×
Ir ao conteúdo
  • Cadastre-se

Ataque - roubo de informações pessoais


Posts recomendados

Prezados,

Boa noite, tudo bem?


Meu PC foi atacado, acredito que alguém esteja acessando meu note por acesso remoto. Instalei o Kaspersky e nada foi identificado.
Dias atras meu notebook travou e todas as minhas contas de rede social foram deslogadas, as x aparece uma informacao de alerta do chrome avisando que minha webcam esta sendo utilizada. 

 

Agradeco muito seu tempo!!!

Atenciosamente
Phil01

zoek-results.txt

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Phil01

 

Por favor, atente para o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito;
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • IMPORTANTE: Caso tenha programas de ativação do windows ou de compartilhamento p2p/toŕŕent, sugiro desinstalar. Só irei dar procedimento na analise após a remoção. Regras do forum;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Respeite a ordem das instruções passadas;
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!


Regras da Área de Remoção de Malware << IMPORTANTE A LEITURA

Regras Gerais do Forum Clube do Hardware << IMPORTANTE A LEITURA
 

Siga os passos abaixo:

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

 

ETAPA 1

 

Faça o download do AdwCleaner de um dos links abaixo e salve no desktop.

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

http://www.bleepingcomputer.com/download/adwcleaner/

Clique em DOWNLOAD NOW para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista, 7, 8/8.1 e windows 10 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em image.png

Clique em VERIFICAR AGORA/SCAN NOW. Após o termino clique em LIMPAR/CLEAN e aguarde.

Será aberto o bloco de notas com o resultado.

 

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.

 

ETAPA 2

 

Faça o download do ZHPCleaner no link abaixo e salve em sua Área de trabalho (Desktop)

https://www.majorgeeks.com/files/details/zhpcleaner.html

Execute o arquivo ZHPCleaner.exe Como Administrador

  • Clique no botão Scanner.
  • A ferramenta começara o exame do seu sistema.
  • Tenha paciência pois pode demorar um pouco dependendo da quantidades de itens a examinar.
  • Em seguida clique no botão Reparar.
  • Será gerado um log chamado ZHPCleaner.txt

ATENÇÃO: Selecione, copie e cole o seu conteúdo na próxima resposta.

Link para o comentário
Compartilhar em outros sites

Ola Elias,

Boa noite, como vai?

 

Seguem os logs:

 

# -------------------------------
# Malwarebytes AdwCleaner 8.3.0.0
# -------------------------------
# Build:    06-29-2021
# Database: 2021-10-08.3 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    10-17-2021
# Duration: 00:00:03
# OS:       Windows 10 Home
# Cleaned:  7
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKLM\System\Setup\FirstBoot\Services\WCAssistantService
Deleted       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2141 octets] - [17/10/2021 21:23:37]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
 

~ ZHPCleaner v2021.10.10.332 by Nicolas Coolman (2021/10/10)
~ Run by filip (Administrator)  (17/10/2021 21:29:47)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scan
~ Report : C:\Users\filip\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\filip\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point :
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 19043)


---\\  Alternate Data Stream (ADS). (0)
~ No malicious or unnecessary items found.


---\\  Services (0)
~ No malicious or unnecessary items found.


---\\  Browser internet (1)
FOUND data: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : 127.0.0.1;localhost;]  =>Hijacker.Proxy


---\\  Hosts file (1)
~ The hosts file is legitimate (21)


---\\  Scheduled automatic tasks. (0)
~ No malicious or unnecessary items found.


---\\  Explorer ( File, Folder) (10)
FOUND file: C:\Users\filip\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>ChromiumPreference
FOUND file: C:\Users\filip\AppData\Local\Comodo\Dragon\User Data\Default\Preferences    =>ChromiumPreference
FOUND file: C:\Users\filip\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>ChromiumPreference
FOUND file: C:\Windows\Prefetch\POPCORN-TIME.EXE-D8BEFBD6.pf    =>.SUP.PopcornTime
FOUND file: C:\ProgramData\KMSAutoS\bin\KMSSS.exe [MDL Forum, mod by Ratiborus - KMS Server Emulator Service (XP)]  =>HackTool.AutoKMS
FOUND file: C:\ProgramData\KMSAutoS\kmsauto.ini    =>HackTool.WinActivator
FOUND folder: C:\ProgramData\KMSAutoS\bin  =>HackTool.WinActivator
FOUND folder: C:\ProgramData\KMSAutoS  =>HackTool.WinActivator
FOUND file: C:\Users\filip\AppData\Local\MSfree Inc\kmsauto.ini    =>HackTool.WinActivator
FOUND folder: C:\Users\filip\AppData\Local\MSfree Inc  =>HackTool.WinActivator


