Rootkits são mesmo sobras de vários softwares

Boa Tarde! Agente da C&A

|- A OTL reiniciou? Houve reboot?
|- Ps: Executou a OTL em Modo de Segurança?

A+

Houve  sim ; porém agora  vou executar no modo seguro .


Abraços

Agente da C&A escreveu:Houve  sim ; porém agora  vou executar no modo seguro .


Abraços

Ok! Faça isso!

A+

Log  quase  diferente ; pois   delete failed   :



All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro\Configurations\ not found.
Registry key HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro\Data\ not found.
Registry key HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro\Options\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations\ not found.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data\ not found.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options\ not found.
Registry key HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam\CIS\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CertSentry not found.
Registry delete failed. HKEY_LOCAL_MACHINE\software\COMODO\CIS\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: EDSON
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11531288 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 9199231 bytes
->Flash cache emptied: 602 bytes
 
User: Public
 
User: Todos os Usuários
 
User: Usuário Padrão
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1671 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 20,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 08032014_145355

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\software\COMODO\CIS\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\ scheduled to be deleted on reboot.

Isto é pior que malwares !  Se não for mesmo  rootkit .  Repito !  Por que uma empresa de segurança desenvolveria umas  chaves destas; bloqueadas de seus produtos; no  regedit   (  sobras )  ?



Abraços

Boa Tarde! Agente da C&A

|- Indo ao Registro e nas Configurações de Segurança Avançadas de Comodo,selecione SISTEMA que deverá ter a indicação de Acesso: "Controle total"
|- Clique Exibir >> Clique "Mostrar permissões avançadas"
|- Dê um Print e poste aqui,onde a permissão "Excluir",deverá estar assinalada para Comodo e afins.
|- Ps: Caso não esteja assinalada,será impossível excluir as entradas da Comodo. Essa seria,portanto,a ACL que o software implementou ao registro do Windows.

Agente da C&A escreveu:Isto é pior que malwares !  Se não for mesmo  rootkit .  Repito !  Por que uma empresa de segurança desenvolveria umas  chaves destas; bloqueadas de seus produtos; no  regedit   (  sobras )  ?

|- Não é rootkit e essa proteção seria justificável,para impedir que malwares bloqueiem a atuação do software da Comodo. 
Ou seja: Antivírus e/ou Firewall

Maiores informações: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

A+

Boa noite !  joram


De chave para chaves estão diferentes  (   as da comodo ) ref. as permissões; porém algumas no editor  todo  constão  ( uma da comodo ) controle geral :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

No rodapé dos prints constão as chaves indeletáveis !


Abraços

Boa Noite! Agente da C&A

|- As Configurações de Segurança Avançadas de CIS,em SISTEMA,estão com a Permissão de "Controle de leitura".
Edite para "Controle total".
|- Ao clicar em "Gerenciando entradas de permissão",verifique e informe a situação.
|- Se o pai deste objeto tiver permissões para controle total e Exclusão,então poderás marcar a caixa: Incluir permissões herdáveis provenientes do pai deste objeto
|- Aplicar >> OK.

Abs!

Boa  noite !


Mesmo  nestas  configurações abaixo .  Nega a exclusão :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Abraços

Boa Noite! Agente da C&A

|- Reiniciou o computador?
|- Marque: Aplicar estas permissões apenas a objetos e/ou contêineres dentro deste contêiner.
|- Reinicie o computador e verifique se já pode deletar a subchave,de modo manual.

A+

A toda  execução ; reinicio a máquina .   Ao  marcar :

Aplicar estas permissões apenas a objetos e/ou contêineres dentro deste contêiner :




[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]





Exclusão negada .




Podemos descansar,  pesquisar mais um pouco e achar uma solução à longo prazo .   Qualquer novidade positiva; postarei aqui .




Abraços

Agente da C&A escreveu:A toda  execução ; reinicio a máquina .   Ao  marcar :

Aplicar estas permissões apenas a objetos e/ou contêineres dentro deste contêiner :




[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]





Exclusão negada .




Podemos descansar,  pesquisar mais um pouco e achar uma solução à longo prazo .   Qualquer novidade positiva; postarei aqui .




Abraços

Ok! Farei o mesmo,pois segunda feira é dia de trampo...são 12 horas de trampo. rsr...

