Por favor, seja paciente. O Dr. M virá em breve. Ele está em um fuso horário europeu.

 

Olá e bem-vindo de volta!

Vamos lembrar algumas diretrizes básicas neste fórum:

1. Pergunte sempre antes de agir. Não continue se não tiver certeza ou se algo inesperado acontecer!

2. Não execute nenhuma ferramenta, a menos que seja instruído a fazê-lo. Além disso, não desinstale ou instale nenhum software durante o procedimento, a menos que eu peça que você o faça.

3. Programas crackeados ou pirateados não são apenas ilegais, mas também podem tornar seu computador um alvo de malware. Ter esses programas instalados é a maneira mais fácil de ser infectado. Portanto, não há necessidade de limpar o computador, pois, mais cedo ou mais tarde, ele será infectado novamente. Se você tiver esses programas, desinstale-os agora, antes de iniciarmos o procedimento de limpeza.

4. Se o seu computador parecer estar funcionando normalmente, não abandone o tópico. Mesmo que seu sistema esteja se comportando normalmente, ainda pode haver alguns restos de malware. Além disso, malware pode reinfetar o computador se alguns restos forem deixados. Portanto, conclua todas as etapas solicitadas para garantir que qualquer malware seja removido com sucesso do seu PC.

5. Você deve responder às minhas postagens dentro de 3 dias. Se precisar de algum tempo adicional, avise-me. Caso contrário, deixarei o tópico por falta de feedback. Se você puder, peço que verifique este tópico pelo menos uma vez por dia para que possamos resolver seus problemas de forma eficaz e eficiente.

6. Os logs de programas de diagnóstico ou remoção de malware podem levar algum tempo para serem analisados. Além disso, tenha em mente que todos os especialistas aqui são voluntários e podem não estar disponíveis para ajudar quando você postar. Por favor, seja paciente, enquanto analiso seus logs.

============================

Baixe Farbar Recovery Scan Tool e salve-o em sua área de trabalho. --> IMPORTANTE

Observação: Você precisa executar a versão compatível com seu sistema. Se você não tiver certeza de qual versão se aplica ao seu sistema, baixe as duas e tente executá-las. Apenas um deles será executado em seu sistema, essa será a versão correta.

Se o seu software antivírus detectar a ferramenta como maliciosa, é seguro permitir que o FRST seja executado. É uma detecção falso-positiva.

Se o inglês não for seu idioma principal, clique com o botão direito do mouse em FRST.exe/FRST64.exe e renomeie para FRSTEnglish.exe/FRST64English.exe

• 
  Clique duas vezes no ícone FRST para executar a ferramenta. Quando a ferramenta abrir, clique em Sim para a isenção de responsabilidade.
• 
  Pressione o botão Scan e espere um pouco.
• 
  O scanner produzirá dois logs em sua área de trabalho: FRST.txt e Addition.txt.
• 
  Anexe o conteúdo desses dois logs em sua próxima resposta.

 

Devido à falta de feedback, o tópico foi marcado como Inativo.

Se ainda precisar de ajuda, você pode postar aqui novamente, ou, se o tópico estiver fechado, envie-me uma mensagem pessoal (passe o mouse sobre o avatar do meu perfil e clique em Iniciar uma conversa) com um link para o tópico.

Se você não tiver tempo para se dedicar a um processo que requer tempo, abra um novo tópico quando puder seguir as instruções e verificar uma resposta pelo menos uma vez por dia.

 

Devido à falta de feedback, o tópico foi marcado como Inativo.

Se você ainda precisar de ajuda, pode postar aqui novamente, ou, se o thread estiver fechado, envie-me uma mensagem pessoal (passe o mouse sobre o avatar do seu perfil e pressione Iniciar uma conversa) com um link para o tópico.

Se você não tiver tempo para se dedicar a um processo que exige tempo, abra um novo tópico quando puder seguir as instruções e verificar uma resposta pelo menos uma vez por dia.

Sinto muito por não ter respondido até agora. O último e-mail que recebi dizendo que tinha uma mensagem foi o de Gr3iz dizendo "Por favor, seja paciente", então esperei por outro e-mail, mas nunca recebi um. Farei um esforço para voltar aqui todos os dias para ver se há alguma atualização neste tópico.

Quanto às instruções que você postou, aqui estão os dois arquivos que você solicitou.

 

Olá!

