Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Gabriel Dalfovo

Suspeita de keylogger, roubo de dados

Recommended Posts

Olá.
Desde o dia 23/12, uma pessoa tem tentado se passar por mim ao fazer compras num site online. Fiz o Boletim de Ocorrência, criei o aviso de CPF no serasa. E curiosamente o endereço de entrega fica na mesma cidade em que moro. 

Mas na manhã de domingo, dia 14/01, algo pior aconteceu. Dessa vez, além do CPF, a pessoa alterou o e-mail e senha de cadastro no site da netshoes e utilizou os cartões que estavam vinculados à conta para tentar fazer compras em meu nome. Algo me leva a crer que fui de alguma forma hackeado, e estou com medo de que o hack ainda esteja em meu computador.
Gostaria de saber se há ainda alguma coisa que deixe esse rastro, pois aconteceu recentemente de eu usar o fórum para apagar alguns scripts que enviavam mensagens aos meus contatos via skype. Desde então, passei a utilizar o Kaspersky Free, que bloqueia automaticamente cada tentativa de site que tente adicionar javascripts ao navegador.

Segue em anexo o log do ZA-Scan. 

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Gabriel Dalfovo

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento de torrent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Siga os passos abaixo:

ETAPA 1

Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
https://downloads.malwarebytes.org/file/mbam_current/
 
Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

  • Na aba Análise > Analise Personalizada marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho.


ATENÇÃO: Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

Clique em VERIFICAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Log do MBAM:
     

    Malwarebytes
    www.malwarebytes.com

    -Detalhes de registro-
    Data da análise: 16/01/18
    Hora da análise: 19:45
    Arquivo de registro: 8713d217-fb06-11e7-b4c0-00ff7eda9f89.json
    Administrador: Sim

    -Informação do software-
    Versão: 3.3.1.2183
    Versão de componentes: 1.0.262
    Versão do pacote de definições: 1.0.3710
    Licença: Gratuita

    -Informação do sistema-
    Sistema operacional: Windows 7 Service Pack 1
    CPU: x64
    Sistema de arquivos: NTFS
    Usuário: GabrielFX6-R7\Gabriel FX6-R7

    -Resumo da análise-
    Tipo de análise: Análise Customizada
    Resultado: Concluído
    Objetos verificados: 343949
    Ameaças detectadas: 1
    Ameaças em quarentena: 1
    Tempo decorrido: 3 hr, 25 min, 13 seg

    -Opções da análise-
    Memória: Desabilitado
    Inicialização: Desabilitado
    Sistema de arquivos: Habilitado
    Arquivos compactados: Desabilitado
    Rootkits: Habilitado
    Heurística: Habilitado
    PUP: Detectar
    PUM: Detectar

    -Detalhes da análise-
    Processo: 0
    (Nenhum item malicioso detectado)

    Módulo: 0
    (Nenhum item malicioso detectado)

    Chave de registro: 0
    (Nenhum item malicioso detectado)

    Valor de registro: 0
    (Nenhum item malicioso detectado)

    Dados de registro: 0
    (Nenhum item malicioso detectado)

    Fluxo de dados: 0
    (Nenhum item malicioso detectado)

    Pasta: 0
    (Nenhum item malicioso detectado)

    Arquivo: 1
    PUP.Optional.StartPage24, C:\USERS\GABRIEL FX6-R7\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\G08Q2C75.DEFAULT\EXTENSIONS\FFEXT_BASICVIDEOEXT@STARTPAGE24.XPI, Quarentena, [11457], [186354],1.0.3710

    Setor físico: 0
    (Nenhum item malicioso detectado)


    (end)

    ___________________________________________________________

     

    Log do Adw:

    # AdwCleaner 7.0.6.0 - Logfile created on Thu Jan 18 01:26:34 2018
    # Updated on 2017/21/12 by Malwarebytes 
    # Database: 01-16-2018.1
    # Running on Windows 7 Ultimate (X64)
    # Mode: scan
    # Support: https://www.malwarebytes.com/support

    ***** [ Services ] *****

    No malicious services found.

    ***** [ Folders ] *****

    No malicious folders found.

    ***** [ Files ] *****

    No malicious files found.

    ***** [ DLL ] *****

    No malicious DLLs found.

    ***** [ WMI ] *****

    No malicious WMI found.

    ***** [ Shortcuts ] *****

    No malicious shortcuts found.

    ***** [ Tasks ] *****

    No malicious tasks found.

    ***** [ Registry ] *****

    No malicious registry entries found.

    ***** [ Firefox (and derivatives) ] *****

    No malicious Firefox entries.

    ***** [ Chromium (and derivatives) ] *****

    No malicious Chromium entries.