---\\  Registry ( Key, Value, Data) (2)
FOUND key: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\00AF148102104E15CBB50E86D078D96A [C:\Program Files\Autodesk\3ds Max 2021\ApplicationPlugins\MAXtoA\materialx\stdlib\genosl\mx_magnitude.inline]  =>PUP.Optional.LinkiDoo
FOUND key: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} [ASUSTeK Computer Inc.]  =>Heuristic.Suspect


---\\  Summary of the elements found (7)
https://nicolascoolman.eu/2017/04/03/hijacker-proxy/ =>Hijacker.Proxy
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/ =>ChromiumPreference
https://nicolascoolman.eu/2017/02/26/superfluous-popcorntime/ =>.SUP.PopcornTime
https://nicolascoolman.eu/2017/02/02/hacktool-autokms/ =>HackTool.AutoKMS
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/ =>HackTool.WinActivator
https://nicolascoolman.eu/forum/Topic/linkidoo-logiciel-potentiellement-indesirable-pup-lpi/ =>PUP.Optional.LinkiDoo
https://nicolascoolman.eu/2017/01/28/heuristic-suspect/ =>Heuristic.Suspect


---\\ Result of repair
~ Any repair made
~ Comodo Dragon OK
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ Statistics
~ Items scanned : 115238
~ Items found : 18
~ Items cancelled : 0
~ Space saving (bytes) : 0
~ Items options : 9/17


---\\ OPTIONS NOT ACTIVES
~ Temporary file analysis
~ Temporary folder analysis
~ Empty Folder CLSID Analysis
~ Empty Other Folder Analysis
~ Empty LocalLow Folder Analysis
~ Empty Local Folder Analysis
~ Obsolete Installer File Analysis
~ Start browsers with extensions removed

~ End of search in 00h11mn00s

---\\  Reports (0)
ZHPCleaner-[S]-17102021-21_40_47.txt

 

muito obrigado pela ajuda

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Phil01

 

Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop)

roguekiller.exe (x64) << link

  • Feche todos os programas
  • Execute o RogueKiller.exe.
    ** Usuários do Windows Vista, Windows 7, 8, 8.1 e Windows 10:Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em image.png
  • Clique em SCAN
  • Clique no primeiro START "Standard Scan (recommended)" e aguarde o scan...
  • Clique no botão RESULTS
  • Clique na opção REPORT e em EXPORT e selecione a opção Text file...
  • Salve o arquivo na area de trabalho com o nome roguekiller_report

Atente para abrir o arquivo, copiar e colar todo o conteúdo na sua próxima resposta

Link para o comentário
Compartilhar em outros sites

Boa noite Elias,

 

Muito obrigado

Segue conforme solicitado:

 

Program            : RogueKiller Anti-Malware
Version            : 15.1.1.0
x64                : Yes
Program Date       : Oct  7 2021
Location           : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : Yes
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19043) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : filip
User is Admin      : Yes
Date               : 2021/10/19 10:03:35
Type               : Scan
Aborted            : No
Scan Mode          : Standard
Duration           : 258
Found items        : 17
Total scanned      : 65143
Signatures Version : 20211018_080802
Truesight Driver   : Yes
Updates Count      : 0
Arguments          : -minimize

************************* Warnings *************************

************************* Updates *************************

************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************
[PUP.Iolo (Potentially Malicious)] \Live Boost Process Governor -- C:\Program Files (x86)\Phoenix360\System Mechanic\x64\LBgovernor.exe -> Found

