Possível infecção no PC

[gustavoomt]

Bom dia,

 

Seguindo meu tópico:

 

Realmente algo ocorreu, após receber a confirmação de login do Steam Guard, não percebi nada de anormal, porém hoje, ao acordar, percebi muita coisa de errado, duas delas são as mais preocupantes:

 

• Meu instagram estava seguindo 500 novas pessoas que não conheço;
• Minha conta da epic games, teve o email alterado para um email de dominio: rambler.ru

 

Poderiam me instruir por favor a analisar todo o PC para ter certeza que não estou com nenhum vírus?

 

O que já fiz:

 

• Scan com malwarebytes - Não encontrou nada;
• Scan com ADWCleaner - Encontrou uma ameaça somente;
• Scan com SuperaAntiSpyware - Encontrou diversos cookies maliciosos;
• Troca de todas as senhas.

 

Obrigado.

[Lusitano]

@gustavoomt

 

Prezado,

Algumas regras básicas a ter em conta:

• Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
• Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
• Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
• Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
• Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
• Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware. <= Siga as instruções descritas nesse tópico!
• Na sua próxima resposta, por gentileza coloque o que lhe foi pedido no Manual de uso do setor Remoção de malware (link acima).

[gustavoomt]

@Lusitano Desculpe a negligência, abri o tópico e fui aos afazeres XD

 

Segue anexo o log.

ZA-Scan.txt

[Lusitano]

@gustavoomt

Olá,

 

O que você menciona no seu outro tópico acerca do rumbler [ponto] ru, está associado a malware com sintomas de hijacking no browser, tal como você refere que tem.

No entanto, o resultado da análise que você anexou, não mostra isso.

 

Vamos necessitar de fazer uma análise mais detalhada.

 

• Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.
• Por favor anexe esses logs na sua próxima resposta ao tópico.

 

Abraço

[gustavoomt]

@Lusitano 

Segue anexo amigo.

 

Sim, eu estava preocupado e não peguei os registros do Superantispyware, mas ao que me lembro eram 17 cookies infectados, no desespero removi todos, vou verificar se foi gerado algum log. 

 

Addition.txt FRST.txt

[Lusitano]

@gustavoomt Não se preocupe com o Superantispyware nem com os cookies, isso é o que menos nos preocupa agora. Depois, se necessário eu explico

 

Quanto aos logs, eu vou analisar. Seja paciente e aguarde. Algumas análises demoram bastante tempo, dependendo da complexidade do malware. Retornarei ao tópico o mais rápido que for possível.

 

Abraço

@gustavoomt

Prezado, o seu computador contém programas que violam as regras!

Citação

2 - Conteúdos relacionados à pirataria ou que violem, de qualquer forma, direitos autorais, contratuais e/ou de propriedade intelectual/industrial. É expressamente proibida a discussão e/ou criação de tópicos relacionados a torrents, P2P e programas similares para o compartilhamento de arquivos ou streaming, independentemente da forma de expressão utilizada.

 

Nomeadamente este software qbittorrent.

Sugiro que esse programa seja removido, mas a decisão é sua.

Se optar por remover, poderemos dar continuidade a este tópico. Se optar por manter esse software, teremos de dar por encerrado este tópico.

 

Fico aguardando que me informe sobre qual a sua decisão e lembre-se que eu tenho forma de verificar se de fato esse software foi removido

 

Abraço

[gustavoomt]

@Lusitano

Olá,

 

Removido amigo, podemos seguir por gentileza.\

 

Obrigado. 

[Lusitano]

@gustavoomt Boa decisão. Evite a utilização desse tipo de programas, para além de circularem lá programas ilegais, são uma fonte muito grande de malwares!

 

Na análise dos resultados, verifico restrições GroupPolicy. Antes de poder seguir com instruções, necessito que me informe se tem politicas configuradas, geralmente em computadores empresariais isso se verifica.

 

abraço

[gustavoomt]

@Lusitano

Possuo uma GPO para bloquear a atualização para o Windows 11, se faz necessário a desativação?

[Lusitano]

@gustavoomtNão necessita alterar. Eu perguntei precisamente para saber se tinha sido você a fazer, porque alguns malwares alteram isso.

 

Instruções:

• Temporariamente desative o seus programas de proteção (antivirus), para garantir que não interferem com a execução destes procedimentos. Lembre-se de o ativar novamente mais tarde.
• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automáticamente.