    *************************

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Gabriel Dalfovo

     

    Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
    roguekiller.exe (x64) << link

    • Feche todos os programas
    • Execute o RogueKiller.exe.
      ** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:
      Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em VRIfczU.png.
    • Quando a janela da Eula aparecer, clique em Accept.
    • Selecione a aba SCAN
    • Clique em START SCAN
    • Aguarde ate que o scan termine...
    • Clique no botão OPEN REPORT
    • Clique na opção EXPORT TXT e salve na Área de Trabalho com o nome de roguekiller.txt
    • Clique em OK e feche o RogueKiller.


    Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • RogueKiller V12.12.0.0 (x64) [Jan 15 2018] (Free) por Adlice Software
    mail : http://www.adlice.com/contact/
    Feedback : https://forum.adlice.com
    Site : http://www.adlice.com/download/roguekiller/
    Blog : http://www.adlice.com

    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Iniciou : Modo normal
    Usuário : Gabriel FX6-R7 [Administrador]
    Started from : C:\Users\Gabriel FX6-R7\Desktop\RogueKiller_portable64.exe
    Modo : Deletar -- Data : 01/19/2018 18:31:48 (Duration : 00:31:56)

    ¤¤¤ Processos : 0 ¤¤¤

    ¤¤¤ Registro : 0 ¤¤¤

    ¤¤¤ Tarefas : 0 ¤¤¤

    ¤¤¤ Arquivos : 0 ¤¤¤

    ¤¤¤ WMI : 0 ¤¤¤

    ¤¤¤ Arquivos de hosts : 0 ¤¤¤

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Navegadores : 1 ¤¤¤
    [PUP.Gen2][Firefox:Addon] g08q2c75.default : Video Downloader professional [ffext_basicvideoext@startpage24] -> Deletado

    ¤¤¤ Verificação da MBR : ¤¤¤
    +++++ PhysicalDrive0: MAXTOR STM3250310AS ATA Device +++++
    --- User ---
    [MBR] bc9482ef1bcbd1daa07627b445e20c47
    [BSP] a06390a252d8a64131399337cd63cc59 : Windows Vista/7/8|VT.Unknown MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 78003 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    1 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 159750360 | Size: 160461 MB
    User = LL1 ... OK
    User = LL2 ... OK

    +++++ PhysicalDrive1: WDC WD5000AAKX-00U6AA0 ATA Device +++++
    --- User ---
    [MBR] a424794e462ea06772c281da0d3697d6
    [BSP] 11c55b99df0e0c8df38e1eebe669f056 : Windows Vista/7/8|VT.Unknown MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    User = LL1 ... OK
    User = LL2 ... OK
     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Gabriel Dalfovo

     

    Faça o download do Kaspersky Virus Removal Tool.
    http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

    Reinicie seu computador em modo seguro;
     

    Execute o Kaspersky Virus Removal Tool como Administrador;

    Aceite o "End user License Agreement" e aguarde a Inicialização;

    Clique em Change parameters e marque também a opção System drive;
    OBS: Caso tenha alguma midia removivel plugada no computador clique no botão + Add object... e a marque também;

    Clique em OK e depois em Start scan.

    Após o termino do scan, clique na opção Report (Abaixo do X de fechar o programa);
     

    Tire uma printscreen da aba Report e também da aba Quarantine. Anexe as printscreens no seu proximo post.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Gabriel Dalfovo

     

    Pressione as teclas Windows tecla-windows.gif + R e digite: msconfig
     
    - Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo
    - Clique na guia Inicialização de Programas e clique em Desativar tudo
     
    Siga as mensagens ate que seja solicitado a reiniciar.

    Após isso me informe se os problemas em relação a malwares ainda persistem.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Já o fiz.

    Acredito que não há mais problemas em relação a malware, mas também ainda não sei como a minha conta da Netshoes pôde ser hackeada desse jeito. Talvez tenha sido vazamento de informações, e não algum programa espião... até porque fazia mais de um ano que nem logar no site eu logava.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    @Gabriel Dalfovo

     

    Em relação a malwares, não temos mais problemas.

    Ultimas instruções.
     

    Baixe o Delfix by Xplode do link abaixo e salve na sua área de trabalho.
    http://www.bleepingcomputer.com/download/delfix/dl/281/

    Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

    *** Usuários do Windows Vista, 7, 8/8.1 e Windows 10clique com o direito sobre o arquivo delfix.exe, depois clique emVRIfczU.png

    ipb9zl.png

    Clique no botão Executar.

    Ao final será gerado um log, mas não é necessário postar.

    MANTENHA O SO ATUALIZADO:
    Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

    Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

    Att.
    Elias Pereira

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Problema resolvido!

     

    Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

     

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×