Algumas perguntas primeiro:

1. O problema que você descreveu acontece apenas quando você está usando o Chrome?

2. Você está ciente dessas modificações de tipos de arquivo?

HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\regfile: <==== ATENÇÃO
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\.reg: => <==== ATENÇÃO
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\.bat: => <==== ATENÇÃO
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\.cmd: => <==== ATENÇÃO


3. E quanto ao seguinte? Alguma ideia sobre o que os criou em 29 de agosto?

2025-08-29 21:09 - 2025-08-29 21:09 - 000001681 _ C:\WINDOWS\system32\DeviceFeatureDDF.json
2025-08-29 21:08 - 2025-08-29 21:08 - 000077233 _ C:\WINDOWS\SysWOW64\ctac.json
2025-08-29 21:08 - 2025-08-29 21:08 - 000077233 _ C:\WINDOWS\system32\ctac.json

Também sobre isso no Firefox:

FF user.js: detectado! => C:\Users\freak\AppData\Roaming\Mozilla\Firefox\Profiles\1yw9ux39.default-release-1705560560885\user.js

 

Também isto no Firefox:

FF user.js: detetado! => C:\Users\freak\AppData\Roaming\Mozilla\Firefox\Profiles\1yw9ux39.default-release-1705560560885\user.js

E novamente, nenhuma ideia. Sou muito bom com computadores, mas quando se trata das coisas que realmente acontecem nos bastidores, tenho medo de ser extremamente deficiente.

 

Lembrei-me que deveria incluir uma captura de tela do que estou vendo quando isso acontece.

 

Entendo, e obrigado pela captura de tela. Ajudou muito.

O que o Malwarebytes Guard está bloqueando é um elemento de publicidade ou rastreamento que carrega em segundo plano quando você visita um site como target.com. Não é um sequestrador e não significa que seu computador esteja infectado. O Malwarebytes está apenas impedindo rastreamento extra, não bloqueando os sites que você deseja visitar.

Sobre o Honey: Mesmo que você desinstale o Honey, às vezes o navegador mantém o cookie ou a configuração de rastreamento por um tempo, então você ainda pode ver o bloqueio até que ele seja limpo.

Para confirmar:

• Desinstale o Honey do Chrome.
• Limpe os cookies e o cache do Chrome (para todos os sites): Limpar cache e cookies - Computador - Ajuda da Conta do Google
• Feche o navegador.
• Reinicie o navegador e verifique se há o mesmo comportamento.
• Faça isso também para o Firefox (Limpar cookies e dados de sites no Firefox | Ajuda do Firefox)

Informe-me sobre o resultado.

Depois disso, gostaria de fazer alguma manutenção, com base em seus logs e suas respostas na postagem anterior.

 

Entendo, e obrigado pela captura de tela. Ajudou muito.

O que o Malwarebytes Guard está bloqueando é um elemento de publicidade ou rastreamento que carrega em segundo plano quando você visita um site como o target.com. Não é um sequestrador e não significa que seu computador esteja infectado. O Malwarebytes está apenas impedindo rastreamento extra, não bloqueando os sites que você deseja visitar.

Sobre o Honey: Mesmo que você desinstale o Honey, às vezes o navegador mantém o cookie de rastreamento ou a configuração por um tempo, então você ainda pode ver o bloqueio até que ele seja limpo.

Para confirmar:

• Desinstale o Honey do Chrome.
• Limpe os cookies e o cache do Chrome (para todos os sites): Limpar cache e cookies - Ajuda da Conta do Google
• Feche o navegador.
• Reinicie o navegador e verifique se há o mesmo comportamento.
• Faça isso também para o Firefox (Limpar cookies e dados de sites no Firefox | Ajuda do Firefox)

Informe-me sobre o resultado.

Depois disso, gostaria de fazer alguma manutenção, com base em seus logs e suas respostas na postagem anterior.

Fiz o que foi instruído aqui - desinstalei o Honey, limpei os cookies e o cache (usei o CCleaner, espero que esteja tudo bem), fechei tudo, reiniciei ambos os navegadores e tentei novamente. Aconteceu novamente nas duas vezes.

Eu ia para o Target.com e então ativava o botão Retailmenot e no Chrome me levava para a próxima página que parecia com o que eu tirei uma captura de tela, no Firefox a tela ficava preta.

 

Obviamente, você está usando extensões que causam isso.

Apenas como exemplo:

Do site Retailmenot:

A Extensão do Navegador RetailMeNot é uma ferramenta de economia tudo-em-um que faz o trabalho por você! Nossa extensão encontrará, verificará e acumulará automaticamente todos os códigos elegíveis e ofertas de cashback toda vez que você comprar.

