Dump_Hdd0_DR0.mbr
2015-08-13 12:28 - 2015-08-13 12:28 - 00147456 _____ (Eric_71) C:\Users\User\Desktop\MbrScan.exe
2015-08-13 11:20 - 2015-08-13 11:38 - 00000129 _____ C:\Users\User\Desktop\remoção do trojan.txt
2015-08-04 08:44 - 2015-04-16 10:27 - 00000000 ____D C:\Program Files\SUPERAntiSpyware
Task: {2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6} - System32\Tasks\AdobeAAMUpdater-1.0-User-PC-User => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe
Task: {727BC1C5-18B1-4272-89F4-1D4D016DF57A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {C644A27E-4D50-4122-8055-394DED20AEA6} - \Run_Bobby_Browser -> No File <==== ATTENTION
Task: {C6BDEAD7-7F2D-4202-9B65-2425185A2B47} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-12-12] (Piriform Ltd)
Task: {DE08DF7E-3BF9-4756-BBB4-85EAF69878A7} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
Task: {FBEC6026-8966-40CA-A017-349A0C003473} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
CreateRestorePoint:
Hosts:
RemoveProxy:
Reboot:
end
> Execute FRST/FRST64 >> Clique "Fix" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Trojan na pasta RunDir
Fix result of Farbar Recovery Scan Tool (x64) Version:13-08-2015
Ran by User (2015-08-14 12:06:23) Run:1
Running from C:\Users\User\Desktop
Loaded Profiles: User (Available Profiles: User)
Boot Mode: Normal
==============================================
fixlist content:
*****************
start
CloseProcesses:
emptytemp:
(SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
(QNT) C:\Users\User\AppData\Roaming\Netlog\Netlog.exe
(QNT) C:\Users\User\AppData\Roaming\NetService\netservice.exe
HKU\S-1-5-21-894723369-241239887-2077736728-1000\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7930136 2015-08-04] (SUPERAntiSpyware)
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [172344 2014-07-22] (SUPERAntiSpyware.com)
R2 NetLogHandler; C:\Users\User\AppData\Roaming\Netlog\Netlog.exe [167704 2015-06-08] (QNT)
R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [211824 2015-03-20] (QNT)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
S3 MUCABRASIL; \??\C:\Program Files (x86)\MUCABRASIL\AntiCheat64.sys [X]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X]
2015-08-14 09:41 - 2015-08-14 09:46 - 00000000 ____D C:\Users\User\AppData\Roaming\RunDir
2015-08-13 17:18 - 2015-08-13 17:18 - 00001265 _____ C:\Windows\system32\3226 - 1boy 1girl artist_name bag black_hair blush breasts earrings green_eyes hetero high_resolution idolmaster idolmaster_cinderella_girls jewelry kappipe_(brd0520) kiss kneehighs large_filesize .jpg.lnk
2015-08-13 12:57 - 2015-08-13 12:57 - 00023664 _____ C:\ZA-Scan.txt
2015-08-13 12:57 - 2015-08-13 12:56 - 00024213 _____ C:\zoek-results2015-08-13-155604.log
2015-08-13 12:56 - 2015-08-13 12:57 - 00023664 _____ C:\Users\User\Desktop\ZA-Scan.txt
2015-08-13 12:54 - 2015-08-13 12:54 - 00000000 ____D C:\zoek_backup
2015-08-13 12:43 - 2015-08-13 12:44 - 01368576 _____ C:\Users\User\Desktop\ZA-Scan.exe
2015-08-13 12:29 - 2015-08-13 12:29 - 00042444 _____ C:\Users\User\Desktop\MbrScan.log
2015-08-13 12:29 - 2015-08-13 12:29 - 00000512 _____ C:\Users\User\Desktop\Dump_Hdd0_DR0.mbr
2015-08-13 12:28 - 2015-08-13 12:28 - 00147456 _____ (Eric_71) C:\Users\User\Desktop\MbrScan.exe
2015-08-13 11:20 - 2015-08-13 11:38 - 00000129 _____ C:\Users\User\Desktop\remoção do trojan.txt
2015-08-04 08:44 - 2015-04-16 10:27 - 00000000 ____D C:\Program Files\SUPERAntiSpyware
Task: {2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6} - System32\Tasks\AdobeAAMUpdater-1.0-User-PC-User => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe
Task: {727BC1C5-18B1-4272-89F4-1D4D016DF57A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {C644A27E-4D50-4122-8055-394DED20AEA6} - \Run_Bobby_Browser -> No File <==== ATTENTION
Task: {C6BDEAD7-7F2D-4202-9B65-2425185A2B47} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-12-12] (Piriform Ltd)
Task: {DE08DF7E-3BF9-4756-BBB4-85EAF69878A7} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
Task: {FBEC6026-8966-40CA-A017-349A0C003473} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
CreateRestorePoint:
Hosts:
RemoveProxy:
Reboot:
end
*****************
Processes closed successfully.
