Social bookmarking
Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking
Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking
Estatísticas
Temos 14810 usuários registradosO último membro registrado é Josevinil
Os nossos membros postaram um total de 36047 mensagens em 3685 assuntos
Quem está conectado?
Há 11 usuários online :: 0 registrados, 0 invisíveis e 11 visitantes Nenhum
O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
Top dos mais postadores
Power Max | ||||
joram | ||||
Wings [In Memoriam] | ||||
caedurodrigues | ||||
Amigo Brasileiro | ||||
luizvilarinho | ||||
Danii | ||||
Admin | ||||
Danilo Marsaro | ||||
Andreata |
Suspeita de algo malicioso
2 participantes
Página 1 de 2
Página 1 de 2 • 1, 2
Suspeita de algo malicioso
Estou com suspeita de algo malicioso nesse PC, há alguns dias ao tentar abrir um site baixei um arquivo e desde então observo comportamento estranho da maquina, hoje ao ligar vi alguns arquivos que estavam no formato World virarem PDF, segue um log do Hijack para uma averiguação.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:24:53, on 21/12/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10240.16412)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\WINDOWS\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\UESPI\Desktop\HijackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office\root\Office16\GROOVEEX.DLL
O4 - HKLM\..\Run: [VDownloader] "C:\Program Files\VDownloader\VDownloader4.exe" /silent
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKCU\..\Run: [OneDrive] "C:\Users\UESPI\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO DE REDE')
O8 - Extra context menu item: &Enviar para o OneNote - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xport to Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Root\Office16\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Root\Office16\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Avast Firewall (avast! Firewall) - AVAST Software - C:\Program Files\AVAST Software\Avast\afwServ.exe
O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
--
End of file - 6398 bytes
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:24:53, on 21/12/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10240.16412)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\WINDOWS\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\UESPI\Desktop\HijackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office\root\Office16\GROOVEEX.DLL
O4 - HKLM\..\Run: [VDownloader] "C:\Program Files\VDownloader\VDownloader4.exe" /silent
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKCU\..\Run: [OneDrive] "C:\Users\UESPI\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO DE REDE')
O8 - Extra context menu item: &Enviar para o OneNote - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xport to Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Root\Office16\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Root\Office16\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Avast Firewall (avast! Firewall) - AVAST Software - C:\Program Files\AVAST Software\Avast\afwServ.exe
O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
--
End of file - 6398 bytes
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Noite! luizvilarinho /!\
> Acesse este site: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Faça a análise deste arquivo: C:\WINDOWS\system32\sihost.exe
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalyse file now"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Ao concluir,poste o link ao relatório.
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Farbar )
> No banner àcima,é para sistemas 32bits!
< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Sim" >> "Examinar".
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Antes de clicar "Examinar",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Exame Opcional",deixe marcada as checkbox "Addition.txt" e "Arquivos 90 Dias".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)
> Como os logs serão extensos,envie-os à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
> Fique atento,pois serão 2 links a serem postados!
A+
> Acesse este site: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Faça a análise deste arquivo: C:\WINDOWS\system32\sihost.exe
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalyse file now"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Ao concluir,poste o link ao relatório.
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Farbar )
> No banner àcima,é para sistemas 32bits!
< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Sim" >> "Examinar".
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Antes de clicar "Examinar",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Exame Opcional",deixe marcada as checkbox "Addition.txt" e "Arquivos 90 Dias".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)
> Como os logs serão extensos,envie-os à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
> Fique atento,pois serão 2 links a serem postados!
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Segue analise do vírus total, irei realizar agora o falbar.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (Addition)
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (FRST)
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (FRST)
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/*\ Bom Dia! luizvilarinho /*\
> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<
> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... )
start
CloseProcesses:
() C:\Windows\KMS-R@1n.exe
() C:\Windows\KMS-R@1nhook.exe
IFEO\OSppSvc.exe: [Debugger] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IFEO\SppExtComObj.exe: [Debugger] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [23040 2015-10-17] () [Arquivo não assinado]
U3 idsvc; não ImagePath
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
U3 wpcsvc; não ImagePath
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ () C:\Windows\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ () C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ () C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ C:\WINDOWS\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00000000 ____D C:\Users\UESPI\AppData\Local\mpress
2015-10-08 08:53 - 2015-10-08 08:53 - 00013238 ____H C:\Users\UESPI\Desktop\~WRL3592.tmp
2015-09-29 18:22 - 2015-09-29 18:22 - 00000000 ____D C:\Users\UESPI\AppData\Roaming\MPC-HC
CustomCLSID: HKU\S-1-5-21-613365655-2104278902-840499372-1000_Classes\CLSID\19041B6B-8F97-4669-BA21-C17572737ED2\localserver32 -> "C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe" => Nenhum Arq (a entrada de dados tem 4 mais caracteres).
