Ir ao conteúdo
  • Cadastre-se
Nichya

Malware criando propaganda nos sites

Recommended Posts

Boa tarde gente,

Há um tempo atrás, meu computador vem se comportando de uma forma estranha. Antigamente o anti-vírus que eu tinha era o Avira, só que eu não sei o porquê, ele sempre travava no meu computador e parava de funcionar. Depois instalei o AVG, ao fazer a varredura total, ele detectou vírus no computador, foi quando eu comecei a perceber pastas que foram criadas sem meu consentimento. A primeira pasta que encontrei foi o RunDir no qual o AVG sempre detectava como vírus (cavalo de troia) e depois de apagar permanentemente do meu pc toda vez que reiniciava ela voltava. Até que um dia pesquisando muito consegui com que essa pasta não voltasse mais. Mas é ai que entra o problema. Eu achei que estava de volta tudo normal, mas agora toda vez que entro em algum site pelo Google Chrome aparece propagandas "invisíveis" eu sempre clico no X mas nunca adianta, pois sempre abre a página da maldita propaganda mesmo depois de ter fechado, eu vou clicar em qualquer coisa da página e ela abre como se ainda estivesse ali. Na segunda imagem aparece o suposto link que abre antes dele "se transformar" em um outro link com uma propaganda. E gente, isso não aconteceu só no Chrome. Eu tenho instalado o League Of Legends aqui e na tela principal do jogo (não dentro da partida) depois de ter logado, aparece as notícias, as lista de amigos, etc... Atrás disso ou até mesmo em cima aparece essas propagandas! Só que ai eu clico no X e elas saem e não aparecem mais até eu abrir o jogo de novo.
Gente eu já fiz de tudo, já procurei de tudo e ainda não consegui encontrar uma solução. Já possuo o AdBlock, já instalei JRT e já fiz o log dele, já instalei Hijack This e também já fiz análise, já instalei ComboFix e já analisei tudo também, já fiz varredura no pc todo pelo AVG, já restaurei o meu chrome, já utilizei Malwarebytes, já utilizei a nova ferramenta do google pra tirar Malware e já apaguei expansões. O único que ainda não usei foi o ADW Cleaner, pois toda vez que faço o download eu tento abrir o programa e não funciona, simplesmente não acontece nada! A última coisa que queria fazer é formatar, mas eu não consigo ver outro jeito. Minha última esperança é vir aqui no Fórum do Clube ver se eu acho alguém que saiba como remover isso, ver se alguém já teve o mesmo problema, sei lá...
PS: O notebook da minha irmã está com o mesmo problema, mas não fiz nada no pc dela. Será que pode ser vírus na internet? (posso estar falando errado, mas a essas horas pensamos em tudo) ou é no pc mesmo?
Segue o link com as imagens do problema: http://imgur.com/a/WtCnL
Esse é o meu primeiro tópico aqui, acredito que eu esteja fazendo no lugar certo.
Obrigada a todos que ajudarem.
Segue os logs (não sei o porquê o log do Combo Fix tá duplicado)

ComboFix.txt

ComboFix.txt

hijackthis.log

JRT.txt

ZA-Scan.txt

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá @Nichya

 

Por favor, atente para o seguinte:
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Seus aparelhos de rede (modem/router), foram comprometidos. Por isso, você está sendo redirecionado para outra página.

 

http://brazil.kasper...nto-modems-adsl

http://brazil.kasper...taca-roteadores

http://securelist.co...one-dsl-modems/

http://blog.kaspersk...rs-wont-update/

 

Faça o reset seus aparelhos de rede, atualize o firmware dos aparelhos (se houver), use senhas fortes para a senha de acesso e desabilite o recurso TR-69 no modem.

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

Baixe o Farbar Recovery Scan Tool e salve em sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Dê um duplo-clique para executar a ferramenta. Marque a caixa 90 Days Files e clique no botão Scan.

Aguarde e ao final, os logs FRST.txt e Addition.txt serão salvos no seu desktop.

Anexe os logs na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro, eu fiz o reset do modem, troquei as senhas, tudo certo. Porém, continua as propagandas... E não realizei essa atualização do firmware porque o meu pc é velho então eu acho que nem tem versão pro meu... Já esse programa que você passou o Farbar Recovery Scan Tool, tá acontecendo o mesmo problema que o AdwCleaner eu clico pra abrir e abre uma janela mas fecha super rápido, não consigo nem clicar em nada...