************************* Registry *************************
>>>>>> XX - Software
└── [PUP.Iolo (Potentially Malicious)] (X64) HKEY_USERS\S-1-5-21-3401686264-2777813322-2188102425-1001\Software\Phoenix360 -- N/A -> Found
>>>>>> O87 - Firewall
├── [PUP.Popcorn (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{1CBBC10C-FAEA-43E3-BA46-E0D167BDCD44}C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe|Name=popcorn-time.exe|Desc=popcorn-time.exe|Defer=User| (missing) -> Found
├── [PUP.Popcorn (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{CB300F2C-68CB-4515-980E-E80D2381CAC1}C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe|Name=popcorn-time.exe|Desc=popcorn-time.exe|Defer=User| (missing) -> Found
├── [Suspicious.Path (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{EBAFDFE0-1388-45D8-B7A4-E77DC9FBF480}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe|Name=node.exe|Desc=node.exe|Defer=User| (missing) -> Found
├── [Suspicious.Path (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{C3DB5F7B-C818-4690-865D-C88F37782AE0}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe|Name=node.exe|Desc=node.exe|Defer=User| (missing) -> Found
├── [Suspicious.Path (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{FDE94DA4-94EE-4EDF-B566-6E85FF34FA6C}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe|Name=node.exe|Desc=node.exe|Defer=User| (missing) -> Found
├── [Suspicious.Path (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{98418954-EF5D-4955-8CED-FDD061B25E8F}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe|Name=node.exe|Desc=node.exe|Defer=User| (missing) -> Found
├── [Suspicious.Path (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{7A03EEC8-9D55-4628-BCFD-6F93D21B2427}C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe|Name=stremio-runtime.exe|Desc=stremio-runtime.exe|Defer=User| (missing) -> Found
└── [Suspicious.Path (Potentially Malicious)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{E6DF71C1-8FB2-417D-B8BE-01D44CC0F7A4}C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe|Name=stremio-runtime.exe|Desc=stremio-runtime.exe|Defer=User| (missing) -> Found

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************
[MalPE.99 (Potentially Malicious)] (file) ZA-Scan.exe -- C:\Users\filip\Desktop\ZA-Scan.exe -> Found
[MalPE.99 (Potentially Malicious)] (file) zoek.exe -- C:\Users\filip\Desktop\zoek.exe -> Found
[PUP.Iolo (Potentially Malicious)] (folder) Phoenix360 -- C:\Users\filip\AppData\Roaming\Phoenix360 -> Found
[MalPE.97 (Potentially Malicious)] (file) zoek-delete.exe -- C:\Users\filip\AppData\Local\Temp\zoek-delete.exe -> Found
[PUP.Iolo (Potentially Malicious)] (folder) Phoenix360 -- C:\Program Files (x86)\Phoenix360 -> Found
[MalPE.99 (Potentially Malicious)] (file) ZA-Scan.exe -- C:\Users\filip\Desktop\ZA-Scan.exe -> Found
[MalPE.99 (Potentially Malicious)] (file) zoek.exe -- C:\Users\filip\Desktop\zoek.exe -> Found

************************* Web Browsers *************************

************************* Antirootkit *************************

Link para o comentário
Compartilhar em outros sites

  • 2 semanas depois...

Ola Elias,
Como vai?

segue conforme orientado

Program            : RogueKiller Anti-Malware
Version            : 15.1.1.0
x64                : Yes
Program Date       : Oct  7 2021
Location           : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : Yes
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.22000) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : filip
User is Admin      : Yes
Date               : 2021/11/01 09:08:58
Type               : Removal
Aborted            : No
Scan Mode          : Standard
Duration           : 231
Found items        : 12
Total scanned      : 61812
Signatures Version : 20211018_080802
Truesight Driver   : Yes
Updates Count      : 0
Arguments          : -minimize

************************* Warnings *************************

************************* Removal *************************
[PUP.Iolo (Potentially Malicious)] \Live Boost Process Governor -- C:\Program Files (x86)\Phoenix360\System Mechanic\x64\LBgovernor.exe -> Deleted
  [+] scan_what       : 0
  [+] vendors         : PUP.Iolo
  [+] Name            : \Live Boost Process Governor
  [+] value           : C:\Program Files (x86)\Phoenix360\System Mechanic\x64\LBgovernor.exe
  [+] Type            : Task
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 0
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1

[PUP.Iolo (Potentially Malicious)] HKEY_USERS\S-1-5-21-3401686264-2777813322-2188102425-1001\Software\Phoenix360 --  -> Deleted
  [+] scan_what       : 2
  [+] vendors         : PUP.Iolo
  [+] Name            : HKEY_USERS\S-1-5-21-3401686264-2777813322-2188102425-1001\Software\Phoenix360
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 1
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1