Task: {1282FC15-1103-4CC4-8630-07A419833F2B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {375CC9FE-BE1D-4C3E-9A27-0920785184F2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {3C535243-49DF-4F39-A640-87EBF84C3AD8} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic
Task: {41A30663-69C4-4DBC-99D8-74A637C55ACB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {4BBFE1BC-EF09-4667-BE78-AC77E66AA8E0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {61A7E732-C19C-400D-A4A3-AFEB298ED26A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {61D070C1-4CB9-4E30-B6F3-9247E470386B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Nenhum Arquivo <==== ATENÇÃO
Task: {89E9E002-221D-4291-9ED5-D1B41EC10038} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Nenhum Arquivo <==== ATENÇÃO
Task: {90F7A4BC-D73A-4019-B2C1-60C844647422} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {9B62F802-FFD1-469F-A5A9-C8418318BC52} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {A1774D5A-9F22-4F92-9591-98C12C4AF06A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Nenhum Arquivo <==== ATENÇÃO
FirewallRules: [{E766BD95-1400-472A-B64E-ABE092E026FB}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{C4AE4C80-B914-4E96-92EF-955537A7C6CC}] => (Allow) C:\Windows\KMS-R@1n.exe
C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe
C:\Users\UESPI\AppData\Local\BoBrowser
CreateRestorePoint:
EmptyTemp:
Reboot:
Hosts:
end
> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >
A+
> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<
> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... )
start
CloseProcesses:
() C:\Windows\KMS-R@1n.exe
() C:\Windows\KMS-R@1nhook.exe
IFEO\OSppSvc.exe: [Debugger] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IFEO\SppExtComObj.exe: [Debugger] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [23040 2015-10-17] () [Arquivo não assinado]
U3 idsvc; não ImagePath
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
U3 wpcsvc; não ImagePath
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ () C:\Windows\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ () C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ () C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ C:\WINDOWS\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00000000 ____D C:\Users\UESPI\AppData\Local\mpress
2015-10-08 08:53 - 2015-10-08 08:53 - 00013238 ____H C:\Users\UESPI\Desktop\~WRL3592.tmp
2015-09-29 18:22 - 2015-09-29 18:22 - 00000000 ____D C:\Users\UESPI\AppData\Roaming\MPC-HC
CustomCLSID: HKU\S-1-5-21-613365655-2104278902-840499372-1000_Classes\CLSID\19041B6B-8F97-4669-BA21-C17572737ED2\localserver32 -> "C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe" => Nenhum Arq (a entrada de dados tem 4 mais caracteres).
Task: {1282FC15-1103-4CC4-8630-07A419833F2B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {375CC9FE-BE1D-4C3E-9A27-0920785184F2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {3C535243-49DF-4F39-A640-87EBF84C3AD8} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic
Task: {41A30663-69C4-4DBC-99D8-74A637C55ACB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {4BBFE1BC-EF09-4667-BE78-AC77E66AA8E0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {61A7E732-C19C-400D-A4A3-AFEB298ED26A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {61D070C1-4CB9-4E30-B6F3-9247E470386B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Nenhum Arquivo <==== ATENÇÃO
Task: {89E9E002-221D-4291-9ED5-D1B41EC10038} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Nenhum Arquivo <==== ATENÇÃO
Task: {90F7A4BC-D73A-4019-B2C1-60C844647422} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {9B62F802-FFD1-469F-A5A9-C8418318BC52} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {A1774D5A-9F22-4F92-9591-98C12C4AF06A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Nenhum Arquivo <==== ATENÇÃO
FirewallRules: [{E766BD95-1400-472A-B64E-ABE092E026FB}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{C4AE4C80-B914-4E96-92EF-955537A7C6CC}] => (Allow) C:\Windows\KMS-R@1n.exe
C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe
C:\Users\UESPI\AppData\Local\BoBrowser
CreateRestorePoint:
EmptyTemp:
Reboot:
Hosts:
end
> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Segue log.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/*\ Bom Dia! luizvilarinho /*\
> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<
> Como está o PC,após o Fix com FRST?
Abs!
> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<
> Como está o PC,após o Fix com FRST?
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Desconheço o arquivo, digo que meus arquivos que eram no formato World que viraram PDF coloquei para abrir com World agora dizem ser "Arquivo LOCKED (.locked)"
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
Acho que esse arquivo que me perguntou se conheço deve ser o que baixei no site que estava tentando acessar e esse arquivo informava que era atualizador do flash player, e danificou alguns arquivos meus que estão na área de trabalho.
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Tarde! luizvilarinho /!\
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] > ( ... de Nicolas Coolman )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Estando na página,clique: Télécharge
> Salve-a ao desktop! ( ZHPDiag3 )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Ao abri-la,clique Scanner.