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

E não realizei essa atualização do firmware porque o meu pc é velho então eu acho que nem tem versão pro meu

 

A atualização não é para o pc, e sim para o modem/router.

 

 

Já esse programa que você passou o Farbar Recovery Scan Tool, tá acontecendo o mesmo problema que o AdwCleaner eu clico pra abrir e abre uma janela mas fecha super rápido, não consigo nem clicar em nada...

 

Tente executar após o passo abaixo.

 

Baixe o RKill by Grinler:

Opção 1

Opção 2

Opção 3

Opção 4

  • Desative seu antivirus, antispywares e firewall, para não causar conflitos. Mantenha-os desativados até terminar todas as instruções.
  • Baixe o RKill pela Opção 1 > salve na área de trabalho.
  • Dê um duplo-clique no ícone do RKill.

    * No Windows Vista e Windows 7:

    Execute no clique direito e selecione run_as_adm1.png

  • Uma tela preta aparecerá rapidamente, indicando que a ferramenta rodou com sucesso.
  • Se isso não ocorrer, baixe-o novamente usando a Opção 2
  • Repita o processo e se não funcionar, baixe pela Opção 3. Ocorrendo o mesmo baixe pela Opção 4.
  • Se mesmo assim não rodar, tente com as versões abaixo:

    http://download.blee...er/iExplore.exe

    http://download.blee...er/eXplorer.exe

  • Tendo sucesso, ao final será aberto um log, o RKill.txt que é salvo no desktop, anexe este log.

Em seguida tente executar o FRST

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fiz exatamente o que pediu, desativei os programas. A Opção 3 que você passou aconteceu exatamente como disse, abriu a janela e desapareceu, porém, o programa não funcionou. Depois baixei cada um e fui executando e eles apareciam a seguinte janela http://prntscr.com/7hfoy4 no ultimo apareceu um log. Segue anexo do log

Rkill.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

1)

 

Faça o download do Farbar Service Scanner e salve em seu Desktop
 

  • Marque as caixas:
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
  • Clique em Scan
  • Será criado um log (FSS.txt) no Desktop
  • Anexe o do log em sua próxima resposta.

2)

 

Baixe o RogueKiller e salve em sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Execute o arquivo RogueKiller.exe.

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo RogueKiller.exe, depois clique em execadmin.png.

Clique no botão Scan e aguarde o exame finalizar.

Clique no botão Relatório. Abrirá um bloco de notas com informações.

Anexe-o na sua próxima resposta.

OBS: não use o botão Deletar pois precisamos avaliar os itens antes de fazer isso.

 

 

3)

 

Baixe MbrScan.exe by Eric_71 > salve no desktop.

 

Dê um duplo-clique para executar a ferramenta. Clique no botão Scan. Ao final do exame clique no botão Report. Abrirá um bloco de notas com o resultado do exame. É salvo no desktop com o nome de MbrScan.log.

 

Selecione, copie e cole o seu conteúdo na próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite, O Farbar Scanner foi executado sem sucesso, pois está acontecendo a mesma coisa que os outros. Porém, consegui executar os outros 2. Segue os logs. Obrigada por toda, ajuda e paciência que está tendo comigo!

 

Log do RogueKiller

 

RogueKiller V10.8.4.0 [Jun 15 2015] por Adlice Software
 
Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Iniciou : Modo normal
Usuário : Carol [Administrador]
Started from : C:\Users\Carol\Desktop\RogueKiller.exe
Modo : Escanear -- Data : 06/16/2015  22:27:33
 
¤¤¤ Processos : 0 ¤¤¤
 
¤¤¤ Registro : 6 ¤¤¤
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 189.7.152.36 189.7.152.31 [(Unknown Country?) (XX)][(Unknown Country?) (XX)]  -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 189.7.152.36 189.7.152.31 [(Unknown Country?) (XX)][(Unknown Country?) (XX)]  -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 185.61.149.230 8.8.8.8 [(Unknown Country?) (XX)][-]  -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ADFD06FF-C10F-4260-A55E-E82725D300BE} | DhcpNameServer : 189.7.152.36 189.7.152.31 [(Unknown Country?) (XX)][(Unknown Country?) (XX)]  -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ADFD06FF-C10F-4260-A55E-E82725D300BE} | DhcpNameServer : 189.7.152.36 189.7.152.31 [(Unknown Country?) (XX)][(Unknown Country?) (XX)]  -> Encontrado
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ADFD06FF-C10F-4260-A55E-E82725D300BE} | DhcpNameServer : 185.61.149.230 8.8.8.8 [(Unknown Country?) (XX)][-]  -> Encontrado
 