C:\Program Files\SUPERAntiSpyware\SASCore64.exe => No running process found
C:\Users\User\AppData\Roaming\Netlog\Netlog.exe => No running process found
C:\Users\User\AppData\Roaming\NetService\netservice.exe => No running process found
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SUPERAntiSpyware => value not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\BaiduAntivirusIconLock" => key removed successfully
HKCR\CLSID\{0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => key not found.
C:\Windows\system32\GroupPolicy\Machine => moved successfully.
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully.
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => moved successfully.
"HKLM\SOFTWARE\Policies\Google" => key removed successfully
"HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\\Default => value restored successfully
!SASCORE => service not found.
NetLogHandler => service removed successfully
NetTcpHandler => service removed successfully
SASDIFSV => service not found.
SASKUTIL => Unable to stop service.
SASKUTIL => service removed successfully
AODDriver4.2.0 => service removed successfully
gdrv => service removed successfully
IntcAzAudAddService => service removed successfully
MUCABRASIL => service removed successfully
RTHDMIAzAudService => service removed successfully
C:\Users\User\AppData\Roaming\RunDir => moved successfully.
C:\Windows\system32\3226 - 1boy 1girl artist_name bag black_hair blush breasts earrings green_eyes hetero high_resolution idolmaster idolmaster_cinderella_girls jewelry kappipe_(brd0520) kiss kneehighs large_filesize .jpg.lnk => moved successfully.
C:\ZA-Scan.txt => moved successfully.
C:\zoek-results2015-08-13-155604.log => moved successfully.
C:\Users\User\Desktop\ZA-Scan.txt => moved successfully.
C:\zoek_backup => moved successfully.
C:\Users\User\Desktop\ZA-Scan.exe => moved successfully.
C:\Users\User\Desktop\MbrScan.log => moved successfully.
C:\Users\User\Desktop\Dump_Hdd0_DR0.mbr => moved successfully.
C:\Users\User\Desktop\MbrScan.exe => moved successfully.
C:\Users\User\Desktop\remoção do trojan.txt => moved successfully.
"C:\Program Files\SUPERAntiSpyware" => File/Folder not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6}" => key removed successfully
C:\Windows\System32\Tasks\AdobeAAMUpdater-1.0-User-PC-User => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeAAMUpdater-1.0-User-PC-User" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{727BC1C5-18B1-4272-89F4-1D4D016DF57A}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{727BC1C5-18B1-4272-89F4-1D4D016DF57A}" => key removed successfully
C:\Windows\System32\Tasks\Adobe Acrobat Update Task => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Acrobat Update Task" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C644A27E-4D50-4122-8055-394DED20AEA6}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C644A27E-4D50-4122-8055-394DED20AEA6}" => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Run_Bobby_Browser => key not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6BDEAD7-7F2D-4202-9B65-2425185A2B47}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6BDEAD7-7F2D-4202-9B65-2425185A2B47}" => key removed successfully
C:\Windows\System32\Tasks\CCleanerSkipUAC => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleanerSkipUAC" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE08DF7E-3BF9-4756-BBB4-85EAF69878A7}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE08DF7E-3BF9-4756-BBB4-85EAF69878A7}" => key removed successfully
C:\Windows\System32\Tasks\GyazoUpdateTaskMachineDaily => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GyazoUpdateTaskMachineDaily" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FBEC6026-8966-40CA-A017-349A0C003473}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FBEC6026-8966-40CA-A017-349A0C003473}" => key removed successfully
C:\Windows\System32\Tasks\GyazoUpdateTaskMachine => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GyazoUpdateTaskMachine" => key removed successfully
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe => moved successfully.
Restore point was successfully created.
C:\Windows\System32\Drivers\etc\hosts => moved successfully.
Hosts restored successfully.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
========= End of RemoveProxy: =========
EmptyTemp: => 471 MB temporary data Removed.
The system needed a reboot..
