Flux RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Social bookmarking

Social bookmarking Digg  Social bookmarking Delicious  Social bookmarking Reddit  Social bookmarking Stumbleupon  Social bookmarking Slashdot  Social bookmarking Yahoo  Social bookmarking Google  Social bookmarking Blinklist  Social bookmarking Blogmarks  Social bookmarking Technorati  

Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking

Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking

Estatísticas
Temos 14428 usuários registrados
O último usuário registrado atende pelo nome de RS_Computadores

Os nossos membros postaram um total de 35114 mensagens em 3558 assuntos
Últimos assuntos
» Pc reinicia ao desligar e vai pra BIOS
por joram Ontem à(s) 14:41

Quem está conectado
1 usuário online :: Nenhum usuário registrado, Nenhum Invisível e 1 Visitante

Nenhum

O recorde de usuários online foi de 108 em Qui 15 Maio 2014, 21:18
Buscar
 
 

Resultados por:
 


Rechercher Busca avançada

Setembro 2017
SegTerQuaQuiSexSabDom
    123
45678910
11121314151617
18192021222324
252627282930 

Calendário Calendário

Palavras chave


Suspeita de algo malicioso

Página 1 de 2 1, 2  Seguinte

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Suspeita de algo malicioso

Mensagem por luizvilarinho em Seg 21 Dez 2015, 13:29

Estou com suspeita de algo malicioso nesse PC, há alguns dias ao tentar abrir um site baixei um arquivo e desde então observo comportamento estranho da maquina, hoje ao ligar vi alguns arquivos que estavam no formato World virarem PDF, segue um log do Hijack para uma averiguação.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:24:53, on 21/12/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10240.16412)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\WINDOWS\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\UESPI\Desktop\HijackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Você precisa estar registrado e conectado para ver este link.]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Você precisa estar registrado e conectado para ver este link.]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Você precisa estar registrado e conectado para ver este link.]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Você precisa estar registrado e conectado para ver este link.]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Você precisa estar registrado e conectado para ver este link.]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Você precisa estar registrado e conectado para ver este link.]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office\root\Office16\GROOVEEX.DLL
O4 - HKLM\..\Run: [VDownloader] "C:\Program Files\VDownloader\VDownloader4.exe" /silent
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKCU\..\Run: [OneDrive] "C:\Users\UESPI\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO DE REDE')
O8 - Extra context menu item: &Enviar para o OneNote - [Você precisa estar registrado e conectado para ver este link.] Files\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xport to Microsoft Excel - [Você precisa estar registrado e conectado para ver este link.] Files\Microsoft Office\Root\Office16\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Você precisa estar registrado e conectado para ver este link.] Files\Microsoft Office\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - [Você precisa estar registrado e conectado para ver este link.] Files\Microsoft Office\Root\Office16\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Avast Firewall (avast! Firewall) - AVAST Software - C:\Program Files\AVAST Software\Avast\afwServ.exe
O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6398 bytes
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Seg 21 Dez 2015, 18:36

/!\ Boa Noite! luizvilarinho /!\

> Acesse este site: < Virus Total >
> Faça a análise deste arquivo: C:\WINDOWS\system32\sihost.exe   

[Você precisa estar registrado e conectado para ver esta imagem.]

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalyse file now"

[Você precisa estar registrado e conectado para ver esta imagem.]

> Ao concluir,poste o link ao relatório.

> Baixe: < [Você precisa estar registrado e conectado para ver esta imagem.] > ( ... by Farbar )

> No banner àcima,é para sistemas 32bits!

< Farbar Recovery Scan Tool 64-Bit >

> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Sim" >> "Examinar".

[Você precisa estar registrado e conectado para ver esta imagem.]

> Antes de clicar "Examinar",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Exame Opcional",deixe marcada as checkbox "Addition.txt" e "Arquivos 90 Dias".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)

> Como os logs serão extensos,envie-os à [Você precisa estar registrado e conectado para ver esta imagem.] >

[Você precisa estar registrado e conectado para ver esta imagem.]

> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

[Você precisa estar registrado e conectado para ver esta imagem.]

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

[Você precisa estar registrado e conectado para ver esta imagem.]

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
> Fique atento,pois serão 2 links a serem postados!

A+

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Ter 22 Dez 2015, 10:04

Segue analise do vírus total, irei realizar agora o falbar.

[Você precisa estar registrado e conectado para ver este link.]
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Ter 22 Dez 2015, 10:13

[Você precisa estar registrado e conectado para ver este link.] (Addition)

[Você precisa estar registrado e conectado para ver este link.] (FRST)
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 09:22

/*\ Bom Dia! luizvilarinho /*\

> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... )

start
CloseProcesses:
() C:\Windows\KMS-R@1n.exe
() C:\Windows\KMS-R@1nhook.exe
IFEO\OSppSvc.exe: [Debugger] [Você precisa estar registrado e conectado para ver este link.]
IFEO\SppExtComObj.exe: [Debugger] [Você precisa estar registrado e conectado para ver este link.]
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [23040 2015-10-17] () [Arquivo não assinado]
U3 idsvc; não ImagePath
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
U3 wpcsvc; não ImagePath
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ () C:\Windows\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ () C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ () C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ C:\WINDOWS\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00000000 ____D C:\Users\UESPI\AppData\Local\mpress
2015-10-08 08:53 - 2015-10-08 08:53 - 00013238 ____H C:\Users\UESPI\Desktop\~WRL3592.tmp
2015-09-29 18:22 - 2015-09-29 18:22 - 00000000 ____D C:\Users\UESPI\AppData\Roaming\MPC-HC
CustomCLSID: HKU\S-1-5-21-613365655-2104278902-840499372-1000_Classes\CLSID\19041B6B-8F97-4669-BA21-C17572737ED2\localserver32 -> "C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe" => Nenhum Arq (a entrada de dados tem 4 mais caracteres).
Task: {1282FC15-1103-4CC4-8630-07A419833F2B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {375CC9FE-BE1D-4C3E-9A27-0920785184F2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {3C535243-49DF-4F39-A640-87EBF84C3AD8} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic
Task: {41A30663-69C4-4DBC-99D8-74A637C55ACB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {4BBFE1BC-EF09-4667-BE78-AC77E66AA8E0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {61A7E732-C19C-400D-A4A3-AFEB298ED26A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {61D070C1-4CB9-4E30-B6F3-9247E470386B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Nenhum Arquivo <==== ATENÇÃO
Task: {89E9E002-221D-4291-9ED5-D1B41EC10038} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Nenhum Arquivo <==== ATENÇÃO
Task: {90F7A4BC-D73A-4019-B2C1-60C844647422} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {9B62F802-FFD1-469F-A5A9-C8418318BC52} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {A1774D5A-9F22-4F92-9591-98C12C4AF06A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Nenhum Arquivo <==== ATENÇÃO
FirewallRules: [{E766BD95-1400-472A-B64E-ABE092E026FB}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{C4AE4C80-B914-4E96-92EF-955537A7C6CC}] => (Allow) C:\Windows\KMS-R@1n.exe
C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe
C:\Users\UESPI\AppData\Local\BoBrowser
CreateRestorePoint:
EmptyTemp:
Reboot:
Hosts:
end


> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)

[Você precisa estar registrado e conectado para ver esta imagem.]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

A+

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 09:41

Segue log.
[Você precisa estar registrado e conectado para ver este link.]
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 09:49

/*\ Bom Dia! luizvilarinho /*\

> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<

> Como está o PC,após o Fix com FRST?