Abs!

Outro limpador de registro bom que eu achei  foi este  aqui :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 

Nunca  testei tanto  otimizadores de registro do  windows . rsrsrsrs .


Abraços e tenha um bom fim de noite

Boa Noite! Agente da C&A

|- Acredito que nenhum Otimizador de Registro,irá resolver esse problema. Creio que a solução deverá vir da própria Comodo,que estabeleceu a ACL de proteção ao Registro.

... Editando!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Segundo este vídeo,tente realizar esta redefinição que foi alterada acidentalmente ou pela Comodo.
|- Configure o Windows a mostrar pastas ocultas.

Código:

"secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose"

|- Digite no Prompt de Comando,sem colocar as aspas e,ao concluir,aperte Enter.
|- Verifique se permanecem as entradas protegidas da Comodo,ou se podem ser removidas.

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Similar ao anterior,mas sem a remoção do Registry.pol que deverá ser realizada.

Abs!

Boa tarde !


Tarefa concluída com erro .       https://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot08-10-14at0117PM001.png.html?sort=3&o=0




Abraços

Boa Tarde! Agente da C&A

|- Vc consegue abrir o log,indo pelo caminho sugerido? Poste-o aqui,caso possa acessá-lo.

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- No link àcima,os erros podem ter causas variadas.
|- Leia: Causas dos erros do Scesrv.log
|- A correção do erro passa por algumas etapas! ( São 9 Etapas! )
|- Mas...existe uma ferramenta disponibilizada,dada na página,que promete corrigir esse erro.

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
 
|- Acredito que seja uma operação que possui ônus e,caso queira,tente realizá-la.

A+

Boa  tarde !


Não  consigo localizar a pasta que está o log.  Mas  tenho novidades  aqui .  Indo em logs de eventos do win e em logs de aplicativos;  visualizador de eventos :

Da  comodo ( CIS  )  tem  %SystemRoot%\System32\Winevt\Logs\COMODO Internet Security.evtx ; pertencente à uma das chaves .  Este  caminho de log é de 20/05/2014 .  Neste log pode conter a ACL da comodo .



[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]






Enquanto ao programa trhuste windows; não abre  .




Abraços

Boa Tarde! Agente da C&A

|- Desinstale o Comodo Dragon.
|- Posteriormente lhe indicarei um bom substituto para ele.

 < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > 

|- Clique em aqui,para o download.
|- Baixe e descompacte este utilitário.
|- Descompacte-o ao disco local.
|- Feche todos os programas e desabilite seu antivírus.
|- Execute o arquivo que foi descompactado,em Modo Normal.
|- Ao concluir,faça em Modo de Segurança.
|- Informe se houve alguma alteração!

Abs!

Boa noite !


Ao rodar este removedor em conjunto dos produtos da comodo; em  tela DOS constou que não foi encontrado caminhos ou chaves no registro .

Ao desinstalar o navegador dragon; as chaves também ainda se mantiveram bloqueadas .


Abraços

Boa Noite! Agente da C&A

|- Tentou executar a ferramenta WinThruster.exe em Modo de Segurança,dada em Post anterior?

A+

Bom dia ! 


Sim; em modo seguro também .


Abraços

Agente da C&A escreveu:Bom dia ! 


Sim; em modo seguro também .


Abraços

Bom Dia! Agente da C&A

|- Seu Registro está corrompido! Façamos uma verificação de alguma inconsistência com ZHPDiag.

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Pierre13 )
|- Salve-o no desktop!
|- Para Windows Vista e 7,execute "SFTGC.exe" como administrador!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Execute-o e clique "Go".
|- Aguarde seu término,que é rápido.
|- Poste o relatório! ( SFT.txt )
|- Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

|- Acesse,para essa tarefa! < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >  < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] > ( ... de Nicolas Coolman )
|- Salve-o no disco local! ( C ou D )
|- Desabilite seu antivírus e execute "ZHPDiag2.exe",para instalar a ferramenta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Execute o ícone do pergaminho. ( ZHPDiag )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Clique "COMPLETA" e aguarde a conclusão!
|- Clique OK e,ao concluir,poste o relatório! ( ZHPDiag.txt ) 
|- Ps: Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

|- Ou acesse: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > 

|- Maiores informações: < |[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]| >

A+

Boa tarde !