¤¤¤ Tarefas : 0 ¤¤¤
 
¤¤¤ Arquivos : 0 ¤¤¤
 
¤¤¤ Arquivos de hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost
 
¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤
 
¤¤¤ Navegadores : 0 ¤¤¤
 
¤¤¤ Verificação da MBR : ¤¤¤
+++++ PhysicalDrive0: ExcelStor Technology J9250S ATA Device +++++
--- User ---
[MBR] b12dea696399919e01058334755c466d
[bSP] 8cf1e74ba2ce2a842249e46e57a8814e : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 238373 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
 
============================================
RKreport_SCN_06162015_213613.log

MbrScan.log

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o download do OTL by OldTimer, e salve na sua área de trabalho:
http://oldtimer.geekstogo.com/OTL.exe

** Usuários do Windows Vista e Windows 7/8:
Clique com o direito sobre o arquivo OTL.exe, depois clique em execadmin.png
.

Onde diz Saída, marque Padrão
Marque também estas opções:

  • Data de Criação -> mude para 90 dias
  • Ignorar Arquivos Microsoft
  • Verificar Lop
  • Verificar Purity

Selecione estas linhas em vermelho, clique com o direito sobre a seleção, e escolha a opção copiar

 

 

CREATERESTOREPOINT
netsvcs
%SYSTEMDRIVE%\*.*
%systemdrive%\drivers\*.exe
%systemroot%\system32\drivers\*.* /90
%PROGRAMFILES%\*.*
%userprofile%\configurações locais\dados de aplicativos\*.exe
%userprofile%\configurações locais\dados de aplicativos\*.txt
%userprofile%\configurações locais\dados de aplicativos\*.ini
%userprofile%\configurações locais\dados de aplicativos\*.dat /30
%userprofile%\configurações locais\dados de aplicativos\*.dll
%userprofile%\*.exe
%userprofile%\*.txt
%userprofile%\*.ini
%userprofile%\*.dat /30
%userprofile%\*.dll
%appdata%\*.*
%windir%\tasks\*.* /s
%PROGRAMFILES%\Internet Explorer\*.*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMP
HKCU\Software\Microsoft\Internet Explorer\Downloads
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
/md5start
services.*
/md5stop


Volte ao programa, clique com o direito em qualquer parte branca da sessão Exames Personalizados/Correções e escolha colar

Clique no botão verif.png

O OTL começará a examinar seu computador. Não interrompa o processo e nem use outras janelas até que ele termine.

Não modifique nenhuma outra configuração, a menos que tenha sido orientado (a) a fazer isso.

O exame demora um pouco, tenha paciência.

Quando terminar, dois blocos de notas serão exibidos: OTL.txt e Extras.txt
Ambos ficarão salvos dentro do mesmo diretório onde está o OTL.exe, ou seja, na sua área de trabalho.

Anexe os logs em sua próxima resposta.

OBS: Caso os logs fiquem muito grandes e exceda o limite do forum, envie-os para um arquivo .zip ou .rar e anexe-os à sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite, por incrível que pareça (ou não) essa é a primeira vez onde eu entro no site e não aparece aquelas propagandas! Sinal de que está funcionando não é mesmo? hehe. Novamente, obrigada por tudo. Segue os logs.   :)

