Ir ao conteúdo
  • Cadastre-se
ramunin

Infecçao trojan por pendrive

Recommended Posts

Estava procurando uns arquivos antigos, e abrir um pendrive estava destraido e nao vi que o mesmo estava em atalhos, executei o arquivo abriu um cmd, o Kaspersky já acusou, todavia nao deletou, fiz uma varredura completa, ele achou e eliminou(AppData\Roaming\tvtieh\vuiystca.js), aparentemente tinha apago, pesquisei sobre o mesmo e dizia que este trojan seria para abrir portas, fiz um scan de registros pelo CCleaner, o mesmo achou um monte erros, e nestes tinham varios que achei muito estranho estar mexido, tenho o log aqui, nao sei se posso envia-lo publico. Entao estou com duvidas se o computador está mesmo limpo. Windows original, Kaspersky e Malwarebytes pago.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@ramunin

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento de torrent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.

Faça o download do Panda USB Vaccine no link abaixo e salve na sua área de trabalho.
http://research.pandasecurity.com/panda-usb-and-autorun-vaccine/

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário,EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Ainda com as mídias plugadas nas USB, vamos à próxima etapa:

Desative temporariamente seu Antivirus e Firewall

  • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop. 
  • Execute o esetsmartinstaller_enu.exe.
    ** Usuários do Windows Vista, Windows 7 e Windows 8/8.1:
    Clique com o direito sobre o esetsmartinstaller_enu.exe, depois clique em VRIfczU.png .
  • Marque "YES, I accept the Terms of Use."
  • Aguarde o programa realizar o download dos componentes. 
  • Marque:
    • Enable detection of potentially unwanted applications.
  • Clique em Advanced settings e marque o seguinte:
    • Remove found threats
    • Scan archives
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Na opção "Current scan targets: Operating memory, Local drives" clique em Change...
  • Marque:
    • Todos os drives e mídias removíveis, caso estejam plugadas (C:, D:, E:, etc)
  • Clique em OK
  • Agora clique em START
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Copy to clipboard e cole o conteúdo em sua próxima resposta. Obs: Se nada for encontrado, nenhum log será gerado.
  • Clique em Back.
  • Clique em Finish.
  • Será oferecido uma instalação do Eset Smart Security versão paga.Clique no [x] do canto direito da janela.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Elias, obrigado pela atenção, estou com algumas duvidas e acredito que deixei alguns passos de fora do que já tinha feito. Tenho conhecimento das informações passadas, meu Windows é original, não possuo nenhum outro tipo de programa que use keygens. Já tive programas torrent porém não os possuo mais há algum tempo.

 

1. Tenho duvida quanto a logs, devo me preocupar em algum especifico que poderia conter alguma informação privada da minha maquina em postar em foruns publicos?

2. Estou com uma duvida no procedimento:

Na opção "Current scan targets: Operating memory, Local drives" clique em Change...

Marque:

Todos os drives e mídias removíveis, caso estejam plugadas (C:, D:, E:, etc)

Devo deixar marcado o Operating memory, Local drives ou só os drives e midias removiveis?
3. Em todo o processo gostaria de fazer o possivel para evitar perda de arquivos pessoais/formatar.

4. Também fiz um post no BleepingComputer, não obtive resposta até o momento, irei dar procedimento apenas aqui.

 

Fatos que aconteceram até o momento em ordem cronologica:

1. Pendrive infectado, Kaspersky acusa, nao limpa inicialmente.


2. Verificação completa com o Kaspersky, ele remove UM arquivo na pasta (C:\Users\Ramunno\AppData\Roaming\tvtieh\vuiystca.js) todavia há outro arquivo ao qual parece também estar em quarentena de onde pegou ele não sei. (C:\Users\Ramunno\AppData\Roaming\tvtieh\wsofafamq) não consigo achar o formato do arquivo.

 

3. Passo o Malwarebytes, nada é encontrado. (Acabei de abrir para verificar, e foi encontrado um exploit, não houve um aviso para mim ou não vi). 

