×
Ir ao conteúdo
  • Cadastre-se

Possível infecção por spyware


brbruno195

Posts recomendados

Boa tarde!

 

Recentemente alguns programas tem acusado uma possível captura de tela por algum outro software, entre eles o "Discord", que acusa que o "modo streammer" está ativado, e recentemente o "Adobe Reader" também acusou de um software estar capturando a tela quando fui tentar abrir um arquivo PDF. Utilizo apenas o programa de captura de tela "OBS Studio", porém essas acusações acontecem indepentemente se o software do "OBS Studio" está aberto ou não, me fazendo acreditar que não seja ele o problema e sim um spyware. Ficaria muito grato se pudessem me ajudar a resolver esse problema! Detalhe que utilizo a versão paga do Norton e mesmo após escanear todo o computador não encontrou nada.

ZA-Scan.txt

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@brbruno195

 

Prezado,

Algumas regras básicas a ter em conta:

  • Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
  • Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
  • Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
  • Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
  • Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
  • Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Você tem instalado software que é fonte de boa parte das infeções: BitTorrent

Citação

 

Uma das formas mais comuns de se ser infectado é visitar sites de crack e warez.

Tenha muita atenção aos programas P2P que estejam, possivelmente, instalados em seu computador. Leitura recomendada aqui.

 

 

 

Instruções:

 

1. Baixe e execute esta ferramenta.

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

  • Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
  • Pressione o botão Analisar.
  • Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

 

Na sua próxima resposta, por gentileza coloque:

  • Resultado da ferramenta (ponto nº 1)
  • Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)
  • Informe também se a sua decisão é manter o software BitTorrent

 

Link para o comentário
Compartilhar em outros sites

23 minutos atrás, Lusitano disse:

@brbruno195

 

Prezado,

Algumas regras básicas a ter em conta:

  • Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
  • Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
  • Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
  • Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
  • Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
  • Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Você tem instalado software que é fonte de boa parte das infeções: BitTorrent

 

 

Instruções:

 

1. Baixe e execute esta ferramenta.

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

  • Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
  • Pressione o botão Analisar.
  • Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

 

Na sua próxima resposta, por gentileza coloque:

  • Resultado da ferramenta (ponto nº 1)
  • Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)
  • Informe também se a sua decisão é manter o software BitTorrent

 

Bom dia,

 

Seguem os scans:

- AdwCleaner AdwCleaner[S00].txtAdwCleaner[S01].txtAdwCleaner[C01].txt

-FRST Addition.txtFRST.txt

 

Ontem, logo após criar esse tópico visualizei alguns outros semelhantes no próprio fórum e vi que a recomendação padrão era remover programas de torrent, então desinstalei ontem mesmo o BitTorrent pelo desinstalador do Windows. Também ontem, fiz o download do software SUPERAntiSpyware e realizei o scan na máquina e somente foram detectados e removidos os cookies do Google Chrome, nada além disso.

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@brbruno195 Olá Bruno,

Da análise que fiz, não mostra sinais de infeção por malware.

Abaixo estão instruções para uma manutenção ao seu PC e depois já veremos novamente o que possa estar a originar o problema que você relata.

 

1. Desinstale o SUPERAntiSpyware. Durante largos anos, foi um software que nós da comunidade anti-malware recomendávamos mas atualmente é um software que deixa muito a desejar e pouco ou nada acrescenta. A decisão é sua, e caso decida mantê-lo, avise e não execute as instruções a seguir.

Caso deseje desinstalar:

  • Pressione as teclas win + R;
  • Na caixa que abrir, digite: appwiz.cpl e dê enter;
  • Localize e desinstale os seguintes programas (caso existam): SUPERAntiSpyware

2. Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente
Citação

Start::

closeprocesses:
createrestorepoint:

SystemRestore: On

HKU\S-1-5-21-3945551871-1601732157-2600372866-1001\...\StartupApproved\Run: => "btweb"
FirewallRules: [{2CCF3E41-F79F-4B0C-8015-04ED7C21A659}] => (Allow) D:\Jogos\STAR WARS Battlefront II\starwarsbattlefrontii.exe => Nenhum Arquivo
FirewallRules: [{4EBD4926-AD7F-4903-9A53-81AB1BFEE71B}] => (Allow) D:\Jogos\STAR WARS Battlefront II\starwarsbattlefrontii.exe => Nenhum Arquivo
FirewallRules: [{1821E906-78D9-44A1-9C78-34D504DFA3DE}] => (Allow) D:\Jogos\STAR WARS Battlefront II\starwarsbattlefrontii_trial.exe => Nenhum Arquivo
FirewallRules: [{BD16C968-E7EC-4548-ADD2-5BF0A5F7EFC5}] => (Allow) D:\Jogos\STAR WARS Battlefront II\starwarsbattlefrontii_trial.exe => Nenhum Arquivo
(SUPERAntiSpyware.com -> SUPERAntiSpyware.com) D:\Program Files\SuperAntiSpyware\SASCore64.exe
HKU\S-1-5-21-3945551871-1601732157-2600372866-1001\...\Run: [btweb] => "C:\Users\bruno\AppData\Roaming\BitTorrent Web\btweb.exe" /MINIMIZED (Nenhum Arquivo)
HKU\S-1-5-21-3945551871-1601732157-2600372866-1001\...\Policies\Explorer: []
Task: {387D8937-B0A2-4624-B87C-3DCF5C8CDBAF} - System32\Tasks\SUPERAntiSpyware Scheduled Task 013a5a57-f8dc-4f64-ab9f-0ece599a2378 => D:\Program Files\SuperAntiSpyware\SASTask.exe [49944 2021-01-09] (SUPERAntiSpyware.com -> SUPERAdBlocker.com) -> "D:\Program Files\SuperAntiSpyware\SUPERAntiSpyware.exe" /TASK:013a5a57-f8dc-4f64-ab9f-0ece599a2378
Task: {D3DE47EA-F622-4A47-AF84-4A1329B3188A} - System32\Tasks\SUPERAntiSpyware Scheduled Task 89de5438-63aa-43c8-a5ee-4b546c099b64 => D:\Program Files\SuperAntiSpyware\SASTask.exe [49944 2021-01-09] (SUPERAntiSpyware.com -> SUPERAdBlocker.com) -> "D:\Program Files\SuperAntiSpyware\SUPERAntiSpyware.exe" /TASK:89de5438-63aa-43c8-a5ee-4b546c099b64
Task: C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task 013a5a57-f8dc-4f64-ab9f-0ece599a2378.job => D:\Program Files\SuperAntiSpyware\SASTask.exedD:\Program Files\SuperAntiSpyware\SUPERAntiSpyware.exe
Task: C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task 89de5438-63aa-43c8-a5ee-4b546c099b64.job => D:\Program Files\SuperAntiSpyware\SASTask.exedD:\Program Files\SuperAntiSpyware\SUPERAntiSpyware.exe
Edge Extension: (Sem Nome) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [não encontrado (a)]
Edge Extension: (Sem Nome) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [não encontrado (a)]
Edge Extension: (Sem Nome) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [não encontrado (a)]
Edge Extension: (Sem Nome) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [não encontrado (a)]
R2 !SASCORE; D:\Program Files\SuperAntiSpyware\SASCORE64.EXE [173472 2021-01-09] (SUPERAntiSpyware.com -> SUPERAntiSpyware.com)
R1 SASDIFSV; D:\Program Files\SuperAntiSpyware\SASDIFSV64.SYS [14928 2021-01-09] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; D:\Program Files\SuperAntiSpyware\SASKUTIL64.SYS [12368 2021-01-09] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
2021-11-28 22:33 - 2021-11-29 06:09 - 000000542 _____ C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task 89de5438-63aa-43c8-a5ee-4b546c099b64.job
2021-11-28 22:33 - 2021-11-29 06:09 - 000000542 _____ C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task 013a5a57-f8dc-4f64-ab9f-0ece599a2378.job
2021-11-28 22:33 - 2021-11-28 22:33 - 000003782 _____ C:\WINDOWS\system32\Tasks\SUPERAntiSpyware Scheduled Task 89de5438-63aa-43c8-a5ee-4b546c099b64
2021-11-28 22:33 - 2021-11-28 22:33 - 000003700 _____ C:\WINDOWS\system32\Tasks\SUPERAntiSpyware Scheduled Task 013a5a57-f8dc-4f64-ab9f-0ece599a2378
2021-11-28 22:32 - 2021-11-28 22:32 - 000000000 ____D C:\Users\bruno\AppData\Roaming\SUPERAntiSpyware.com
2021-11-28 22:31 - 2021-11-28 22:31 - 000000907 _____ C:\Users\bruno\Desktop\SUPERAntiSpyware Free Edition.lnk
2021-11-28 22:31 - 2021-11-28 22:31 - 000000000 ____D C:\Users\bruno\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
2021-11-28 22:31 - 2021-11-28 22:31 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2021-11-28 22:29 - 2021-11-28 22:29 - 206564968 _____ (SUPERAntiSpyware) C:\Users\bruno\Downloads\SUPERAntiSpyware.exe

