×
Ir ao conteúdo
  • Cadastre-se

Fiz um scan e gostaria de saber se esse arquivo pode prejudicar meu PC


Posts recomendados

Notei algo estranho nesse arquivo: https://www.virustotal.com/gui/file/e36acf13a518e53727e87f8569a725612800e7dbfc5e77b8550309d9752df1ec/behavior/VirusTotal Jujubox 

enquanto alguns vem apenas como pdf esse veio como: checks-network-adapters checks-user-input detect-debug-environment direct-cpu-clock-access long-sleeps pdf runtime-modules. Gostaria de saber o que esse arquivo faz exatamente. Aqui vai mais alguns detalhes que vi no Virustotal:

 

File System Actions

Files Opened

C:\Windows\system32\kernel32.dll

 

c:\program files (x86)\adobe\reader 9.0\reader\AcroRd32.dll

 

C:\Windows\system32\VERSION.dll

 

c:\program files (x86)\adobe\reader 9.0\reader\AGM.dll

 

C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc

 

c:\program files (x86)\adobe\reader 9.0\reader\CoolType.dll

 

C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d

 

C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d\COMCTL32.dll

 

c:\program files (x86)\adobe\reader 9.0\reader\BIB.dll

 

c:\program files (x86)\adobe\reader 9.0\reader\ACE.dll

Files Written

C:\Users\<USER>\AppData\Local\Adobe\Acrobat\9.0\Cache\AcroFnt09.lst

 

C:\Users\<USER>\AppData\Roaming\Adobe\Acrobat\9.0\AdobeCMapFnt09.lst

 

C:\Users\<USER>\AppData\Roaming\Adobe\Acrobat\9.0\UserCache.bin

 

C:\Users\<USER>\AppData\Local\Adobe\Updater6\AdobeUpdaterPrefs.dat

Files Deleted

C:\Users\<USER>\AppData\Roaming\Adobe\Acrobat\9.0\SharedDataEvents-journal

Registry Actions

Registry Keys Opened

HKLM\Software\Adobe\Acrobat Reader\9.0\ORO

 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher

 

HKLM\System

 

HKLM\System\Acrobatviewercpp304

 

HKLM\Software\Adobe

 

HKCU\Software\Adobe\Acrobat Reader\9.0\Installer\Migrated

 

HKCU\Software\Microsoft\Internet Explorer\Main

 

HKCU\Software\Microsoft\Internet Explorer\Main\FrameTabWindow

 

HKCU\Software\Microsoft\Internet Explorer\Main\FrameMerging

Registry Keys Set

Software\Adobe\Acrobat Reader\9.0\AVGeneral\bLastExitNormal

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\CachePrefix

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History\CachePrefix

{E5018971-D6B3-44FC-A6AE-AD16CE27FDAC}\WpadDecisionReason

{E5018971-D6B3-44FC-A6AE-AD16CE27FDAC}\WpadDecisionTime

{E5018971-D6B3-44FC-A6AE-AD16CE27FDAC}\WpadDecision

{E5018971-D6B3-44FC-A6AE-AD16CE27FDAC}\WpadNetworkName

Registry Keys Deleted

HKLM\System\Acrobatviewercpp304

Process And Service Actions

Processes Created

C:\Program Files (x86)\Common Files\Adobe\Updater6\Adobe_Updater.exe -doActionAppID=reader9rdr-es_ES

Processes Terminated

C:\Program Files (x86)\Common Files\Adobe\Updater6\Adobe_Updater.exe -doActionAppID=reader9rdr-es_ES

Processes Tree

 2144 - c:/program files (x86)/adobe/reader 9.0/reader/acrord32.exe /A pagemode=FullScreen /s /o file.pdf

 2884 - C:\Program Files (x86)\Common Files\Adobe\Updater6\Adobe_Updater.exe -doActionAppID=reader9rdr-es_ES

Synchronization Mechanisms & Signals

Mutexes Created

2AC1A572DB6944B0A65C38C4140AF2F48607513310C

 

Acrobat Instance Mutex

 

lkwTlhlkBl4nLa+RZHh5Ig==

 

5cc/lvbQhsQNME+6NHD/xg==

 

2AC1A572DB6944B0A65C38C4140AF2F4b44004233B0

 

dbaKfjcoZqEY5BO9qnLWOg==

 

2AC1A572DB6944B0A65C38C4140AF2F4b44004233B8

 

Cx7Rk2iEn5RNj416G9273w==

Modules Loaded

Runtime Modules

comctl32.dll

 

c:\program files (x86)\adobe\reader 9.0\reader\rdlang32.esp

 

ADVAPI32.dll

 

ole32.dll

 

API-MS-Win-Core-LocalRegistry-L1-1-0.dll

 

propsys.dll

 

SHELL32.dll

 

API-MS-Win-Security-LSALookup-L1-1-0.dll

 

CRYPTBASE.dll

 

UxTheme.dll

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@daniel gentil Olá,

 

Antes de iniciarmos, algumas regras básicas a ter em conta.

 

  • Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
  • Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
  • Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
  • Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
  • Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
  • Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e as regras específicas para o setor da Remoção de Malware.

 

A análise a esse arquivo no virustotal não mostrou sinais de malware e portanto existe um grande nível de segurança em abrir esse arquivo. Mas, se você não confia na fonte que lhe enviou esse arquivo, poderei analisar esse arquivo. Para isso, se quiser, envie-me esse arquivo em anexo (zipado e com password <= envie por mensagem privada para mim) na sua próxima resposta para que eu o possa analisar mais exaustivamente.

 

Abraço

 

  • Obrigado 1
Link para o comentário
Compartilhar em outros sites

1 hora atrás, Lusitano disse:

@daniel gentil Olá,

 

Antes de iniciarmos, algumas regras básicas a ter em conta.

 

  • Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
  • Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
  • Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
  • Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
  • Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
  • Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e as regras específicas para o setor da Remoção de Malware.

 

A análise a esse arquivo no virustotal não mostrou sinais de malware e portanto existe um grande nível de segurança em abrir esse arquivo. Mas, se você não confia na fonte que lhe enviou esse arquivo, poderei analisar esse arquivo. Para isso, se quiser, envie-me esse arquivo em anexo (zipado e com password <= envie por mensagem privada para mim) na sua próxima resposta para que eu o possa analisar mais exaustivamente.

 

Abraço

 

Embora no virustotal não acuse nenhum vírus na sessão de detalhes diz que esse arquivo faz diversos acessos. Certos arquivos são marcados apenas como pdf, esse arquivo além de ser marcado como pdf também é marcado como: checks-network-adapters, checks-user-input, detect-debug-environment, direct-cpu-clock-access, long-sleeps, runtime-modules.

Por enquanto meu computador não tem apresentado nenhum problema, mas pelo pouco que eu entendi acho que esse arquivo abre portas para o PC. Vou te mandar o arquivo como você orientou. Obrigado pela ajuda.

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Curso de Hacker Ético

LANÇAMENTO!

CLIQUE AQUI E CONFIRA!

* Este curso não é ministrado pela equipe do Clube do Hardware.