 

Malwarebytes
www.malwarebytes.com

-Detalhes de registro-
Data do evento de proteção: 09/01/2019
Hora do evento de proteção: 21:08
Arquivo de registro: 82294dae-1463-11e9-9172-448a5bf3b0d3.json

-Informação do software-
Versão: 3.6.1.2711
Versão de componentes: 1.0.508
Versão do pacote de definições: 1.0.8704
Licença: Premium

-Informação do sistema-
Sistema operacional: Windows 10 (Build 17763.253)
CPU: x64
Sistema de arquivos: NTFS
Usuário: System

-Detalhes do Exploit-
Arquivo: 0
(Nenhum item malicioso detectado)

Exploit: 1
Malware.Exploit.Agent.Generic, , Bloqueado, [0], [392684],0.0.0

-Dados Exploit-
Aplicativo afetado: Windows Script Host
Camada de proteção: Application Behavior Protection
Técnica de proteção: Exploit payload process blocked
Nome do arquivo: C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe \c cacls C:\Users\Ramunno\AppData\Roaming\tvtieh\rbyjaraax \T \E \G Users:F \C
URL: 

(end)

 

4. Procuro sobe o virus, e descubro que ele abriria portas por registros.


5. Uso o CCleaner: Registry>Scan for Issues>Fix all (Fico bolado por causa dos registros que achou corrompido, nao entendo nada, dizia Firewall/Shell/Root). Tenho salvo os logs.


6. Baixo e passo SpyBot Search and destroy 2.7.64.0, dou scan, fix, e uso a ferramenta de imunizar o sistema.sp3.thumb.png.55370f9b6d55fa602cc15922a755ceea.png

 

7. Tento passar o GMER para obter logs algumas vezes, ele apresenta problemas no meio de todos scans. Tinha o nome randomizado pelo site.

 

8. Passo o AdwCleaner, segue anexo.

wtf.png.55d94c3af079f00bfddb7a4f9fc510e0.png


9. Gero logs do FARBAR da BleepingComputer para fazer o post deles possuo eles aqui, tanto o normal como o Addition.

 

Obrigado pela atenção novamente Elias.

 

EDIT1: Um amigo que trabalha numa provedora local, deu uma olhada no PC por TeamViewer, e disse que aparentemente estaria tranquilo, mas gostaria de continuar a verificação. Não me preocupo muito em limpar o pendrive, os arquivos nele não são necessarios, são os mesmos que tenho no computador porém desatualizados. Me preocupa ter a maquina/rede limpa.

adw.png

Compartilhar este post


Link para o post
Compartilhar em outros sites
3 horas atrás, ramunin disse:

1. Tenho duvida quanto a logs, devo me preocupar em algum especifico que poderia conter alguma informação privada da minha maquina em postar em foruns publicos?

Não. As informações dos logs são somente para analise.

 

3 horas atrás, ramunin disse:

2. Estou com uma duvida no procedimento:

Na opção "Current scan targets: Operating memory, Local drives" clique em Change...

Marque:

Todos os drives e mídias removíveis, caso estejam plugadas (C:, D:, E:, etc)

Devo deixar marcado o Operating memory, Local drives ou só os drives e midias removiveis?

Ambos.

 

3 horas atrás, ramunin disse:

4. Também fiz um post no BleepingComputer, não obtive resposta até o momento, irei dar procedimento apenas aqui.

Ok.

 

3 horas atrás, ramunin disse:

Fatos que aconteceram até o momento em ordem cronologica:

1. Pendrive infectado, Kaspersky acusa, nao limpa inicialmente.


2. Verificação completa com o Kaspersky, ele remove UM arquivo na pasta (C:\Users\Ramunno\AppData\Roaming\tvtieh\vuiystca.js) todavia há outro arquivo ao qual parece também estar em quarentena de onde pegou ele não sei. (C:\Users\Ramunno\AppData\Roaming\tvtieh\wsofafamq) não consigo achar o formato do arquivo.

 

Antivirus ou o KRT (kaspersky removal tool)?

 

Do 3 ao 9, como menciono em meu primeiro post. A utilização de software sem que eu solicite pode e vai atrapalhar na analise.

 

"Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador."

 

Todos esses dispositivos, caso você utilize nesse computador em questão, devem ser formatados. Do contrario seu computador será infectado novamente.

 

Execute o procedimento solicitado, por gentileza.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Elias, desculpe a demora, agradeço a ajuda, peço desculpas mas nao darei continuidade. Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×