emptytemp:

Reboot:

end::

  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

 

 

Link para o comentário
Compartilhar em outros sites

4 horas atrás, Lusitano disse:

@brbruno195 Olá Bruno,

Da análise que fiz, não mostra sinais de infeção por malware.

Abaixo estão instruções para uma manutenção ao seu PC e depois já veremos novamente o que possa estar a originar o problema que você relata.

 

1. Desinstale o SUPERAntiSpyware. Durante largos anos, foi um software que nós da comunidade anti-malware recomendávamos mas atualmente é um software que deixa muito a desejar e pouco ou nada acrescenta. A decisão é sua, e caso decida mantê-lo, avise e não execute as instruções a seguir.

Caso deseje desinstalar:

  • Pressione as teclas win + R;
  • Na caixa que abrir, digite: appwiz.cpl e dê enter;
  • Localize e desinstale os seguintes programas (caso existam): SUPERAntiSpyware

2. Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente
  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

 

 

 

Aparentemente o problema foi resolvido sim, muito obrigado! Alguma ideia do que era?

Fixlog.txt

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@brbruno195Olá,

Pode por gentileza executar a ferramenta FRST, tal com explicado no ponto 2 anteriormente. Dessa forma eu poderei avaliar se já está tudo ok ;)

 

Lembra-se da minhas notas iniciais?

Citação

Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.

abraço

Link para o comentário
Compartilhar em outros sites

Eu já havia executado o FRST com esse código, e no meio da correção o computador desligou instantaneamente. Quando ligou novamente eu anexei todos os arquivos .txt que ele tinha criado na área de trabalho na minha resposta anterior. Executei novamente agora com o mesmo código e durante a correção ele desligou de novo e gerou mais esses dois .txtFixlog.txtzhfqxgwgouztxhbvi.txt

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@brbruno195Ok, já consegui ver que foi executado.

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

1. Faça o download de KpRm e salve no seu desktop.

  • Clique direito em kprm_(versão).exe e selecione executar como Administrador.
  • Leia e aceite o Aviso Legal.
  • Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
  • Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
  • Quando completar, clique em OK
  • Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

2. Desinstale o FRST:

 

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

 

Abraço.

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@brbruno195 Perfeito. Nosso processo está finalizado.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares e salve-os em diferentes locais.

 

Abraço 👍

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Já não havia informação suficiente para poder precisar isso. Basicamente o que fizemos foi otimizar algumas coisas, retirar programas que não são do seu interesse e uma limpeza na cache e temporários. Acredito que o possa ter sido detetado estaria em temp.

Em todo o caso, fique atento nestes próximos dias e caso note algo estranho, retorne aqui ao fórum.

De momento o seu PC está seguro e com um ponto de restauro limpo, caso venha a necessitar dele.

 

Abraço

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Curso de Hacker Ético

LANÇAMENTO!

CLIQUE AQUI E CONFIRA!

* Este curso não é ministrado pela equipe do Clube do Hardware.