Do site Honey:

Honey é uma extensão de navegador gratuita que procura as melhores ofertas na internet. Com um clique, Honey procura e testa automaticamente os códigos de cupom disponíveis no checkout em mais de 30.000 sites populares. Se encontrarmos um código funcional, aplicamos aquele com a maior economia ao seu carrinho como mágica. Pronto! Honey pode até procurar preços melhores na Amazon. Quem diria? Bem, nós sabíamos. E agora você também. Graças ao PayPal Rewards, você pode ganhar pontos apenas por comprar em sites participantes (mesmo que não haja um código de cupom disponível). Estamos sempre adicionando novas lojas e recursos, então fique atento.

Essas extensões estão fazendo seu trabalho. Elas estão tentando encontrar ofertas para você quando você visita sites como target.com. Por outro lado, o Malwarebytes Guard também está fazendo seu trabalho. Ele está tentando protegê-lo do rastreamento.

Portanto, você pode continuar com todas essas extensões e o Malwarebytes Guard o alertará sobre o rastreamento, ou não.

Você não está lidando com nenhum sequestrador de navegador e o sistema não está infectado.

Alguma manutenção, com base em seus logs:

Correção FRST

AVISO: Este script foi escrito especificamente para este usuário. Executá-lo em outra máquina pode causar danos ao seu sistema operacional

• Selecione todo o conteúdo da caixa de código abaixo, da linha "Start::" até a linha "End::", incluindo ambas as linhas. Clique com o botão direito e selecione "Copiar". Não é necessário colar nada em lugar nenhum.

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\regfile:  <==== ATENÇÃO
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\.reg:  =>  <==== ATENÇÃO
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\.bat:  =>  <==== ATENÇÃO
HKU\S-1-5-21-1038044969-2469100977-3693861409-1001\Software\Classes\.cmd:  =>  <==== ATENÇÃO
FF user.js: detectado! => C:\Users\freak\AppData\Roaming\Mozilla\Firefox\Profiles\1yw9ux39.default-release-1705560560885\user.js [2025-02-27]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum arquivo
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATENÇÃO
Task: {071BCE2E-A97B-4DE9-8164-BCBD6C768764} - System32\Tasks\Meta\Messenger-WSP-Helper-S-1-5-21-1038044969-2469100977-3693861409-1001 => MessengerHelper.exe  --lassie (Nenhum arquivo)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Nenhum arquivo)
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: SFC /scannow
EmptyTemp:
End::

• Clique com o botão direito em FRST64 na sua área de trabalho, para executá-lo como administrador. Quando a ferramenta abrir, clique em "sim" no aviso legal.
• Pressione o botão Fix uma vez.
• O FRST processará o fixlist.txt
• Quando terminar, ele produzirá um log fixlog.txt na sua área de trabalho.
• Poste o log em sua próxima resposta.

 

Eu sabia que era uma extensão, mas pensei que qualquer que fosse a extensão, eu já a tinha eliminado porque parou por um bom tempo e depois recomeçou do nada. A razão pela qual pensei que poderia ter sido maliciosa foi porque eu tinha pesquisado ojrq.net quando aconteceu pela primeira vez, e algumas coisas me levaram a acreditar que poderia ter sido.

Quanto ao FRST, fiz o que você disse e anexei o Fixlog.

Se não se importa de perguntar, quais foram essas coisas sobre as quais você me perguntou? Além disso, quanto ao que está acontecendo com o Malwarebytes, você acha que seria bom se eu clicasse no botão que diz "Não bloquear este site novamente" e depois prosseguisse?

 

Além disso, quanto ao que está acontecendo com o Malwarebytes, você acha que seria ok se eu clicasse no botão que diz "Não bloquear este site novamente" e depois prosseguisse?

Sim, mas não se esqueça que é um site de rastreamento. Também encontrei este tópico antigo no Fórum Malwarebytes, que explica tudo sobre o bloqueio específico pelo Malwarebytes Guard: https://forums.malwarebytes.com/top...m/topic/267710-website-blocked-for-riskware-wwwojrqnet/#elControls_1426322_menu

Se não se importar que eu pergunte, quais foram aquelas coisas sobre as quais você me perguntou?

Você quer dizer aqui, eu acho. Basicamente, removemos algumas alterações relacionadas a tipos de arquivos e preferências do Firefox.

Se não houver mais perguntas/problemas/preocupações...

A ferramenta a seguir removerá as ferramentas que usamos e também redefinirá os pontos de restauração do sistema:

Baixe KpRm por kernel-panik e salve-o em sua área de trabalho.