[PUP.Popcorn (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{CB300F2C-68CB-4515-980E-E80D2381CAC1}C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe -- [%localappdata%\popcorn-time\popcorn-time.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : PUP.Popcorn
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{CB300F2C-68CB-4515-980E-E80D2381CAC1}C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe
  [+] value           : [%localappdata%\popcorn-time\popcorn-time.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 2
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1

[PUP.Popcorn (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{1CBBC10C-FAEA-43E3-BA46-E0D167BDCD44}C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe -- [%localappdata%\popcorn-time\popcorn-time.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : PUP.Popcorn
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{1CBBC10C-FAEA-43E3-BA46-E0D167BDCD44}C:\users\filip\appdata\local\popcorn-time\popcorn-time.exe
  [+] value           : [%localappdata%\popcorn-time\popcorn-time.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 3
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1

[Suspicious.Path (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{7A03EEC8-9D55-4628-BCFD-6F93D21B2427}C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe -- [%localappdata%\programs\lnv\stremio-4\stremio-runtime.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Suspicious.Path
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{7A03EEC8-9D55-4628-BCFD-6F93D21B2427}C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe
  [+] value           : [%localappdata%\programs\lnv\stremio-4\stremio-runtime.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 4
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Suspicious.Path (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{E6DF71C1-8FB2-417D-B8BE-01D44CC0F7A4}C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe -- [%localappdata%\programs\lnv\stremio-4\stremio-runtime.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Suspicious.Path
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{E6DF71C1-8FB2-417D-B8BE-01D44CC0F7A4}C:\users\filip\appdata\local\programs\lnv\stremio-4\stremio-runtime.exe
  [+] value           : [%localappdata%\programs\lnv\stremio-4\stremio-runtime.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 5
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Suspicious.Path (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{98418954-EF5D-4955-8CED-FDD061B25E8F}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- [%localappdata%\programs\lnv\stremio-4\node.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Suspicious.Path
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{98418954-EF5D-4955-8CED-FDD061B25E8F}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe
  [+] value           : [%localappdata%\programs\lnv\stremio-4\node.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 6
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Suspicious.Path (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{FDE94DA4-94EE-4EDF-B566-6E85FF34FA6C}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- [%localappdata%\programs\lnv\stremio-4\node.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Suspicious.Path
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{FDE94DA4-94EE-4EDF-B566-6E85FF34FA6C}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe
  [+] value           : [%localappdata%\programs\lnv\stremio-4\node.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 7
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Suspicious.Path (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{EBAFDFE0-1388-45D8-B7A4-E77DC9FBF480}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- [%localappdata%\programs\lnv\stremio-4\node.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Suspicious.Path
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{EBAFDFE0-1388-45D8-B7A4-E77DC9FBF480}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe
  [+] value           : [%localappdata%\programs\lnv\stremio-4\node.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 8
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Suspicious.Path (Potentially Malicious)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{C3DB5F7B-C818-4690-865D-C88F37782AE0}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe -- [%localappdata%\programs\lnv\stremio-4\node.exe] -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Suspicious.Path
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{C3DB5F7B-C818-4690-865D-C88F37782AE0}C:\users\filip\appdata\local\programs\lnv\stremio-4\node.exe
  [+] value           : [%localappdata%\programs\lnv\stremio-4\node.exe]
  [+] Type            : Registry
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 9
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[PUP.Iolo (Potentially Malicious)] Phoenix360 -- %_filip_appdata%\Phoenix360 -> Deleted
  [+] scan_what       : 1
  [+] vendors         : PUP.Iolo
  [+] Name            : Phoenix360
  [+] value           : %_filip_appdata%\Phoenix360
  [+] Type            : File/Folder
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 10
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1

[PUP.Iolo (Potentially Malicious)] Phoenix360 -- %programfiles(x86)%\Phoenix360 -> Deleted
  [+] scan_what       : 1
  [+] vendors         : PUP.Iolo
  [+] Name            : Phoenix360
  [+] value           : %programfiles(x86)%\Phoenix360
  [+] Type            : File/Folder
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 11
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1




abs

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Phil01

 

  1. Clique no menu Iniciar, e após isso clique com o botão direito do mouse sob Este computador e selecione a opção Propriedades.
  2. Em Propriedades, selecione a opção Configurações avançadas do sistema.
  3. Vá na aba Proteção do Sistema, e em Restauração do Sistema, vá na opção Criar.
    OBS: Atente para a correta criação do ponto de restauração
    fce2f587-5556-456b-93d4-00966ae7f59d
  4. Depois basta seguir as instruções em tela, para criar seu ponto de restauração.
    OBS: Lembre-se de colocar um nome de fácil entendimento para uma posterior restauração a partir deste ponto.

Pressione as teclas Windows conheca-atalhos-de-teclado-para-dominar-o-windows-8-2.jpg + R e digite: msconfig 
- Clique na guia Serviços, marque a opção Ocultar todos os serviços Microsoft e depois clique em Desativar tudo
- Clique na guia Inicialização de Programas e clique em Abrir Gerenciador de Tarefas
- Clique com o botão direito em cada entrada da inicialização e clique em Desabilitar/Desativar.

Volte para a tela de Configurações do Sistema e clique em Aplicar e depois em OK

Siga as mensagens ate que seja solicitado a reiniciar.

Me informe se tudo ok ou se ocorreu algum problema.

Link para o comentário
Compartilhar em outros sites

Ola Elias,

Boa tarde, tudo bem?

Acabei de fazer o que você solicitou e aparentemente esta tudo normal. Por favor porque você solicitou para eu fazer isso? O que você notou de estranho?

você acredita que alguém esteja com acesso remoto no meu PC?

Muito obrigado  pela ajuda

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança
Em 06/11/2021 às 23:57, Phil01 disse:

Acabei de fazer o que você solicitou e aparentemente esta tudo normal. Por favor porque você solicitou para eu fazer isso? O que você notou de estranho?

Normalmente eu solicito esse passo, pois muitas vezes ficam sujeira na inicialização dos serviços e programas. 

 

Em 06/11/2021 às 23:57, Phil01 disse:

você acredita que alguém esteja com acesso remoto no meu PC?

Acredito que não. Você notou algo diferente estes últimos dias?

Link para o comentário
Compartilhar em outros sites

  • 2 semanas depois...

Me desuclpe a demora da resposta.

 

Estou evitando usar o laptop. Eu acredito que alguém tenha feito um ataque na mesma rede que uso.
Agora acredito que alguém esteja com acesso remoto no meu notebook. O que acaba dificultando a identificao por virus.

 

não sei se tem como identificar isso.

 

Alguns arquivos foram deletados. As x o computador fica lento. As x tento identificar os processos em execucao em background e fica abrindo e fechando processo.

 

não sei se existe alguma forma de fechar portas....

 

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Phil01

 

8 horas atrás, Phil01 disse:

Alguns arquivos foram deletados. As x o computador fica lento. As x tento identificar os processos em execucao em background e fica abrindo e fechando processo.

Isso por si só não é motivo para tal desconfiança. Lentidão pode ser por hardware danificado, caso o software esteja ok. Processos são startados e fechados a cada minuto. Isso é algo normal do sistema operacional.

 

Poste mais um logo do RogueKiller, por gentileza.

Link para o comentário
Compartilhar em outros sites

Program            : RogueKiller Anti-Malware
Version            : 15.1.1.0
x64                : Yes
Program Date       : Oct  7 2021
Location           : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.22000) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : filip
User is Admin      : Yes
Date               : 2021/11/28 09:28:49
Type               : Scan
Aborted            : No
Scan Mode          : Standard
Duration           : 136
Found items        : 0
Total scanned      : 62790
Signatures Version : 20211018_080802
Truesight Driver   : Yes
Updates Count      : 0

************************* Warnings *************************

************************* Updates *************************

************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************

************************* Registry *************************

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************

************************* Web Browsers *************************

************************* Antirootkit *************************

o botao que eu tinha na bandeija do windows para ligar o bluetooth desapareceu. Agora não estou conseguindo ligar o bluetooh...

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Phil01

 

Esse ultimo processo não removeu nada.

 

Em relação a malwares, não temos mais problemas.

MANTENHA O SO ATUALIZADO:
Mantenha como "automatica" as atualizações do windows. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.

Se não tiver mais problema em relação a malwares, clique em Denunciar Post localizado no topo da pagina e diga que seu topico está RESOLVIDO. Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do CdH.

Link para o comentário
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

minicurso-montagem-popup.jpg

MINICURSO GRÁTIS!

Como ganhar dinheiro montando computadores!

CLIQUE AQUI E INSCREVA-SE AGORA MESMO!