Neste log consta arquivos da comodo em  erros :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



Abraços

Boa Tarde! Agente da C&A

C:\>secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

|- Repita este comando,mas diretamente na unidade (C)
|- Quando o Prompt abrir,digite cd \ ( Vc digitará cd >> espaço+barra invertida  >> Aperte Enter! )

-/-

|- Execute este script na ferramenta ZHPFix.
|- Copie estas informações que estão em vermelho,para o Bloco de Notas.
|- Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c
|- À seguir,minimize o Bloco de Notas.

script zhpfix
SR - | Auto 21/05/2014 2135232 |  (DragonUpdater) . (...) - C:\Program Files\Comodo\Dragon\dragon_updater.exe     
O43 - CFD: 31/07/2014 - 19:44:55 - [] ----D C:\Program Files\Comodo 
O44 - LFC:[MD5.156937D7816484CD17378460F285E695] - 01/08/2014 - 22:49:11 ---A- . (...) -- C:\Windows\DPINST.LOG   [1546]
O68 - StartMenuInternet: <Dragon> <Dragon>[HKLM\..\Shell\open\Command] (.Comodo - Comodo Dragon.) -- C:\Program Files\Comodo\Dragon\dragon.exe 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified 
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo \Firewall Pro]
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo]    
[HKCU\Software\AppDataLow\COMODO] 
[HKLM\Software\COMODO] 
emptytemp

|- Abra a ferramenta ZHPFix. < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >
|- Clique IMPORTAÇÃO >> OK.
|- Clique "GO".
|- Poste o relatório!

A+

Bom dia !


Eis o log :

Rapport de ZHPFix 2014.4.13.3 par Nicolas Coolman, Update du 13/04/2014
Fichier d'export Registre : 
Run by EDSON at 13/08/2014 11:05:37
High Elevated Privileges : OK
Windows 7 Home Basic Edition, 32-bit Service Pack 1 (Build 7601)

Reciclagem vazia (00mn 01s)

========== Chaves do Registo ==========
ELIMINÉ:³ HKLM\SYSTEM\Software\Comodo
ELIMINÉ: HKCU\Software\AppDataLow\COMODO
ELIMINÉ:³ HKLM\Software\COMODO

========== Elementos dos dados do Registo ==========
SUBSTITUI Value EnableLUA :   Good (1) - Bad (0)

========== Pastas ==========
ELIMINÉ Temporários windows (

========== Ficheiros ==========
ELIMINÉ: c:\windows\dpinst.log
ELIMINÉ Temporários windows (1) (0 octets)


========== Recapitulativo ==========
3 : Chaves do Registo
1 : Elementos dos dados do Registo
1 : Pastas
2 : Ficheiros


End of clean in 00mn 07s

========== Caminho do ficheiro do relatório ==========
C:\Users\EDSON\AppData\Roaming\ZHP\ZHPFix[R1].txt - 13/08/2014 11:05:40 [922]

Enquanto ao comando  deu sintaxe errada .


Abraços

Boa Tarde! Agente da C&A

Enquanto ao comando  deu sintaxe errada

|- Se houver erro na digitação,ocorre essa mensagem. Procure copiar e colar o comando no Prompt.

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Se configurar as Permissões Avançadas,para alguma chave da Comodo que esteja bloqueada,segundo este Tutorial. Vc deletará a(s) entrada(s),onde o único impedimento seria a corrupção do Registro.
|- Ps: As informações estão em Inglês e não pude traduzí-las para você.

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Raktor )
|- Salve-o no desktop!
|- Inicie a ferramenta,com duplo clique em  exeHelper.com.
|- Para Windows Vista;XP ou 7,execute ExeHelper.com,como administrador!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Ps: Seu "modus operandi" irá resetar políticas administrativas incorretas,e/ou associação de arquivos. ( .exe;.com )
|- Surgirá uma tela preta e,à seguir,o relatório. ( exehelperlog.txt )
|- Ps: Caso ocorra alguma mensagem de erro: "Error deleting file"
|- Reinicie o computador e execute,novamente,o scan e poste,também,o novo relatório que será gerado.

Abs!