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 09:54

Desconheço o arquivo, digo que meus arquivos que eram no formato World que viraram PDF coloquei para abrir com World agora dizem ser "Arquivo LOCKED (.locked)"
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 10:31

Acho que esse arquivo que me perguntou se conheço deve ser o que baixei no site que estava tentando acessar e esse arquivo informava que era atualizador do flash player, e danificou alguns arquivos meus que estão na área de trabalho.
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 14:38

/!\ Boa Tarde! luizvilarinho /!\

> Baixe: < [Você precisa estar registrado e conectado para ver esta imagem.] > < [Você precisa estar registrado e conectado para ver esta imagem.] > ( ... de Nicolas Coolman )

[Você precisa estar registrado e conectado para ver esta imagem.]

> Estando na página,clique: Télécharge
> Salve-a ao desktop! ( ZHPDiag3 )

[Você precisa estar registrado e conectado para ver esta imagem.]

> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta!

[Você precisa estar registrado e conectado para ver esta imagem.]

[Você precisa estar registrado e conectado para ver esta imagem.]

> Ao abri-la,clique Scanner.
> Aguarde a conclusão!

[Você precisa estar registrado e conectado para ver esta imagem.]

> À seguir,clique Relatório.
> Poste o log de diagnóstico: ~ Modo: Scanner
> Ps: Como o log será extenso,envie-o à Pjjoint.malekal.

> Ou acesse: < [Você precisa estar registrado e conectado para ver esta imagem.] >

> Clique no botão Parcourir...
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

[Você precisa estar registrado e conectado para ver esta imagem.]

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

[Você precisa estar registrado e conectado para ver esta imagem.]

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.

A+

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 14:56

Segue log.

[Você precisa estar registrado e conectado para ver este link.]
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 15:20

/!\ Boa Tarde! luizvilarinho /!\

> Baixe: < [Você precisa estar registrado e conectado para ver esta imagem.] > << Link!

> Estando na página,clique: "Télécharger"
> Salve-o no desktop!
> Instale-o,clicando em: Suivant >> Suivant >>...>> Suivant >> Suivant >> Installer >> Terminer
> Execute este script na ferramenta ZHPFix.

Script ZHPFix
EmptyPrefetch
EmptyClsid
EmptyFlash
EmptyTemp
FirewallRaz
HiddenFix
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job [426] =>.Superfluous.Easeware
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan [3898] =>.Superfluous.Easeware
O39 - APT: klcp_update - (...) -- C:\WINDOWS\System32\Tasks\klcp_update [3894]
O43 - CFD: 17/09/2015 - [] D -- C:\Program Files\Easeware =>.Superfluous.Easeware =>.Superfluous.Easeware
O43 - CFD: 17/09/2015 - [] D -- C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
O45 - LFCP:[MD5.2C4BD21560A3C037F2110586BD6BE30C] 17/09/2015 A -- C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office
O87 - FAEL: "UDP Query User{04753A12-FAB3-4A20-976E-8804977E292E}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P17-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
O87 - FAEL: "TCP Query User{ECCD7191-E7B8-43F0-93B9-E5DD893DAB6B}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P6-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified
[MD5.F607821FF3700141FDDBC5D65161C108] [APT] [DriverEasy Scheduled Scan] (.Easeware.) -- C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [3189520] =>.Superfluous.Easeware

C:\Users\UESPI\atualizar.exe
C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job =>.Superfluous.Easeware
C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan =>.Superfluous.Easeware
C:\Program Files\Easeware =>.Superfluous.Easeware
C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office


> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.

> Abra a ferramenta ZHPFix. < [Você precisa estar registrado e conectado para ver esta imagem.] >

[Você precisa estar registrado e conectado para ver esta imagem.]

> Clique IMPORTAÇÃO >> OK.
> Ps: Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".

[Você precisa estar registrado e conectado para ver esta imagem.]

> Ou,clique CONFIGURAR >> Personalizar.
> Cole as informações contidas no Bloco de Notas,ao campo da ferramenta.
> Clique "GO".
> Poste o relatório!