> Aguarde a conclusão!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> À seguir,clique Relatório.
> Poste o log de diagnóstico: ~ Modo: Scanner
> Ps: Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
> Ou acesse: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Clique no botão Parcourir...
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
A+
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] > ( ... de Nicolas Coolman )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Estando na página,clique: Télécharge
> Salve-a ao desktop! ( ZHPDiag3 )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Ao abri-la,clique Scanner.
> Aguarde a conclusão!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> À seguir,clique Relatório.
> Poste o log de diagnóstico: ~ Modo: Scanner
> Ps: Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].
> Ou acesse: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Clique no botão Parcourir...
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Tarde! luizvilarinho /!\
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!
> Estando na página,clique: "Télécharger"
> Salve-o no desktop!
> Instale-o,clicando em: Suivant >> Suivant >>...>> Suivant >> Suivant >> Installer >> Terminer
> Execute este script na ferramenta ZHPFix.
Script ZHPFix
EmptyPrefetch
EmptyClsid
EmptyFlash
EmptyTemp
FirewallRaz
HiddenFix
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job [426] =>.Superfluous.Easeware
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan [3898] =>.Superfluous.Easeware
O39 - APT: klcp_update - (...) -- C:\WINDOWS\System32\Tasks\klcp_update [3894]
O43 - CFD: 17/09/2015 - [] D -- C:\Program Files\Easeware =>.Superfluous.Easeware =>.Superfluous.Easeware
O43 - CFD: 17/09/2015 - [] D -- C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
O45 - LFCP:[MD5.2C4BD21560A3C037F2110586BD6BE30C] 17/09/2015 A -- C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office
O87 - FAEL: "UDP Query User{04753A12-FAB3-4A20-976E-8804977E292E}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P17-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
O87 - FAEL: "TCP Query User{ECCD7191-E7B8-43F0-93B9-E5DD893DAB6B}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P6-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified
[MD5.F607821FF3700141FDDBC5D65161C108] [APT] [DriverEasy Scheduled Scan] (.Easeware.) -- C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [3189520] =>.Superfluous.Easeware
C:\Users\UESPI\atualizar.exe
C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job =>.Superfluous.Easeware
C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan =>.Superfluous.Easeware
C:\Program Files\Easeware =>.Superfluous.Easeware
C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office
> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.
> Abra a ferramenta ZHPFix. < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Clique IMPORTAÇÃO >> OK.
> Ps: Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou,clique CONFIGURAR >> Personalizar.
> Cole as informações contidas no Bloco de Notas,ao campo da ferramenta.
> Clique "GO".
> Poste o relatório!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >
A+
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!
> Estando na página,clique: "Télécharger"
> Salve-o no desktop!
> Instale-o,clicando em: Suivant >> Suivant >>...>> Suivant >> Suivant >> Installer >> Terminer
> Execute este script na ferramenta ZHPFix.
Script ZHPFix
EmptyPrefetch
EmptyClsid
EmptyFlash
EmptyTemp
FirewallRaz
HiddenFix
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job [426] =>.Superfluous.Easeware
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan [3898] =>.Superfluous.Easeware
O39 - APT: klcp_update - (...) -- C:\WINDOWS\System32\Tasks\klcp_update [3894]
O43 - CFD: 17/09/2015 - [] D -- C:\Program Files\Easeware =>.Superfluous.Easeware =>.Superfluous.Easeware
O43 - CFD: 17/09/2015 - [] D -- C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
O45 - LFCP:[MD5.2C4BD21560A3C037F2110586BD6BE30C] 17/09/2015 A -- C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office
O87 - FAEL: "UDP Query User{04753A12-FAB3-4A20-976E-8804977E292E}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P17-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
O87 - FAEL: "TCP Query User{ECCD7191-E7B8-43F0-93B9-E5DD893DAB6B}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P6-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified
[MD5.F607821FF3700141FDDBC5D65161C108] [APT] [DriverEasy Scheduled Scan] (.Easeware.) -- C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [3189520] =>.Superfluous.Easeware
C:\Users\UESPI\atualizar.exe
C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job =>.Superfluous.Easeware
C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan =>.Superfluous.Easeware
C:\Program Files\Easeware =>.Superfluous.Easeware
C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office
> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.
> Abra a ferramenta ZHPFix. < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Clique IMPORTAÇÃO >> OK.
> Ps: Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Ou,clique CONFIGURAR >> Personalizar.
> Cole as informações contidas no Bloco de Notas,ao campo da ferramenta.
> Clique "GO".
> Poste o relatório!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >
A+
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Segue.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
Agora fica mostrando todos arquivos ocultos, já fui no painel de controle mas fica marcado as opções de exibir e de não exibir os arquivos não consigo modificar.