Start::
 
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2175380699-2852125328-1652107485-1001\...\Run: [InputMapper] => "C:\Program Files (x86)\DSDCS\InputMapper 1.7\InputMapper.exe" (Nenhum Arquivo)
ShortcutTarget: Peace.lnk -> C:\Program Files\EqualizerAPO\config\Peace.exe (Nenhum Arquivo)
CHR Profile: C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default [2021-11-16]
CHR Extension: (Apresentações) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2020-12-08]
CHR Extension: (Documentos) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2020-12-08]
CHR Extension: (Google Drive) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2020-12-08]
CHR Extension: (YouTube) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2020-12-08]
CHR Extension: (uBlock Origin) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2021-06-12]
CHR Extension: (Dark Reader) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\eimadpbcbfnmbkopoojfekhnkhdbieeh [2021-09-20]
CHR Extension: (Planilhas) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2020-12-08]
CHR Extension: (Documentos Google off-line) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2021-03-15]
CHR Extension: (Pagamentos da Chrome Web Store) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2021-02-19]
CHR Extension: (Gmail) - C:\Users\gusta\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2020-12-08]
FirewallRules: [TCP Query User{9B76DFBB-BE0D-4358-B719-D51785B36E0E}C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.449\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.449\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{9CD8E4E0-438D-422D-8345-156314897383}C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.449\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.449\opera.exe => Nenhum Arquivo
FirewallRules: [{DD14DC6F-642B-4E74-869F-938AFAC24BCB}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\Apex Legends\EasyAntiCheat_launcher.exe => Nenhum Arquivo
FirewallRules: [{CFE51B21-F570-4CD8-AA4A-E24515A139C6}] => (Allow) D:\Program Files (x86)\Steam\steamapps\common\Apex Legends\EasyAntiCheat_launcher.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{FA42DE47-1286-4F65-BFF3-15C107A1B6E9}C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.456\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.456\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{15F7154A-CA6D-4EC5-B11D-2AEE1147CBDA}C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.456\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\71.0.3770.456\opera.exe => Nenhum Arquivo
FirewallRules: [{C7956E00-3214-4DF9-B258-B8865A59EC04}] => (Allow) D:\Program Files (x86)\qBittorrent\qbittorrent.exe () [Arquivo não assinado]
FirewallRules: [{97C3FC53-E90D-4EAE-9CF4-486A7A9D3E7E}] => (Allow) D:\Program Files (x86)\qBittorrent\qbittorrent.exe () [Arquivo não assinado]
FirewallRules: [TCP Query User{D8705C66-95F8-4EA1-A1E4-1389EB6F3E7C}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.450\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.450\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{9990710C-A8AE-417D-846D-9924996007F6}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.450\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.450\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{F7DE3AE9-00C7-4B31-95EF-952FEA2E98A6}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.454\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.454\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{F14D3473-5B91-433F-8F67-8C90A5384C85}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.454\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.454\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{00AA92CA-667F-4CB8-B37A-B9C24D3D36E6}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.459\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.459\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{F4D5A6A1-6D56-46AD-B495-4142DDCE3A2E}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.459\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.459\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{7CFCD8B0-7534-46F8-9F09-EC98A86888E0}C:\users\gusta\appdata\local\programs\lnv\stremio-4\node.exe] => (Allow) C:\users\gusta\appdata\local\programs\lnv\stremio-4\node.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{2BB731C7-C1DC-4D4F-9FF1-C62F4652D90C}C:\users\gusta\appdata\local\programs\lnv\stremio-4\node.exe] => (Allow) C:\users\gusta\appdata\local\programs\lnv\stremio-4\node.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{8761FA9D-33C7-46DD-A8EB-960418C009FB}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.465\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.465\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{F6DC7AEE-A22F-40E3-80BC-47075FB0C22B}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.465\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.465\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{15BFF838-02DC-4D7B-8E7B-64F5B661D2D6}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.473\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.473\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{9ECED2AC-18FF-403B-9348-96C5F34D9564}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.473\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.473\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{FFB8059A-A8FC-4EC9-96E9-8477F5DBCA5C}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.487\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.487\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{73D263B3-E7F9-4927-B867-55DA4D93D009}C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.487\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\72.0.3815.487\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{947E729B-68AB-49F2-B5BD-BAF6771F2CDA}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.396\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.396\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{0B0AE1C3-7087-4582-98DE-898C20575486}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.396\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.396\opera.exe => Nenhum Arquivo
FirewallRules: [{3DE58ADB-D656-4AB1-AF6A-76861EE04A5B}] => (Allow) C:\Ongame\PointBlank\PointBlank.exe => Nenhum Arquivo
FirewallRules: [{1D9349E0-3A55-4ED9-B6B6-839DE83AD74A}] => (Allow) C:\Ongame\PointBlank\PointBlank.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{F03CF4FA-2AEA-48B0-ABF8-403106598CEE}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{00433B7F-96D2-4A6A-A12B-9CA388DC0584}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{73F33930-2379-4A69-9783-4C2FB95593D2}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{19E1CFEF-5A05-4102-9D7C-19E665F3C176}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Nenhum Arquivo
FirewallRules: [{DD5A4E71-5D9F-40A1-B494-87E617CA950D}] => (Allow) c:\program files (x86)\exitlag\exitlag.exe => Nenhum Arquivo
FirewallRules: [{7CC53549-6DA1-40E2-A38A-0EC63777812E}] => (Allow) c:\program files (x86)\exitlag\exitlag.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{09D50F8C-64B1-4F17-AEA4-641954CC917E}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{2E27FE32-03E4-42C1-9431-D65513AB65B1}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Nenhum Arquivo
FirewallRules: [{D713669B-7FDF-41BB-B5BC-D1415E565642}] => (Allow) C:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Nenhum Arquivo
