Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
MrBrigside

Vírus imortal

Recommended Posts

MrBrigside    0

esses dias acabei baixando um arquivo camuflado, era uma atualização de um jogo, o arquivo estava perfeito com o nome e tamanho de uma atualização normal, fui instalar, percebi que era vírus e acabei cancelando a instalação, mas já era tarde.

abri o gerenciador de tarefas do Windowsarrow-10x10.png e vi um monte de processos suspeitos rodando :/ fui tentando apagar os processos mas era impossível 

ai usei o MalwareBytes e fiz uma analise do que tinha acontecido, ele acho muitos vírus e os colocou em quarentena, achei que tinha acabado :/

quando fui abrir o googlearrow-10x10.png chrome ele começou a travar, aparecer anúncios e as paginas estavam sendo redirecionadas

foi ai que comecei a baixar outros antivírus para ver se resolvia o problema...

O 1° foi o Reimagen que tinha encontrado apenas 3 ameças, acabei excluindo ele por que era pago...

depois disso o google começou a redirecionar para paginas de antivirus, um desse antivírusarrow-10x10.png era o Reimagearrow-10x10.png (vírus fazendo propaganda de antivírusarrow-10x10.png)

percebi que fiz mais m***a ainda...

2° antivírus foi o Spyhunter  que era muito bom, mas era pago também, ele encontrou certa de 30 ameaças, a maioria eram adware helpers e um outro tinha a ver com bitcoins.

Como o antivírus era pago não pude usar ele, mas o próprio antivirus dava a a opção de ir diretamente para a pasta do virus com o regedit, segui os arquivos ate a fonte para tentar apagá-los manualmente, mas algumas pastas não tinham arquivos nenhum, não sabia se os vírus estavam ocultos em suas pastas, e então decidi exclui as pastas dos arquivos mesmo assim (tudo pelo Regedit), com isso fui verificar no antivírus para ver se aparecia algo suspeito novamente e o Spyhunte não alertou nada, com isso achei que tinha acabado :/

A é não tenho certeza se foi apagada apenas a pasta ou o vírus foi apagado junto, mesmo não aparecendo nada no antivírus 

mesmo assim continuo a travar o googlearrow-10x10.png, anuncios e paginas de redirecionamento 

3° foi o HitmanPro, que encontrou 

 

 

Malware _____________________________________________________________________

   C:\Program Files (x86)\Orbitdownloader\orbitnet.exe
      Size . . . . . . . : 557.056 bytes
      Age  . . . . . . . : 352.6 days (2016-07-13 00:07:41)
      Entropy  . . . . . : 6.4
      SHA-256  . . . . . : 521B82BB6B3B436952B04D653ACB41F968627A71F7E2745110A526F5CAD70152
      Product  . . . . . : P2P service of Orbit Downloaderarrow-10x10.png
      Publisher  . . . . : Orbitdownloader.com
      Description  . . . : P2P service of Orbit Downloader
      Version  . . . . . : 2.6.0.4
      Copyright  . . . . : Copyright 2006 - 2009 Oribtdownloader.com
      LanguageID . . . . : 1033
    > Kaspersky  . . . . : not-a-virus:NetTool.Win32.GushUnleashed.a
      Fuzzy  . . . . . . : 94.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files (x86)\Orbitdownloader\orbitnet.exe
      References
         HKU\S-1-5-21-3247626554-1284079673-1629552109-1000\Software\Classes Localarrow-10x10.png Settings\Software\Microsoft Windowsarrow-10x10.png\Shell\MuiCache\C:\program files (x86)\orbitdownloader\orbitnet.exe


Potential Unwanted Programs _________________________________________________

   C: Windowsarrow-10x10.png Reimagearrow-10x10.png.ini (ReimageRepair)
   HKLM\SOFTWARE\Classes\AppID\REI_AxControl.DLL\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\REI_AxControl.ReiEngine.1\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\REI_AxControl.ReiEngine\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\REI_AxControl.DLL\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Wow6432Node\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Wow6432Node\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}\ (ReimageRepair)
   HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}\ (ReimageRepair)
   HKLM\SOFTWARE Reimagearrow-10x10.png\ (ReimageRepair)
   HKU\S-1-5-21-3247626554-1284079673-1629552109-1000\Software\Local AppWizard-Generated Applications Reimagearrow-10x10.png - Windows Problem Relief.\ (ReimageRepair)
   HKU\S-1-5-21-3247626554-1284079673-1629552109-1000\Software\Microsoft Windowsarrow-10x10.png\CurrentVersion\Ext\Settings\{10ECCE17-29B5-4880-A8F5-EAD298611484}\ (ReimageRepair)
   HKU\S-1-5-21-3247626554-1284079673-1629552109-1000\Software Reimagearrow-10x10.png\ (ReimageRepair)

Cookies _____________________________________________________________________

   C:\Users\Seven\AppData Localarrow-10x10.png\Google\Chrome\User Data\Default\Cookies:adaptv.advertising.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:addthis.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:adnxs.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.stickyadstv.com.................
   C:\Users\Seven\AppData\Roaming\Microsoft\Windows\Cookies\QFLQIA8Z.txt
   C:\Users\Seven\AppData\Roaming\Microsoft\Windows\Cookies\SQC9HJTT.txt
   C:\Users\Seven\AppData\Roaming\Microsoft\Windows\Cookies\SUWBDQ8Y.txt
   C:\Users\Seven\AppData\Roaming\Microsoft Windowsarrow-10x10.png\Cookies\SYLCT5KJ.txt...................
........... apaguei algumas partes para nao ficar muito grande o post

 

mas ainda assim continuou com o google travando...

e vi que estava sendo redirecionado para as mesmas paginas que o antivírus rastreou 

4° antivirus foi o Kaspersky que ajudou um pouco, mas nada útil de verdade 

 

A é acho que entre o 2 ° e o 3° antivírusarrow-10x10.png eu tentei apagar os virus pelo CMD

usando os comandos

"dir/ah"

del/q/f/a/s  ".bat" ".pif" ".msi"  "exe" ".bin"

que também não adiantou... 

 

O QUE EU FAÇO ? quer dizer o google continua a travar e redirecionar paginas, quando uso o HitmanPro ele sempre acha a mesma coisa, como se o vírus recriasse os arquivos,

esses aqui:

Cookies _____________________________________________________________________

   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:adnxs.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:adtechus.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:crwdcntrl.net
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:googleadservices.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:imrworldwide.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:openx.net
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:scorecardresearch.com
   C:\Users\Seven\AppData\Local\Google\Chrome\User Data\Default\Cookies:tribalfusion.com

 

e também não sei se há só esse vírus no PC

Editado por MrBrigside

Compartilhar este post


Link para o post
Compartilhar em outros sites

@MrBrigside

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Siga os passos abaixo:

ETAPA 1

Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
https://downloads.malwarebytes.org/file/mbam_current/
 
Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

  • Na aba Análise marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho;
  • Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.



NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

Clique em EXAMINAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

Selecione, copie e cole o seu conteúdo na próxima resposta.

ETAPA 3

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe jrt.exe do link abaixo e salve no desktop.
http://www.bleepingcomputer.com/download/junkware-removal-tool/

Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo jrt.exe, depois clique em VRIfczU.png

A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Turco    634

Tópico Arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×