==== End of Fixlog 12:06:52 ====
Ran by User (2015-08-14 12:06:23) Run:1
Running from C:\Users\User\Desktop
Loaded Profiles: User (Available Profiles: User)
Boot Mode: Normal
==============================================
fixlist content:
*****************
start
CloseProcesses:
emptytemp:
(SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
(QNT) C:\Users\User\AppData\Roaming\Netlog\Netlog.exe
(QNT) C:\Users\User\AppData\Roaming\NetService\netservice.exe
HKU\S-1-5-21-894723369-241239887-2077736728-1000\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7930136 2015-08-04] (SUPERAntiSpyware)
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [172344 2014-07-22] (SUPERAntiSpyware.com)
R2 NetLogHandler; C:\Users\User\AppData\Roaming\Netlog\Netlog.exe [167704 2015-06-08] (QNT)
R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [211824 2015-03-20] (QNT)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
S3 MUCABRASIL; \??\C:\Program Files (x86)\MUCABRASIL\AntiCheat64.sys [X]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X]
2015-08-14 09:41 - 2015-08-14 09:46 - 00000000 ____D C:\Users\User\AppData\Roaming\RunDir
2015-08-13 17:18 - 2015-08-13 17:18 - 00001265 _____ C:\Windows\system32\3226 - 1boy 1girl artist_name bag black_hair blush breasts earrings green_eyes hetero high_resolution idolmaster idolmaster_cinderella_girls jewelry kappipe_(brd0520) kiss kneehighs large_filesize .jpg.lnk
2015-08-13 12:57 - 2015-08-13 12:57 - 00023664 _____ C:\ZA-Scan.txt
2015-08-13 12:57 - 2015-08-13 12:56 - 00024213 _____ C:\zoek-results2015-08-13-155604.log
2015-08-13 12:56 - 2015-08-13 12:57 - 00023664 _____ C:\Users\User\Desktop\ZA-Scan.txt
2015-08-13 12:54 - 2015-08-13 12:54 - 00000000 ____D C:\zoek_backup
2015-08-13 12:43 - 2015-08-13 12:44 - 01368576 _____ C:\Users\User\Desktop\ZA-Scan.exe
2015-08-13 12:29 - 2015-08-13 12:29 - 00042444 _____ C:\Users\User\Desktop\MbrScan.log
2015-08-13 12:29 - 2015-08-13 12:29 - 00000512 _____ C:\Users\User\Desktop\Dump_Hdd0_DR0.mbr
2015-08-13 12:28 - 2015-08-13 12:28 - 00147456 _____ (Eric_71) C:\Users\User\Desktop\MbrScan.exe
2015-08-13 11:20 - 2015-08-13 11:38 - 00000129 _____ C:\Users\User\Desktop\remoção do trojan.txt
2015-08-04 08:44 - 2015-04-16 10:27 - 00000000 ____D C:\Program Files\SUPERAntiSpyware
Task: {2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6} - System32\Tasks\AdobeAAMUpdater-1.0-User-PC-User => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe
Task: {727BC1C5-18B1-4272-89F4-1D4D016DF57A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {C644A27E-4D50-4122-8055-394DED20AEA6} - \Run_Bobby_Browser -> No File <==== ATTENTION
Task: {C6BDEAD7-7F2D-4202-9B65-2425185A2B47} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-12-12] (Piriform Ltd)
Task: {DE08DF7E-3BF9-4756-BBB4-85EAF69878A7} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
Task: {FBEC6026-8966-40CA-A017-349A0C003473} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2015-07-22] ()
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
CreateRestorePoint:
Hosts:
RemoveProxy:
Reboot:
end
*****************
Processes closed successfully.
C:\Program Files\SUPERAntiSpyware\SASCore64.exe => No running process found
C:\Users\User\AppData\Roaming\Netlog\Netlog.exe => No running process found
C:\Users\User\AppData\Roaming\NetService\netservice.exe => No running process found
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SUPERAntiSpyware => value not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\BaiduAntivirusIconLock" => key removed successfully
HKCR\CLSID\{0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => key not found.
C:\Windows\system32\GroupPolicy\Machine => moved successfully.
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully.
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => moved successfully.
"HKLM\SOFTWARE\Policies\Google" => key removed successfully
"HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\\Default => value restored successfully
!SASCORE => service not found.
NetLogHandler => service removed successfully
NetTcpHandler => service removed successfully
SASDIFSV => service not found.
SASKUTIL => Unable to stop service.
