Estou com algum tipo de vírus que tem tentado invadir minhas contas

Tinashe · 4 de outubro de 2022

Então, já faz uma semana mais ou menos que recebi e-mail do google, facebook que estavam tentando entrar na minha conta e então corri para trocar minhas senhas e passei um antivírus, windows defender, malware bytes e tudo que eu conhecia, mas não sei se ainda estou livre disso pois hoje tentaram entrar na minha steam também.

Obs: eu não consegui usar o FRST, ele abre aqui mas fica dizendo que tem atualização e que foi atualizado, mas fica abrindo e fechando toda hora.

AdwCleaner[C00].txt

Lusitano · 6 de outubro de 2022

Em 04/10/2022 às 21:20, Tinashe disse:

Obs: eu não consegui usar o FRST, ele abre aqui mas fica dizendo que tem atualização e que foi atualizado, mas fica abrindo e fechando toda hora.

Tente novamente que esse problema já foi resolvido e retorne com os dois resultados (frst.txt e addition.txt)

Tinashe · 6 de outubro de 2022

1 hora atrás, Lusitano disse:

Tente novamente que esse problema já foi resolvido e retorne com os dois resultados (frst.txt e addition.txt)

aqui está

Addition.txt FRST.txt

Lusitano · 6 de outubro de 2022

@Tinashe Olá, nada de malware é mostrado nas análises.

Algumas considerações:

Citação

AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: McAfee VirusScan (Disabled - Up to date) {FE987762-0FB6-6BB6-1BF1-73F8ED8566FA}
FW: McAfee Firewall (Enabled) {C6A3F647-45D9-6AEE-30AE-DACD13562181}

Ambos os antivirus estão desabilitados. Basta um no seu pc. A escolha é sua, eu optaria por manter o Windows Defender e desinstalaria o McAfee.

Citação

µTorrent
Bonjour

Desses dois programas a minha recomendação é que seja muito cuidadoso na utilização do primeiro. Nada de mal com o programa em si, mas a grande maioria do que por lá circula está cheio de malwares. O segundo (bonjour) se é programa que você não utiliza, pode perfeitamente desinstalar.

Citação

Microsoft Defender Antivírus detectou malware ou outro software potencialmente indesejado.
Para obter mais informações, veja a seguir:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=1
Nome: HackTool:Win32/AutoKMS
Gravidade: Alto
Categoria: Ferramenta
Caminho: file:_C:\Users\Geova\Downloads\OFFICE2016FULL\OFFICE2016\ATIVADOR\Microsoft Toolkit (2.6B3)_W10_O16\Microsoft Toolkit (2.6B3)\Ativador\Microsoft Toolkit.exe

Provavelmente este será um exemplo do que atrás falei quanto ao programas que circulam em torrents. Honestamente, não vejo necessidade de recorrerem a programas pirateados, existem alternativas gratuitas que fazem basicamente o mesmo e se é para uso profissional, então o custo da licença desse software não é assim tão excessivo e é até gratuito para estudantes.

No mais, só algumas entradas órfãs e alguma otimização que podemos fazer:

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1645501421-473079460-2763751000-1001\...\Run: [utweb] => "C:\Users\Geova\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Nenhum Arquivo)
"C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" foi desbloqueado. <==== ATENÇÃO
FirewallRules: [{8C597E65-52EA-414E-BD96-2735A59CA3C2}] => (Allow) C:\Users\Geova\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo
FirewallRules: [{A76CE964-5BE0-426F-942C-CB931E7CD988}] => (Allow) C:\Users\Geova\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo
startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
Hosts:
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
EmptyEventLogs:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Tinashe · 6 de outubro de 2022

1 hora atrás, Lusitano disse:

@Tinashe Olá, nada de malware é mostrado nas análises.

Algumas considerações:

Ambos os antivirus estão desabilitados. Basta um no seu pc. A escolha é sua, eu optaria por manter o Windows Defender e desinstalaria o McAfee.

Desses dois programas a minha recomendação é que seja muito cuidadoso na utilização do primeiro. Nada de mal com o programa em si, mas a grande maioria do que por lá circula está cheio de malwares. O segundo (bonjour) se é programa que você não utiliza, pode perfeitamente desinstalar.

Provavelmente este será um exemplo do que atrás falei quanto ao programas que circulam em torrents. Honestamente, não vejo necessidade de recorrerem a programas pirateados, existem alternativas gratuitas que fazem basicamente o mesmo e se é para uso profissional, então o custo da licença desse software não é assim tão excessivo e é até gratuito para estudantes.

No mais, só algumas entradas órfãs e alguma otimização que podemos fazer:

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador

Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Clique em Corrigir.

Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Sobre os dois programas, desinstalei os dois pois não quero ter mais dor de cabeça com isso. Mas o torrent quando eu pesquiso no iniciar ainda aparece aqui, mas quando eu clico some, é normal? No painel de controle também aparece mas diz que não tenho permissão para desinstalar.

O office eu nem cheguei a instalar porque detectou vírus assim que fui tentar, mas não sei se chegou a infectar meu pc, tem uns meses já.

Depois que eu mudei as senhas eu não tive mais nenhuma tentativa de acesso. Apenas ontem que tentaram entrar na minha steam e na minha conta do ebay, mas dessas eu ainda não tinha trocado a senha, pode ser isso.

Fixlog.txt

Lusitano · 8 de outubro de 2022

@Tinashe

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop
Clique direito em esetonlinescanner_enu.exe e execute como administrador
Clique em Computer Scan
Clique em Full scan
Selecione Enable ESET to detect and quarantine potentially unwanted applications
Clique em Start scan
Quando terminar, salve o resultado no seu desktop como ESETScan.txt
Clique Continue e depois em Close
Anexe o arquivo ESETScan.txt

Rode também novamente a ferramenta FRST tal como no inicio do seu topico e anexe os arquivos (frst.txt e addition.txt), assim já vou conseguir checkar o que ainda resta desses programas para nós finalizarmos a remoção.

Tinashe · 11 de outubro de 2022

aqui está

Addition.txt ESETScan.txt FRST.txt

Lusitano · 12 de outubro de 2022

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

Driver Booster 8

2. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
2022-09-27 16:34 - 2021-04-01 12:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 8
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 8

CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv

CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
C:\ProgramData\Temp\*
C:\Program Files (x86)\Temp\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\*
C:\Users\AllUserName\AppData\LocalLow\Temp\*
C:\Users\AllUserName\Appdata\Local\Temp\*
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Tinashe · 12 de outubro de 2022

Até então não notei mais nada, mas também não conectei mais nenhuma conta no pc

Fixlog.txt

Lusitano · 13 de outubro de 2022

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Lusitano · 17 de outubro de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.