FirewallRules: [{4B5A88D9-8DA5-4A61-B15A-3FCF07547B49}] => (Allow) C:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{A56FAD94-C3FF-412F-BE5A-45EA8D1B8F2A}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E56499DA-FE89-45D0-B0C8-F8AA3B8FC55B}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{9C0503C2-67BA-47C9-A9A4-836835407A22}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.421\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.421\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{62A74E30-66C5-42C3-B032-8AA8FE49CE4E}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.421\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.421\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{AB706ECB-493E-40FC-8BE3-4B7F109B0FF7}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.424\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.424\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{6C027744-318F-4B63-8697-22EDFD721C06}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.424\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.424\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{1F82E0AC-7B4E-4BBE-B909-F205B83856ED}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.427\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.427\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{21C412BE-0B1A-449C-9BCB-3CDDF3163590}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.427\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.427\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{62DFF5C2-639B-43CA-B01D-64FD8C69EBFD}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.434\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.434\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{2FB733F5-5C5C-4B57-9388-27380A6AE684}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.434\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.434\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{787CC1FD-A413-4062-A2D9-FCB7BEB7406D}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.438\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.438\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{185C4491-BD2A-40A1-930F-EE9B0E9264A8}C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.438\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\73.0.3856.438\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{5B602F28-AD31-4FAA-BCE3-5A43969C6683}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.259\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.259\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{304D1399-2A7E-482F-8EF6-D026145F2044}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.259\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.259\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{9538574C-E284-4DD0-9785-9C2D0850A0A9}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.267\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.267\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{ED2F40F0-1F1B-4EE7-8687-987B00117861}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.267\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.267\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{09CD87D6-443F-4BDD-B6C7-7574738E78E6}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.279\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.279\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{677A21E9-EF85-4A07-B0CD-9C66520DEC4F}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.279\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.279\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{5CF58FD2-8DED-443B-9952-591D2F37F73D}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.282\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.282\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{03A36A4A-7EA1-4336-9B73-A2F9F465DE47}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.282\opera.exe] => (Allow) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.282\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{DCCE911A-B780-48DB-B925-2D9C296C9272}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.285\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.285\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{CD522866-1908-491E-9E97-560B20D45EBB}C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.285\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\75.0.3969.285\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{5908B70E-F186-4EB6-8C65-52EC742A57EC}D:\program files (x86)\epic games\overcooked2\overcooked2.exe] => (Allow) D:\program files (x86)\epic games\overcooked2\overcooked2.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{D3B87B4B-64C1-46B6-BEAF-AE8180C1991D}D:\program files (x86)\epic games\overcooked2\overcooked2.exe] => (Allow) D:\program files (x86)\epic games\overcooked2\overcooked2.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{98A9BEC9-34DE-4519-BC7D-3A3238CABC03}C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.208\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.208\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{3F1009AD-E010-4CF3-956C-4BF8EA8C9656}C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.208\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.208\opera.exe => Nenhum Arquivo
FirewallRules: [{6437AA77-64F1-4F98-A478-6F2C489FE739}] => (Allow) C:\Users\gusta\AppData\Local\Temp\scoped_dir7824_922792747\tenorshare-4ddig-for-windows.exe => Nenhum Arquivo
FirewallRules: [{81A67CFB-41A8-4FD9-A213-E598427A3656}] => (Allow) C:\Users\gusta\AppData\Local\Temp\scoped_dir7824_922792747\tenorshare-4ddig-for-windows.exe => Nenhum Arquivo
FirewallRules: [{78098366-CE46-42F3-97F3-6C7F9E31DABC}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{EDD9A8C9-76A6-412B-BF76-BDFC8ADA9AB9}C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.227\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{922D3606-7EE0-4175-84D9-428BEC8DEFDD}C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.227\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{4A3A6798-06E7-46C5-80A8-5DB0267E5882}C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.257\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.257\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{CBC89EA6-6859-430A-99F3-7DF1C7DCD2E8}C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.257\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.257\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{FFF901EA-BA12-406A-B0E2-380B7A941597}C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.275\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.275\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{1B1C0E05-3BD2-4648-B244-43817CBE2812}C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.275\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\77.0.4054.275\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{40726EE4-1058-4159-86C9-7848D63AE034}C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.153\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.153\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{4D5D5760-2E3C-45D9-B780-00D707A479CC}C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.153\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.153\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{974B8FD6-CD41-42D8-B9F9-1ECAC7965B0B}C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.186\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.186\opera.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{B939FF93-BEB9-4A38-9DE8-3F0D1E23C262}C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.186\opera.exe] => (Block) C:\users\gusta\appdata\local\programs\opera gx\78.0.4093.186\opera.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{5E4CA825-8981-479B-852B-8CF3D8592072}D:\program files (x86)\Steam\steamapps\common\battlefield 2042 open beta\bf.exe] => (Allow) D:\program files (x86)\Steam\steamapps\common\battlefield 2042 open beta\bf.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{A4E44996-BC9E-42AB-A0C0-0F514BC634E1}D:\program files (x86)\Steam\steamapps\common\battlefield 2042 open beta\bf.exe] => (Allow) D:\program files (x86)\Steam\steamapps\common\battlefield 2042 open beta\bf.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{075C046B-A7E5-4945-B752-AF41C3C597BA}D:\program files (x86)\ultimaker cura 4.11.0\cura.exe] => (Allow) D:\program files (x86)\ultimaker cura 4.11.0\cura.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{607329CE-CD38-483F-B777-6FB4686FBCE7}D:\program files (x86)\ultimaker cura 4.11.0\cura.exe] => (Allow) D:\program files (x86)\ultimaker cura 4.11.0\cura.exe => Nenhum Arquivo
EmptyTemp:
Reboot:
 