SASKUTIL => service removed successfully
AODDriver4.2.0 => service removed successfully
gdrv => service removed successfully
IntcAzAudAddService => service removed successfully
MUCABRASIL => service removed successfully
RTHDMIAzAudService => service removed successfully
C:\Users\User\AppData\Roaming\RunDir => moved successfully.
C:\Windows\system32\3226 - 1boy 1girl artist_name bag black_hair blush breasts earrings green_eyes hetero high_resolution idolmaster idolmaster_cinderella_girls jewelry kappipe_(brd0520) kiss kneehighs large_filesize .jpg.lnk => moved successfully.
C:\ZA-Scan.txt => moved successfully.
C:\zoek-results2015-08-13-155604.log => moved successfully.
C:\Users\User\Desktop\ZA-Scan.txt => moved successfully.
C:\zoek_backup => moved successfully.
C:\Users\User\Desktop\ZA-Scan.exe => moved successfully.
C:\Users\User\Desktop\MbrScan.log => moved successfully.
C:\Users\User\Desktop\Dump_Hdd0_DR0.mbr => moved successfully.
C:\Users\User\Desktop\MbrScan.exe => moved successfully.
C:\Users\User\Desktop\remoção do trojan.txt => moved successfully.
"C:\Program Files\SUPERAntiSpyware" => File/Folder not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F0AECAC-EEAC-4FE8-BB79-FC351CE6ECA6}" => key removed successfully
C:\Windows\System32\Tasks\AdobeAAMUpdater-1.0-User-PC-User => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeAAMUpdater-1.0-User-PC-User" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{727BC1C5-18B1-4272-89F4-1D4D016DF57A}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{727BC1C5-18B1-4272-89F4-1D4D016DF57A}" => key removed successfully
C:\Windows\System32\Tasks\Adobe Acrobat Update Task => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Acrobat Update Task" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C644A27E-4D50-4122-8055-394DED20AEA6}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C644A27E-4D50-4122-8055-394DED20AEA6}" => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Run_Bobby_Browser => key not found.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6BDEAD7-7F2D-4202-9B65-2425185A2B47}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6BDEAD7-7F2D-4202-9B65-2425185A2B47}" => key removed successfully
C:\Windows\System32\Tasks\CCleanerSkipUAC => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleanerSkipUAC" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE08DF7E-3BF9-4756-BBB4-85EAF69878A7}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE08DF7E-3BF9-4756-BBB4-85EAF69878A7}" => key removed successfully
C:\Windows\System32\Tasks\GyazoUpdateTaskMachineDaily => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GyazoUpdateTaskMachineDaily" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FBEC6026-8966-40CA-A017-349A0C003473}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FBEC6026-8966-40CA-A017-349A0C003473}" => key removed successfully
C:\Windows\System32\Tasks\GyazoUpdateTaskMachine => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GyazoUpdateTaskMachine" => key removed successfully
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe => moved successfully.
Restore point was successfully created.
C:\Windows\System32\Drivers\etc\hosts => moved successfully.
Hosts restored successfully.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\S-1-5-21-894723369-241239887-2077736728-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
========= End of RemoveProxy: =========
EmptyTemp: => 471 MB temporary data Removed.
The system needed a reboot..
==== End of Fixlog 12:06:52 ====
J.Menchi- Iniciante
- Mensagens : 6
Reputação : 0
Data de inscrição : 13/08/2015
Re: Trojan na pasta RunDir
/!\ Boa Tarde! J.Menchi /!\
> Poste novo relatório da ferramenta FRST. ( FRST.txt )
Abs!
> Poste novo relatório da ferramenta FRST. ( FRST.txt )
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Trojan na pasta RunDir
Boa Tarde Joram, aqui está : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Aparentemente a pasta não esta mais la, no caso do SUPERAntiSpyware é recomendável que eu fique sem ele ? Apesar de que foi graças a ele que eu vi este Trojan, também tenho o Malwarebytes Anti-Malware instalado.
Aparentemente a pasta não esta mais la, no caso do SUPERAntiSpyware é recomendável que eu fique sem ele ? Apesar de que foi graças a ele que eu vi este Trojan, também tenho o Malwarebytes Anti-Malware instalado.
J.Menchi- Iniciante
- Mensagens : 6
Reputação : 0
Data de inscrição : 13/08/2015
Re: Trojan na pasta RunDir
/!\ Boa Tarde! J.Menchi /!\
> Tudo OK?
> Não havendo mais problemas,remova as ferramentas que foram utilizadas na desinfecção e restabeleça,backup ao registro do Windows.
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Xplode )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Estando na página,clique em Download Now.
