Remoção de Malware_navegaki.com

Joram,

Eliminei todos os ficheiros do Chrome e passei o Zoek. Segue o relatório: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

A princípio, os navegadores parecem estar limpos.....vou observar se terá alguma alteração.

Boa noite Joram,

Infelizmente, não deu certo.
Mesmo eliminando os ficheiros, o Navegaki se instalou novamente em todos os navegadores.
Para retirá-lo da página inicial, utilizei o método informado na própria página do Navegaki, na instrução de desinstalação: fui na propriedade de cada navegador e no campo destino apaguei o nome dessa praga.
Os navegadores reabriram na página do google, mas tenho certeza que vai voltar....
Li algumas dicas de outras pessoas atingidas por essa porcaria e vi que uma das soluções seria criar um outro perfil de usuário no windows, removendo o usuário que está com problema. Você acha que resolveria definitivamente?

Abs,
Mônica

/!\ Bom Dia! monica_simone /!\

> Como os navegadores estão abrindo na página do Google,já temos alguma garantia de que não esteja ocorrendo acesso à páginas suspeitas.
> Quanto à mudança de perfil,ele pode ser executado...mas gostaria de ver o log da Zoek,em relação ao navegaki.com.
> Ao analizar o relatório,constatei que vc foi reinfectada de forma mais incisiva,pois temos alterações ao Registro efetuado pelo navegaki.com.

C:\Users\Marina\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\http_www.navegaki.com_0.localstorage;f
C:\Users\Marina\AppData\Local\Microsoft\Internet Explorer\DOMStore\WRMRJE5K\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
C:\Users\Marina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YTX3ZOCH\cxg-search-navegaki[1].png;f
C:\Users\Marina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YTX3ZOCH\navegakigame[1].htm;f
C:\Users\Marina\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\NY0XYJ3J\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN];r
"Search Page"=-;r
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN];r
"Default_Search_URL"=-;r
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E921F400-D383-4B1B-9DE6-FCFCACFC1173}];r
"DisplayName"=-;r
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E921F400-D383-4B1B-9DE6-FCFCACFC1173}];r
"URL"=-;r
[-HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\DOMStorage\navegaki.com];r
[-HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\DOMStorage\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[-HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\navegaki.com];r
[-HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\Main];r
"Search Page"=-;r
[HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\Main];r
"Default_Search_URL"=-;r
[HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\SearchScopes\{E921F400-D383-4B1B-9DE6-FCFCACFC1173}];r
"DisplayName"=-;r
[HKEY_USERS\S-1-5-21-1676987257-1593010146-3184279874-1000\Software\Microsoft\Internet Explorer\SearchScopes\{E921F400-D383-4B1B-9DE6-FCFCACFC1173}];r
"URL"=-;r
navegaki;a
navegaki;z

> Estas informações que estão na Quote,vc pode colar na Zoek e executá-la.
> É um novo script que irá remover entradas do navegaki.com.
> Caso queira,vc pode acessar o Registro e,manualmente,deletá-las uma à uma.

A+

Oi Joram,

Segue o relatório do Zoek: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Estou na dúvida se ele rodou sem problemas, pois deixei executando e quando voltei o computador estava ligado, com o relatório na tela. Não houve o pedido para dar reboot.

De qualquer forma, hoje o dia inteiro os navegadores ficaram normais, sem sinal do Navegaki.
Vou continuar observando.

Abs,
Mônica

/!\ Boa Tarde! monica_simone /!\

> Delete,manualmente,estes domínios indo pelo caminho dado:

C:\Users\Marina\AppData\Local\Google\Chrome\User Data\Profile 2\Local Storage\http_www.navegaki.com_0.localstorage

C:\Users\Marina\AppData\Local\Microsoft\Internet Explorer\DOMStore\WRMRJE5K\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

C:\Users\Marina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\THUM2H0I\cxg-search-navegaki[1].png

C:\Users\Marina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YTX3ZOCH\navegakigame[1].htm

C:\Users\Marina\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\NY0XYJ3J\[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

C:\Users\Marina\AppData\Roaming\Mozilla\Firefox\Profiles\smunrcih.default-1448410722848\searchplugins\navegaki.xml

> Talvez haja a necessidade de desocultar as pastas.

Abs!

Joram,

Desocultei a pasta AppData e todas as suas subpastas e deletei os domínios citados, com exceção do 3º, 4º e 5º, que não localizei.
Pesquisei o nome navegaki na referida pasta e encontrei ainda o seguinte domínio:

C:\Users\Marina\AppData\Locallow\Microsoft\Internet Explorer\DOMStore\NYOXYJ3J
DELETEI ESTE

E mais estes dois, que fiquei na dúvida se era pra deletar:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Devo deletar?

Abs,
Mônica

/!\ Boa Tarde! monica_simone /!\


> Não delete!

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Malwarebytes.org )

> Salve-o no desktop!
> Desabilite seu antivírus!
> Para Windows 7,clique direito em JRT.exe e execute-o ... 

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Aguarde a conclusão e poste o relatório. ( JRT.txt )

A+

Oi Joram,

Segue o relatório: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Abs,
Mônica

/!\ Boa Tarde! monica_simone /!\

> Como houve reinfecção,pode rodar novamente a DelFix.
> Creio que seu caso foi solucionado. Tudo Ok?

Abs!

Oi Joram,

Acho que foi solucionado, sim.
O computador passou hoje o dia todo ligado e não apresentou mais problemas.
Rodarei a DelFix.

Muito obrigada por todas as orientações. Você foi ótimo.

Abs,
Mônica

Caso Resolvido!

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Para sua Segurança!

> Leia as dicas ou orientações contidas na Cartilha de Segurança para Internet.

Caso Resolvido!