End::

ATENÇÃO: Este script foi especificamente elaborado para este PC. Executá-lo em outra máquina, poderá causar danos ao seu sistema operativo!

• Clique em Corrigir
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Por favor anexe esse arquivo na sua próxima resposta

 

 

[gustavoomt]

@Lusitano

Segue log amigo.

Fixlog.txt

[Lusitano]

@gustavoomt

Estamos quase, apenas falta removermos algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no seu uso regular do PC e verificar se tudo está mesmo ok.

 

1. Faça o download de KpRm e salve no seu desktop.

• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt).
• Copie e cole esse conteúdo na sua próxima resposta.

 

Eu gostaria que nos certificássemos que nada resta no seu PC. Para isso:

• Faça o download ESET Online Scanner e salve no seu Desktop
• Clique direito em esetonlinescanner_enu.exe e execute como administrador
• Clique em Computer Scan
• Clique em Full scan
• Selecione Enable ESET to detect and quarantine potentially unwanted applications
• Clique em Start scan
• Quando terminar, salve o resultado no seu desktop como ESETScan.txt
• Clique Continue e depois em Close
• Anexe o arquivo ESETScan.txt

[gustavoomt]

@Lusitano

Boa noite,

 

Finalizei os passos, segue:

 

# Run at 16/11/2021 18:17:55
# KpRm (Kernel-panik) version 2.9.2
# Website https://kernel-panik.me/tool/kprm/
# Run by gusta from C:\Users\gusta\Desktop
# Computer Name: DESKTOP-92R3UFK
# OS: Windows 10 X64 (19043) 
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point
    ~ Delete Quarantines

- Create Registry Backup -

   ~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\gusta\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2021-11-16-18-17-55

- Delete Tools -


  ## AdwCleaner
     [OK] C:\Users\gusta\Desktop\adwcleaner_8.3.0 (1).exe deleted
     [OK] C:\Users\gusta\Desktop\adwcleaner_8.3.0.exe deleted
     [OK] C:\AdwCleaner deleted