> Salve-a em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema
> Redefinir as configurações do sistema
> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!
> Ps: Por fim,backup do Registro estará em: C:\WINDOWS\ERUNT\DelFix <<
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Caso necessite,abra a pasta DelFix e execute ERDNT.
> Clique OK na mensagem!
A+
> Neste novo log da FRST,não vi mais a necessidade de script.J.Menchi escreveu:Boa Tarde Joram, aqui está : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Aparentemente a pasta não esta mais la
> Tudo OK?
> Não havendo mais problemas,remova as ferramentas que foram utilizadas na desinfecção e restabeleça,backup ao registro do Windows.
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Xplode )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Estando na página,clique em Download Now.
> Salve-a em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema
> Redefinir as configurações do sistema
> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!
> Ps: Por fim,backup do Registro estará em: C:\WINDOWS\ERUNT\DelFix <<
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Caso necessite,abra a pasta DelFix e execute ERDNT.
> Clique OK na mensagem!
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Trojan na pasta RunDir
Tudo certo Joram, fiz o backup como pedido, minha máquina agora parece que ficou limpa, muito obrigado pelo seu tempo. Abs !
J.Menchi- Iniciante
- Mensagens : 6
Reputação : 0
Data de inscrição : 13/08/2015
Re: Trojan na pasta RunDir
/!\ Olá! J.Menchi /!\J.Menchi escreveu:Tudo certo Joram, fiz o backup como pedido, minha máquina agora parece que ficou limpa, muito obrigado pelo seu tempo. Abs !
> Caso queira ficar com o SUPERAntiSpyware,desinstale o Malwarebytes.
> Mas...este software não é pago?
> Bom trabalho!
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Trojan na pasta RunDir
Sim é pago, mas ele tem alguns dias de graça que você pode usar como teste, depois do tempo free se não quiser adquirir o modelo pago você utiliza apenas para varreduras.
J.Menchi- Iniciante
- Mensagens : 6
Reputação : 0
Data de inscrição : 13/08/2015
Re: Trojan na pasta RunDir
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!
> Leiam as várias dicas que estão contidas na Cartilha de Segurança e fiquem livres de infecções!
< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!
> Instalem este complemento ao [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e naveguem tranquilamente!
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Para bloquear conteúdos de propagandas no YouTube,utilizem o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!
> Instalem este complemento ao [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e naveguem tranquilamente!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Para bloqueios pontuais,onde uma lista negra pode ser construída,utilizem o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
> Previnam-se da instalação de PUPs com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]. << Link!
> Utilizem o SpywareBlaster para proteger o Internet Explorer de [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e scripts maliciosos.
> Podem reparar,que proteções adicionais são oferecidas ao Mozilla Firefox e Google Chrome.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Salve-o em Arquivos de programas.
> Após instalar o SB,vá em "Protection Status" >> Clique em "Enable All Protection"
> Atualize o SB,clicando em "Updates" >> "Check for Updates" >> Aguarde!
> Terminando,clique novamente em "Enable All Protection".
> Ps: À cada 10 dias,busque atualizar seu banco de definições.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Outra boa solução para exploits,seria a instalação do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Mantenham o Hosts e Internet Explorer protegidos,com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O WinPatrol ao detectar solicitações de mudanças ao Hosts,lhes darão as opções de aceitarem ou rejeitarem as alterações.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Para o download,cliquem: "Download WinPatrolToGo 2014"
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Bloqueiem conteúdos adulto,com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] que irá alternar seus DNS.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Desinfecte seus pendrives,com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
> Ao executar,cliquem OK na 1ª e 2ª mensagem!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Mantenham o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e [Tens de ter uma conta e sessão iniciada para poderes visualizar este link],atualizados!
> Para o Java,executem sua instalação off-line. ( Windows Off-line )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ps: Durante sua instalação,desmarquem as caixas de instalação da [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Mantenham seus computadores atualizados,visitando regularmente o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
> Necessitando nova verificação para este computador,basta abrir "Novo Tópico" e relatar o problema.
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Tópicos semelhantes
» Pc Infectado Pelo Rundir
» Pasta bloqueada
» Como excluir a pasta Baidu Security do meu PC ?
» Não tenho acesso a pasta Arquivos e Programas
» Sem acesso a pasta "Arquivos de Programas"
» Pasta bloqueada
» Como excluir a pasta Baidu Security do meu PC ?
» Não tenho acesso a pasta Arquivos e Programas
» Sem acesso a pasta "Arquivos de Programas"
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|