[Você precisa estar registrado e conectado para ver esta imagem.]
< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >

A+

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 15:27

Segue.
[Você precisa estar registrado e conectado para ver este link.]
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 15:31

Agora fica mostrando todos arquivos ocultos, já fui no painel de controle mas fica marcado as opções de exibir e de não exibir os arquivos não consigo modificar.
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 16:20

/!\ Boa Tarde! luizvilarinho /!\

[Você precisa estar registrado e conectado para ver esta imagem.]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]


> Abrindo o registro (Windows+R) e indo pelo caminho dado,verifique se encontra as indicações,em seu PC,segundo a imagem postada.

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 16:25

Positivo, da está da mesma forma que a imagem.
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 16:32

/!\ Boa Tarde! luizvilarinho /!\

[Você precisa estar registrado e conectado para ver esta imagem.]

> Verifique em NOHIDDEN,se está de acordo com a imagem.

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 16:36

Diferente, vai imagem em anexo.
Anexos
Regedit.jpg Você não tem permissão para fazer download dos arquivos anexados.(251 Kb) Baixado 2 vez(es)
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 17:16

/!\ Boa Tarde! luizvilarinho /!\

> Altere em "CheckedValue" para 00000002 e reinicie o computador!
> Informe!

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qua 23 Dez 2015, 17:34

Feito.
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qua 23 Dez 2015, 17:43

/!\ Boa Tarde! luizvilarinho /!\

> Execute este antivírus online: Eset

> Baixe: < [Você precisa estar registrado e conectado para ver esta imagem.] >

> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"

[Você precisa estar registrado e conectado para ver esta imagem.]

> Em "Computer scan settings",marque:

<*> Enable detection of potentially unwanted applications

> Em "Hide advanced settings",marque:

<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology
<4> Remove found threats

[Você precisa estar registrado e conectado para ver esta imagem.]

> Desejando,somente,o diagnóstico deixe desmarcada a caixa "Remove found threats".

> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Ou busque o relatório em C:\Program Files\ESET\EsetOnlineScanner\log.txt <<
> Clique "Back" >> "Finish".
> Poste o relatório!

> Desejando o Fix,podemos restaurar algumas remoções indo em: C:\Program Files\ESET\ESET Online Scanner\Quarantine <<

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qui 24 Dez 2015, 09:35

Segue relatório do ESET.

C:\FRST\Quarantine\C\Windows\KMS-QADhook.dll.xBAD Win32/HackKMS.AB potentially unsafe application
C:\FRST\Quarantine\C\Windows\KMS-R@1nhook.exe.xBAD a variant of Win32/HackKMS.AB potentially unsafe application
C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\atualizar.exe.VIR a variant of MSIL/Filecoder.Y trojan
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\Keygen.exe Win32/HackKMS.A potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\setup.exe a variant of Win32/Adware.CognosAds.C application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\smt_istartsurf.exe a variant of Win32/ELEX.EY potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qui 24 Dez 2015, 10:48

/!\ Bom Dia! luizvilarinho /!\

> Abra o FormatFactory e clique no botão Opções.
> Desmarque: Verificar nova Versão

> Das detecções da Eset,vc pode manualmente deletar estes arquivos em destaque.

C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
C:\Program Files\FormatFactory\FFModules\Package\Ask << Esta pasta!

Informe!

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por luizvilarinho em Qui 24 Dez 2015, 10:53

Tudo feito.
avatar
luizvilarinho
Membro
Membro

Mensagens : 776
Reputação : 2
Data de inscrição : 13/11/2013

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por joram em Qui 24 Dez 2015, 11:05

/!\ Bom Dia! luizvilarinho /!\

> Informe a situação de sua máquina!

Abs!

_________________
Fórum PC Brasil >> O que há de melhor,para desinfectar seu computador!
Fórum SecSecurity >> Não deixem de conhecer!
Fórum iMasters >> Tradição em informática!
avatar
joram
Administrador
Administrador

Mensagens : 3724
Reputação : 416
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro

Voltar ao Topo Ir em baixo

Re: Suspeita de algo malicioso

Mensagem por Conteúdo patrocinado


Conteúdo patrocinado


Voltar ao Topo Ir em baixo

Página 1 de 2 1, 2  Seguinte

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo


 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum