Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
viniciusjf

Zoek não executa (vírus dos atalhos do pendrive)

Recommended Posts

Boa tarde.

Senhores, peço desculpas de antemão por criar o tópico sem uma das instruções básicas do fórum para isto, mas tive um problema e ao tentar executar o ZA-Scan (zoek), nada aconteceu. Não uso antivírus e desativei o firewall, mas mesmo assim o programa aparentemente não foi executado e nenhum log ou pasta foi gerado (fiz a busca no sistema).

Meu problema é aquele vírus que transforma as pastas e arquivos do pendrive em atalhos, mesmo não usando antivírus nunca tinha pegado aquilo, até usar o pendrive no notebook de um professor... Formatei o pendrive, mas não adiantou, então suponho que o vírus esteja na minha máquina.

Outra dúvida: se eu utilizar este pendrive na minha TV, posso prejudicar o aparelho de alguma forma?

Diante do problema, peço a ajuda de vocês.

Desde já obrigado. 

Editado por viniciusjf

Compartilhar este post


Link para o post
Compartilhar em outros sites

@viniciusjf

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento de torrent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.

Faça o download do Panda USB Vaccine no link abaixo e salve na sua área de trabalho.
http://research.pandasecurity.com/panda-usb-and-autorun-vaccine/

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário,EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Ainda com as mídias plugadas nas USB, vamos à próxima etapa:

Desative temporariamente seu Antivirus e Firewall

  • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop. 
  • Execute o esetsmartinstaller_enu.exe.
    ** Usuários do Windows Vista, Windows 7 e Windows 8/8.1:
    Clique com o direito sobre o esetsmartinstaller_enu.exe, depois clique em VRIfczU.png .
  • Marque "YES, I accept the Terms of Use."
  • Aguarde o programa realizar o download dos componentes. 
  • Marque:
    • Enable detection of potentially unwanted applications.
  • Clique em Advanced settings e marque o seguinte:
    • Remove found threats
    • Scan archives
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Na opção "Current scan targets: Operating memory, Local drives" clique em Change...
  • Marque:
    • Todos os drives e mídias removíveis, caso estejam plugadas (C:, D:, E:, etc)
  • Clique em OK
  • Agora clique em START
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Copy to clipboard e cole o conteúdo em sua próxima resposta. Obs: Se nada for encontrado, nenhum log será gerado.
  • Clique em Back.
  • Clique em Finish.
  • Será oferecido uma instalação do Eset Smart Security versão paga.Clique no [x] do canto direito da janela.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite. Segue a lista.

Desde já obrigado.

Edit: reparei que depois de rodar o programa, ficou aparente um autorun.inf no meu pendrive, que eu não conseguia deletar, e depois que o formatei para exfat, o problema voltou a ocorrer (arquivos transformados em atalhos), neste caso gostaria de acrescentar uma dúvida: o Panda USB Vaccine só funciona com o dispositivo em Fat32?  

 

C:\Users\Vinicius\AppData\Local\Temp\3380822_hmaster.vbs    VBS/Kryptik.AU trojan    cleaned by deleting (after the next restart)
C:\Users\Vinicius\AppData\Local\Temp\HYD205D.tmp.1533849449\HTA\install.1533849449.zip    Win32/OpenCandy.J potentially unsafe application    deleted
C:\Users\Vinicius\AppData\Local\Temp\HYD205D.tmp.1533849449\HTA\scripts\install.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYD205D.tmp.1533849449\HTA\scripts\uninstall.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYD205D.tmp.1533849449\HTA\shell_scripts\shell_install_offer.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYD96B4.tmp.1533523763\HTA\install.1533523763.zip    Win32/OpenCandy.J potentially unsafe application    deleted
C:\Users\Vinicius\AppData\Local\Temp\HYD96B4.tmp.1533523763\HTA\scripts\install.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYD96B4.tmp.1533523763\HTA\scripts\uninstall.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYD96B4.tmp.1533523763\HTA\shell_scripts\shell_install_offer.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYDC014.tmp.1533524167\HTA\install.1533524167.zip    Win32/OpenCandy.J potentially unsafe application    deleted
C:\Users\Vinicius\AppData\Local\Temp\HYDC014.tmp.1533524167\HTA\scripts\install.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYDC014.tmp.1533524167\HTA\scripts\uninstall.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Local\Temp\HYDC014.tmp.1533524167\HTA\shell_scripts\shell_install_offer.js    Win32/OpenCandy.J potentially unsafe application    cleaned by deleting
C:\Users\Vinicius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3380822_hmaster.vbs    VBS/Kryptik.AU trojan    cleaned by deleting
E:\3380822_hmaster.vbs    VBS/Kryptik.AU trojan    cleaned by deleting
F:\Vinícius\Downloads\DTLite4461-0328.exe    Win32/WebDevAZ.C potentially unwanted application    cleaned by deleting
F:\Vinícius\Downloads\uTorrent.exe    a variant of Win32/Bunndle potentially unsafe application    cleaned by deleting
F:\Vinícius\Downloads\Downloads\001-game-creator-1-010-009-32-bits [1].exe    Win32/InstallMonetizer.AN potentially unwanted application    cleaned by deleting
F:\Vinícius\Downloads\Downloads\106-ccsetup412.exe    Win32/Bundled.Toolbar.Google.D potentially unsafe application    cleaned by deleting
F:\Vinícius\Jogos\Armello-CODEX\codex-armello.iso    a variant of Win32/HackTool.Crack.ES potentially unsafe application    deleted
 

Editado por viniciusjf

Compartilhar este post


Link para o post
Compartilhar em outros sites

@viniciusjf

 

Citação

Edit: reparei que depois de rodar o programa, ficou aparente um autorun.inf no meu pendrive, que eu não conseguia deletar, e depois que o formatei para exfat, o problema voltou a ocorrer (arquivos transformados em atalhos), neste caso gostaria de acrescentar uma dúvida: o Panda USB Vaccine só funciona com o dispositivo em Fat32? 

 

Execute o procedimento novamente, pois esse arquivo é criado pelo Panda USB Vaccine e é necessário para que não seja reinfectado novamente. Tu precisa seguir a risca os procedimentos.

Compartilhar este post


Link para o post
Compartilhar em outros sites
18 minutos atrás, Elias Pereira disse:

@viniciusjf

 

 

Execute o procedimento novamente, pois esse arquivo é criado pelo Panda USB Vaccine e é necessário para que não seja reinfectado novamente. Tu precisa seguir a risca os procedimentos.

Tudo bem, obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue novo log resultante.

 

C:\Users\Vinicius\AppData\Local\Temp\3380822_hmaster.vbs    VBS/Kryptik.AU trojan    cleaned by deleting (after the next restart)
C:\Users\Vinicius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3380822_hmaster.vbs    VBS/Kryptik.AU trojan    cleaned by deleting
E:\3380822_hmaster.vbs    VBS/Kryptik.AU trojan    cleaned by deleting
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

@viniciusjf

 

Siga os passos abaixo:

ETAPA 1

Baixe o Malwarebytes Anti-Malware (MBAM) do link abaixo e salve no seu desktop.
https://downloads.malwarebytes.org/file/mbam_current/
 
Clique duas vezes no mbam-setup.exe e siga o solicitado para instalar o programa.

  • Na aba Análise > Analise Personalizada marque a opção Procurar rootkits e as entradas referente a instalação do sistema operacional. Normalmente é o drive C:;
  • Clique em Analisar Agora. Aguarde, pois o scan pode demorar;
  • Ao acabar o scan, se houver itens encontrados, certifique-se que estejam todas marcados e clique no botão Remover Selecionadas ou Colocar em Quarentena;
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo);
  • Caso o mbam não seja executado automaticamente após a reinicialização, execute manualmente;
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Relatórios na janela principal do programa;
  • Clique duas vezes no log (Registro de verificação). Clique no botão Exportar e utilize o formato .txt para exportar o log. Salve na Área de Trabalho;
  • Abra o arquivo, selecione tudo, copie e cole o conteúdo deste log em sua próxima resposta.



NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

ETAPA 2

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em VRIfczU.png

Clique em VERIFICAR. Após o termino clique em LIMPAR e aguarde.

Será aberto o bloco de notas com o resultado.

Selecione, copie e cole o seu conteúdo na próxima resposta.

ETAPA 3

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe jrt.exe do link abaixo e salve no desktop.
http://www.bleepingcomputer.com/download/junkware-removal-tool/

Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo jrt.exe, depois clique em VRIfczU.png

A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite.

Uma dúvida: em alguma dessas novas etapas, o pendrive que deu problema tem que estar plugado no PC?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Malwarebytes
www.malwarebytes.com

-Detalhes de registro-
Data da análise: 15/08/2018
Hora da análise: 23:53
Arquivo de registro: 81588034-a0ff-11e8-acf9-002511719483.json

-Informação do software-
Versão: 3.5.1.2522
Versão de componentes: 1.0.421
Versão do pacote de definições: 1.0.6363
Licença: Versão de Avaliação

-Informação do sistema-
Sistema operacional: Windows 7 Service Pack 1
CPU: x64
Sistema de arquivos: NTFS
Usuário: Vinicius-PC\Vinicius

-Resumo da análise-
Tipo de análise: Análise Customizada
Análise Iniciada Por: Manual
Resultado: Concluído
Objetos verificados: 277292
Ameaças detectadas: 4
Ameaças em quarentena: 2
Tempo decorrido: 2 hr, 5 min, 6 seg

-Opções da análise-
Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Detectar
PUM: Detectar

-Detalhes da análise-
Processo: 0
(Nenhum item malicioso detectado)

Módulo: 0
(Nenhum item malicioso detectado)

Chave de registro: 1
PUP.Optional.DefaultSearch, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\nladljmabboanhihfkjacnnkgjhnokhj, Quarentena, [274], [550469],1.0.6363

Valor de registro: 1
Trojan.Agent.Generic, HKU\S-1-5-21-2139675637-1673083731-3996435045-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|3380822_HMASTER, Falha ao remover, [3708], [521269],1.0.6363

Dados de registro: 0
(Nenhum item malicioso detectado)

Fluxo de dados: 0
(Nenhum item malicioso detectado)

Pasta: 0
(Nenhum item malicioso detectado)

Arquivo: 2
Trojan.Agent.Generic, C:\USERS\VINICIUS\APPDATA\LOCAL\TEMP\3380822_HMASTER.VBS, Falha ao remover, [3708], [521269],1.0.6363
PUP.Optional.DefaultSearch, C:\USERS\VINICIUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Substituído, [274], [550469],1.0.6363

Setor físico: 0
(Nenhum item malicioso detectado)

Instrumentação do Windows (WMI): 0
(Nenhum item malicioso detectado)


(end)

 

 

# -------------------------------
# Malwarebytes AdwCleaner 7.2.2.0
# -------------------------------
# Build:    07-17-2018
# Database: 2018-08-16.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-16-2018
# Duration: 00:00:01
# OS:       Windows 7 Ultimate
# Cleaned:  8
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Vinicius\AppData\Roaming\DRPSu

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353}
Deleted       HKCU\Software\Microsoft\Internet Explorer\Main|Start Page

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

Deleted       Ask Brasil

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1859 octets] - [16/08/2018 14:19:48]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Ultimate x64 
Ran by Vinicius (Administrator) on 16/08/2018 at 14:34:45,61
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


File System: 0 


Registry: 0 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 16/08/2018 at 14:42:55,17
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 

 

 

 

 

 

 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário






Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×