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Tarde! luizvilarinho /!\
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
> Abrindo o registro (Windows+R) e indo pelo caminho dado,verifique se encontra as indicações,em seu PC,segundo a imagem postada.
Abs!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
> Abrindo o registro (Windows+R) e indo pelo caminho dado,verifique se encontra as indicações,em seu PC,segundo a imagem postada.
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Positivo, da está da mesma forma que a imagem.
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Tarde! luizvilarinho /!\
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Verifique em NOHIDDEN,se está de acordo com a imagem.
Abs!
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Verifique em NOHIDDEN,se está de acordo com a imagem.
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Diferente, vai imagem em anexo.
- Anexos
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Tarde! luizvilarinho /!\
> Altere em "CheckedValue" para 00000002 e reinicie o computador!
> Informe!
Abs!
> Altere em "CheckedValue" para 00000002 e reinicie o computador!
> Informe!
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Boa Tarde! luizvilarinho /!\
> Execute este antivírus online: Eset
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Em "Computer scan settings",marque:
<*> Enable detection of potentially unwanted applications
> Em "Hide advanced settings",marque:
<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology
<4> Remove found threats
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Desejando,somente,o diagnóstico deixe desmarcada a caixa "Remove found threats".
> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Ou busque o relatório em C:\Program Files\ESET\EsetOnlineScanner\log.txt <<
> Clique "Back" >> "Finish".
> Poste o relatório!
> Desejando o Fix,podemos restaurar algumas remoções indo em: C:\Program Files\ESET\ESET Online Scanner\Quarantine <<
Abs!
> Execute este antivírus online: Eset
> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Em "Computer scan settings",marque:
<*> Enable detection of potentially unwanted applications
> Em "Hide advanced settings",marque:
<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology
<4> Remove found threats
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
> Desejando,somente,o diagnóstico deixe desmarcada a caixa "Remove found threats".
> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Ou busque o relatório em C:\Program Files\ESET\EsetOnlineScanner\log.txt <<
> Clique "Back" >> "Finish".
> Poste o relatório!
> Desejando o Fix,podemos restaurar algumas remoções indo em: C:\Program Files\ESET\ESET Online Scanner\Quarantine <<
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Segue relatório do ESET.
C:\FRST\Quarantine\C\Windows\KMS-QADhook.dll.xBAD Win32/HackKMS.AB potentially unsafe application
C:\FRST\Quarantine\C\Windows\KMS-R@1nhook.exe.xBAD a variant of Win32/HackKMS.AB potentially unsafe application
C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\atualizar.exe.VIR a variant of MSIL/Filecoder.Y trojan
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\Keygen.exe Win32/HackKMS.A potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\setup.exe a variant of Win32/Adware.CognosAds.C application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\smt_istartsurf.exe a variant of Win32/ELEX.EY potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
C:\FRST\Quarantine\C\Windows\KMS-QADhook.dll.xBAD Win32/HackKMS.AB potentially unsafe application
C:\FRST\Quarantine\C\Windows\KMS-R@1nhook.exe.xBAD a variant of Win32/HackKMS.AB potentially unsafe application
C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\atualizar.exe.VIR a variant of MSIL/Filecoder.Y trojan
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\Keygen.exe Win32/HackKMS.A potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\setup.exe a variant of Win32/Adware.CognosAds.C application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\smt_istartsurf.exe a variant of Win32/ELEX.EY potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Bom Dia! luizvilarinho /!\
> Abra o FormatFactory e clique no botão Opções.
> Desmarque: Verificar nova Versão
> Das detecções da Eset,vc pode manualmente deletar estes arquivos em destaque.
C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
C:\Program Files\FormatFactory\FFModules\Package\Ask << Esta pasta!
Informe!
Abs!
> Abra o FormatFactory e clique no botão Opções.
> Desmarque: Verificar nova Versão
> Das detecções da Eset,vc pode manualmente deletar estes arquivos em destaque.
C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
C:\Program Files\FormatFactory\FFModules\Package\Ask << Esta pasta!
Informe!
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Re: Suspeita de algo malicioso
Tudo feito.
luizvilarinho- Membro Pleno
- Mensagens : 855
Reputação : 4
Data de inscrição : 13/11/2013
Re: Suspeita de algo malicioso
/!\ Bom Dia! luizvilarinho /!\
> Informe a situação de sua máquina!
Abs!
> Informe a situação de sua máquina!
Abs!
joram- Administrador
- Mensagens : 4162
Reputação : 471
Data de inscrição : 26/01/2014
Localização : Rio de Janeiro
Página 1 de 2 • 1, 2
Página 1 de 2
Permissões neste sub-fórum
Não podes responder a tópicos
|
|