OTL.Txt

Extras.Txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,
 
Novamente com o OTL

  • Clique duas vezes no ícone 3984478580_7ed4cabc45_o.gif
  • Copie e cole o conteúdo abaixo, no espaço logo após 5369460409_ee749edc8e_m.jpg
:Commands[createrestorepoint]:OTLDRV - File not found [Kernel | System | Stopped] -- C:\Windows\System32\drivers\Bprotect.sys -- (Bprotect)DRV - File not found [Kernel | System | Stopped] -- C:\Windows\System32\drivers\bndef.sys -- (Bndef)DRV - File not found [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\BHipsEx.sys -- (BHipsEx)DRV - File not found [File_System | System | Stopped] -- C:\Windows\System32\drivers\Bfmon.sys -- (Bfmon)DRV - File not found [File_System | System | Stopped] -- C:\Windows\System32\drivers\Bfilter.sys -- (Bfilter)O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present:Filesipconfig /flushdns /cbitsadmin /reset /allusers /c:Commands[purity][emptytemp]
  • Clique no botão 5370056394_358505935a_m.jpg
  • Quando reiniciar vai aparecer uma janela, clique em executar;
  • Salve (arquivo > salvar como) o log no desktop com um nome que desejar;
  • Atenção: se fechar o log sem ter salvo antes ele sumirá.
  • Poste então em sua próxima resposta o log gerado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

1)

 

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Faça o download do ZHPCleaner e salve em sua área de trabalho

* No Windows Vista e Windows 7:

Clique com o direito sobre o ZHPCleaner.exe e selecione run_as_adm1.png

 

Clique no botão Reparar

A ferramenta começara o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.

Ao final um log será salvo em sua área de trabalho. Anexe-o log na sua próxima resposta.

 

2)

 

Desative temporiariamente seu AntiVirus

  • Segure o botão Ctrl e clique neste link para abrir o ESET Online Scanner em uma nova janela.
  • Clique neste botão: j9Byf.png?1
  • Para navegadores alternativos: (Caso use o Internet Explorer, pule esta etapa)esetsmartinstaller_enu.png
    • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop.
    • Duplo clique no ícone em seu desktop.
  • Marque "YES, I accept the Terms of Use."
  • Clique em Start.
  • Aceite qualquer aviso de segurança de seu browser.
  • Marque: "Enable detection of potentially unwanted applications"
  • Clique em Hide Advanced settings e marque o seguinte:
    • Remove found threats
    • Scan archives
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Clique Change e marque também a caixa Computador.
  • Clique em Start.
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Export to text file e salve o log na sua área de trabalho.
  • Clique em Back.
  • Clique em Finish.
  • Anexe o conteúdo do log.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não, só isso mesmo... Eles foram removidos?

Você tem alguma dica para que isso não aconteça novamente?

E eu posso desinstalar os programas que foram instalados no meu pc para a remoção?

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Você tem alguma dica para que isso não aconteça novamente?

 

No seu caso o problema era nos aparelhos de rede, não há muito o que fazer.

 

 

E eu posso desinstalar os programas que foram instalados no meu pc para a remoção?

 

O que não for removido pelo Delfix, pode.

 

Para finalizar:

 

# Etapa nº 1 #

Baixe o Delfix by Xplode e salve na sua área de trabalho.

Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo delfix.exe, depois clique em execadmin.png.

2mez6ld.png

Clique no botão Executar.

Ao final será gerado um log, mas não é necessário postar.

 

# Etapa nº 2 #

 

Atualize o Java.

 

Atenção: Desinstale TODAS as versões antigas do Java.

  • Feche todos os programas especialmente o seu Navegador (IE, Firefox etc).
  • Acesse o site Java para Windows
  • Clique em 4531602912_e9606174d3_o.gif
  • Na janela que surgir clique em Executar;
  • Siga os procedimentos de instalação.

# Etapa nº 3 #

 

<<@>> Instale o CCleaner

 

O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner

 

  • Abra o programa e clique o botão Analisar em seguida em Executar Limpeza.

Obs: Não recomendo a limpeza do registro, isso pode deixa o sistema inoperante.

 

 

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

 

Abraços. thumbsup.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tudo certo!! Não tenho palavras para agradecer a atenção que teve comigo. Não queria ter que formatar, então postar aqui foi como um apelo! Pois era a minha última esperança... E não é que ela é a última a morrer mesmo? Muito obrigada pela atenção, com certeza continuarei neste fórum ajudando todos que precisam também através dos conhecimentos que eu tenho, pois o mundo precisa de mais gente como você, que ajuda o próximo. Não sei se é a sua obrigação, se você ganha ou não para isso, mas mesmo assim muito obrigada!! Com muita alegria e graças a você, posso dizer que o problema FOI RESOLVIDO!! Muito obrigada, tudo de bom e abraços!  :D  :D  :D  :D  :D  :D  

  • Curtir 3

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×