• Clique com o botão direito em kprm_(version).exe e selecione Executar como Administrador.
• Leia e aceite o aviso legal.
• Quando a ferramenta abrir, certifique-se de que todas as caixas em Ações estejam marcadas.
• Em Excluir Quarentenas, selecione Excluir Agora e, em seguida, clique em Executar.
• Assim que terminar, clique em OK.
• Um log será aberto no Bloco de Notas com o título kprm-(data).txt.
• Por favor, copie e cole o conteúdo em sua próxima resposta.

Nota: Se houver um aviso sobre esta ferramenta, prossiga com o download, pois é um falso positivo. Escolha Mais informações e continue a partir daí.

 

Obrigado por responder às minhas perguntas. Tentei baixar KpRm, mas o Chrome continua bloqueando-o, dizendo que é perigoso.

 

Sim, é um falso positivo, como observei acima. Escolha mantê-lo/executá-lo de qualquer maneira. Se quiser, me dê uma captura de tela para ver o que você vê e guiá-lo.

 

Por alguma razão não consegui baixar, mas agora consegui. Não sei.

Mas aqui está o log:

# Executado em 9/9/2025 20:26:39
# KpRm (Kernel-panik) versão 2.20.0
# Website https://kernel-panik.me/tool/kprm/
# Executado por freak de C:\Users\freak\OneDrive\Desktop
# Nome do Computador: PETER_PARKER
# SO: Windows 11 X64 (26100) (10.0.26100.5074)
# Número de passes: 2

- Opções verificadas -

~ Backup do Registro
~ Excluir Ferramentas
~ Restaurar Configurações do Sistema
~ Restauração UAC
~ Excluir Pontos de Restauração
~ Criar Ponto de Restauração
~ Excluir Quarentenas

- Criar Backup do Registro -

~ [OK] Hive C:\WINDOWS\System32\config\SOFTWARE foi feito backup
~ [OK] Hive C:\Users\freak\NTUSER.dat foi feito backup

[OK] Backup do Registro: C:\KPRM\backup\2025-09-09-20-26-39

- Excluir Ferramentas -


## AdwCleaner
[OK] C:\AdwCleaner excluído

## FRST
[OK] C:\Users\freak\OneDrive\Desktop\Addition.txt excluído
[OK] C:\Users\freak\OneDrive\Desktop\Fixlog.txt excluído
[OK] C:\Users\freak\OneDrive\Desktop\FRST.txt excluído
[OK] C:\Users\freak\OneDrive\Desktop\FRST64.exe excluído
[OK] C:\FRST excluído

- Restaurar Configurações do Sistema -

[OK] Redefinir WinSock
[OK] FLUSHDNS
[OK] Ocultar arquivos ocultos.
[OK] Mostrar extensões para tipos de arquivos conhecidos
[OK] Ocultar arquivos protegidos do sistema operacional

- Restaurar UAC -

[OK] Definir EnableLUA com o valor padrão (1)
[OK] Definir ConsentPromptBehaviorAdmin com o valor padrão (5)
[OK] Definir ConsentPromptBehaviorUser com o valor padrão (3)
[OK] Definir EnableInstallerDetection com o valor padrão (0)
[OK] Definir EnableSecureUIAPaths com o valor padrão (1)
[OK] Definir EnableUIADesktopToggle com o valor padrão (0)
[OK] Definir EnableVirtualization com o valor padrão (1)
[OK] Definir FilterAdministratorToken com o valor padrão (0)
[OK] Definir PromptOnSecureDesktop com o valor padrão (1)
[OK] Definir ValidateAdminCodeSignatures com o valor padrão (0)

- Limpar Pontos de Restauração -

~ [OK] RP nomeado Windows Modules Installer criado em 30/08/2025 01:01:36 excluído
~ [OK] RP nomeado Windows Update criado em 02/09/2025 01:25:18 excluído
~ [OK] RP nomeado Windows Update criado em 02/09/2025 01:25:19 excluído
~ [OK] RP nomeado Windows Update criado em 05/09/2025 01:47:38 excluído
~ [OK] RP nomeado Windows Update criado em 05/09/2025 01:47:41 excluído
~ [OK] RP nomeado Windows Update criado em 05/09/2025 01:47:42 excluído
~ [OK] RP nomeado Ponto de Restauração Criado por FRST criado em 07/09/2025 23:06:58 excluído
[OK] Todos os pontos de restauração do sistema foram excluídos com sucesso

- Criar Ponto de Restauração -

[OK] Ponto de Restauração do Sistema criado

- Exibir Ponto de Restauração do Sistema -

~ RP nomeado KpRm criado em 10/09/2025 00:26:49

-- KPRM finalizado em 18,81s --

 

Tudo parece bem!
Fico feliz por ter podido ajudá-lo(a).
Cuide-se!

 

Obrigado, eu agradeço

 

De nada.