  ## FRST
     [OK] C:\Users\gusta\Desktop\Addition.txt deleted
     [OK] C:\Users\gusta\Desktop\Fixlog.txt deleted
     [OK] C:\Users\gusta\Desktop\FRST.txt deleted
     [OK] C:\Users\gusta\Desktop\FRST64.exe deleted
     [OK] C:\FRST deleted

  ## Zoek
     [OK] C:\Users\gusta\Desktop\zoek\zoek.exe deleted
     [OK] C:\zoek_backup deleted

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named Removed Nefarius Virtual Gamepad Emulation Bus Driver created at 11/16/2021 12:06:45 deleted
   ~ [OK] RP named Removed Nefarius Software Solutions e.U. HidHide (x64) created at 11/16/2021 12:06:55 deleted
   ~ [OK] RP named Removed Verificação de integridade do PC Windows created at 11/16/2021 12:07:12 deleted
   ~ [OK] RP named Instalador de Módulos do Windows created at 11/16/2021 17:09:35 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ [I] RP named KpRm created at 11/16/2021 21:18:22

-- KPRM finished in 36.13s --

 

 

Creio que agora esteja ok, confirmando isso, acha interessante trocar novamente as senhas? Eu padronizei todas as 2FAs no google authenticator. 

ESETScan.txt

[Lusitano]

@gustavoomt

Citação

acha interessante trocar novamente as senhas? Eu padronizei todas as 2FAs no google authenticator

Está excelente assim, não creio ser necessário estar a trocar as senhas. Mas é bom não manter as mesmas senhas durante muito tempo.

 

No mais, o seu PC está livre de malwares e com um novo ponto de restauração limpo, caso venha a necessitar dele.

Faça uma utilização responsável, mantenha os seus programas devidamente atualizados e MUITO importante também: faça backups regulares e salve-os em diferentes locais (HD externo, cloud, etc.)

 

Caso não necessite de mais nada, por gentileza me avise para encerrarmos este tópico.

Abraço

[gustavoomt]

@Lusitano

Perfeito, eu tomo maior cuidado com essas coisas, literalmente não faço ideia de onde posso ter contraído esse malware, mas importante que não há mais nada XD

 

Muito obrigado de verdade, seu conhecimento é importantíssimo para a área e resolveu meu problema.

 

Favor encerrar o tópico.

 

Obrigado.

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

[Lusitano]

Tópico reaberto a pedido do autor.

[gustavoomt]

@Lusitano 

Bom dia,

 

Ontem por volta das 23h, meu Twitter teve informações alteradas, precisamente nome e foto e houve posts em nome do perfil.

 

O nome do perfil foi alterado para Shib e estava disparando links relacionados à essa criptomoeda.

 

Há possibilidade de ainda ter vestígios no PC? 

[Lusitano]

Em 16/11/2021 às 18:07, Lusitano disse:

@gustavoomt

 

• Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.
• Por favor anexe esses logs na sua próxima resposta ao tópico.

 

Abraço

Por gentileza, execute novamente o acima descrito para eu analisar.

[gustavoomt]

@Lusitano

Segue anexo.

Addition.txt FRST.txt

[Lusitano]

@gustavoomt Consegue por gentileza tirar um print screen com esse Shiba e onde possa ver esses links? Envie depois por anexo aqui neste topico.

 

abraço

[gustavoomt]

@Lusitano

No acabei apagando, mas consegui encontrar em outro perfil exatamente o mesmo link:

 

 

Foi exatamente assim, postou o link, fez esse comentário e na sequencia recebi diversas curtidas nesse tweet com perfis violados. 

[Lusitano]

@gustavoomt Baixe e execute isto

Informe-me depois se algo foi detetado.

 

Entretanto, e vejo que você tem muito software ligado a jogos, eu não recomendaria que você utilizasse o Opera GX e poderá ler mais sobre isso aqui
 

[gustavoomt]

@Lusitano

 

Não encontrou nada, apenas esse aviso de dispositivos vulneráveis, desconsidero? 

 

No mais, já estou migrando novamente para o Chrome, não tinha conhecimento sobre o Opera. 

 

Obrigado. 

 

[Lusitano]

@gustavoomt Vulnerabilidades são sempre bem vindas quaisquer correção, já que estará a aumentar a sua proteção.

Mas não creio que seja esse o foco do seu problema.

 

Já que a análise é extremamente exaustiva e complexa e já que a sua opção é remover o operar gx, faça então isso e rode novamente a ferramenta frst e anexo os logs para eu analisar novamente.

Caso necessite de auxilio para remover o opera, avise que o orientarei.

 

Abraço