×
Ir ao conteúdo
  • Cadastre-se

Possível infecção por malware no notebook


Junior Dantas

Posts recomendados

Olá.

 

Possuo um notebook Acer F5 há 2 anos. Porém de uns meses pra cá ele começou a apresentar muita lentidão para iniciar o windows.

 

Foi piorando com o tempo e mais recentemente está inviável fazer tarefas pesadas no PC, apesar de boas configurações. Até para abrir o gerenciador de tarefas está demorando em torno de 4-5 minutos.

 

Suspeito que seja algum(uns) malware(s), mas por via das dúvidas, não fiz nenhum procedimento de remoção ainda. Agradeço a atenção e possível suporte.

 

Especificações:


Processador    Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz   2.70 GHz
RAM instalada    8,00 GB (utilizável: 7,87 GB)
Tipo de sistema    Sistema operacional de 64 bits, processador baseado em x64
Edição    Windows 10 Home Single Language

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior Dantas

Caro usuário, Bem vindo ao Clube do Hardware.

 

Algumas regras básicas a ter em conta:

Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!

Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.

Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.

Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.

Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.

Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Instruções:

 

1. Faça o download e execute esta ferramenta.

 

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

  • Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
  • Pressione o botão Analisar.
  • Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

 

Na sua próxima resposta, por gentileza coloque:

  • Resultado do ponto nº 1
  • Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)

[]'s

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior DantasOlá,

 

Você tem instalado software que é fonte de boa parte das infeções: uTorrent

Citação

 

 Uma das formas mais comuns de se ser infectado é visitar sites de crack e warez.

Tenha muita atenção aos programas P2P que estejam, possivelmente, instalados em seu computador. Leitura recomendada aqui.

 

 

Outro software pouco recomendado é: Opera

Vejo muitos usuários usando este browser, geralmente porque está muito associado a jogos. Contudo, a reputação desse software já não é a mesma. Pode ler aqui neste link informação para o elucidar.

 

Quer manter ou desinstalar? Não é obrigatório desinstalar, a escolha é sua, apenas me informe, para eu poder lhe passar devidamente as instruções.

 

Instruções:

Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente.
Citação

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
Task: {025077DB-9F95-459E-BAA8-A8960D4FB9A6} - System32\Tasks\CareCenter\AdobeAAMUpdater-1.0_Reg_HKLMRun => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe (Nenhum Arquivo)
Task: {043B3E01-D20C-4150-A80C-39D9D253B2D3} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Nenhum Arquivo)
Task: {04C7DFD8-C4CE-4EF9-B7BE-90E982040B74} - System32\Tasks\Rerun Warsaw's CoreFixer => C:\WINDOWS\TEMP\is-VDL9V.tmp\corefixer.exe /norerun (Nenhum Arquivo) <==== ATENÇÃO
Task: {0B3854CE-01E6-4B75-8AE6-AAC4D3EAA851} - System32\Tasks\Opera scheduled Autoupdate 1620734430 => C:\Users\andre\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Nenhum Arquivo)
Task: {110B71D6-70D6-44DE-BAD9-9CF68D5C0854} - System32\Tasks\CareCenter\SunJavaUpdateSched_Reg_HKLMWow6432Run => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Nenhum Arquivo)
Task: {152D88D3-EBAC-45E9-BDF5-1A220F07B64E} - \Microsoft\Windows\UNP\RunCampaignManager -> Nenhum Arquivo <==== ATENÇÃO
Task: {3528F8A9-9C93-40B5-8887-1E92E7CF138C} - System32\Tasks\Install Warsaw CA on Firefox => C:\WINDOWS\TEMP\sch_install_ca.bat (Nenhum Arquivo) <==== ATENÇÃO
Task: {4079002F-DD0E-4D03-B122-6C48EC98E722} - System32\Tasks\Opera scheduled Autoupdate 1515796884 => C:\Program Files (x86)\launcher.exe [2265296 2021-11-23] (Opera Software AS -> Opera Software) <==== ATENÇÃO
Task: {43876780-080F-4DB4-80A9-8B27720C52ED} - System32\Tasks\ACC => C:\Program Files (x86)\Acer\Care Center\LiveUpdateChecker.exe -auto (Nenhum Arquivo)
Task: {50F85315-04B5-4F91-B050-835E628C93A0} - System32\Tasks\Opera scheduled assistant Autoupdate 1582768828 => C:\Program Files (x86)\launcher.exe [2265296 2021-11-23] (Opera Software AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Program Files (x86)\assistant" $(Arg0) <==== ATENÇÃO
Task: {70A8599A-2C28-448F-86AB-2D998CE21CA9} - System32\Tasks\CareCenter\Adobe Creative Cloud_Reg_HKLMWow6432Run => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe --showwindow=false --onOSstartup=true (Nenhum Arquivo)
Task: {A90AC292-631F-4540-BF1A-6F0A3B02816A} - System32\Tasks\CareCenter\uTorrent_Reg_HKCURun_S-1-5-21-27350483-1649020012-3425454135-1001 => C:\Users\Etevaldo Júnior\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (Nenhum Arquivo)
Task: {AE88A6DC-0ECB-48BC-A6D4-F2828A5E8002} - System32\Tasks\CareCenter\SecurityHealth_Reg_HKLMRun => C:\Program Files\Windows Defender\MSASCuiL.exe (Nenhum Arquivo)
Task: {BA6A33C5-275A-4B9F-9D9E-E0BCF846ACEF} - System32\Tasks\AdobeAAMUpdater-1.0-JUNIOR-OWNERSHI-Etevaldo Júnior => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (Nenhum Arquivo)
Edge Extension: (Sem Nome) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [não encontrado (a)]
Edge Extension: (Sem Nome) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [não encontrado (a)]
Edge Extension: (Sem Nome) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [não encontrado (a)]
Edge Extension: (Sem Nome) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [não encontrado (a)]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\autoconf_warsaw.js [2019-02-22] <==== ATENÇÃO (Aponta para arquivo *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\warsaw.cfg [2019-02-22] <==== ATENÇÃO
ShellIconOverlayIdentifiers: [   AccExtIco1] -> {AB9CF9F8-8A96-4F9D-BF21-CE85714C3A47} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [   AccExtIco2] -> {853B7E05-C47D-4985-909A-D0DC5C6D7303} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [   AccExtIco3] -> {42D38F2E-98E9-4382-B546-E24E4D6D04BB} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Nenhum Arquivo
ContextMenuHandlers1: [AccExt] -> {2A118EB5-5797-4F5E-8B3D-F4ECBA3C98E4} =>  -> Nenhum Arquivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
ContextMenuHandlers6: [AccExt] -> {2A118EB5-5797-4F5E-8B3D-F4ECBA3C98E4} =>  -> Nenhum Arquivo
AlternateDataStreams: C:\ProgramData:YXVtLmh6aQ [2034]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2410]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:YXVtLmh6aQ [2034]
AlternateDataStreams: C:\Users\Todos os Usuários:YXVtLmh6aQ [2034]
AlternateDataStreams: C:\ProgramData\Dados de Aplicativos:YXVtLmh6aQ [2034]
FirewallRules: [{03CA17D7-B68E-4C87-BBD8-28D6FA348B4E}] => (Allow) C:\Users\Etevaldo Júnior\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo
FirewallRules: [{573EAFC7-B0F5-4783-A5B8-85E9DEA5403B}] => (Allow) C:\Users\Etevaldo Júnior\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo

 

Emptytemp:
End::

  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe que sintomas ainda nota no seu PC.
  • Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

Abraço

Link para o comentário
Compartilhar em outros sites

Desinstalei o uTorrent, não sabia nem que ainda estava instalado...

 

E não sabia dessas informações a respeito do Opera... Gosto bastante da interface e das funcionalidades dele, mas sabendo disso, com certeza irei desinstalar. Só não poderei no momento pois tenho muitas abas, favoritos, e pastas muito úteis e vai levar um certo tempo para migrar para outro navegador. 

 

Posso continuar usando ele, por enquanto?

 

E que outro navegador você me recomenda? Estava com receio de usar o Chrome por ele gerar muitos "processos" e acabar pesando no desempenho ao longo do tempo.

 

Fiz as instruções. Senti uma ligeira melhora na velocidade de diversas tarefas, desde ligar o PC mais rapidamente, abrir pastas e abrir o gerenciador de tarefas, que como comentei demorava quase 5 minutos. Está mais fluido até em programas simples como o Canva que tenho instalado... Mas ainda percebo lentidão quando comparado há alguns meses.

 

Segue relatório abaixo, e aguardo os próximos passos.

 

Fixlog.txt

 

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior Dantas Olá Junior,

Vamos continuar o nosso processo até que tudo seja devidamente finalizado. Existem ainda alguns procedimentos, para que tudo fique ok.

 

Citação

Desinstalei o uTorrent, não sabia nem que ainda estava instalado

Boa decisão ;)

No próximo resultado da ferramenta (abaixo eu darei instruções) eu irei verificar o que ainda possa ter restado desse programa.

 

5 minutos atrás, Junior Dantas disse:

Posso continuar usando ele, por enquanto?

Pode com certeza.

 

6 minutos atrás, Junior Dantas disse:

E que outro navegador você me recomenda? Estava com receio de usar o Chrome por ele gerar muitos "processos" e acabar pesando no desempenho ao longo do tempo.

Creio que qualquer uma das escolhas entre o Chrome, Firefox ou Edge, você ficará bem servido. É tudo uma questão de gosto pessoal.

 

Instruções:

Rode novamente a ferramenta FRST, tal como lhe solicitei atrás no meu post #2.

Por gentileza, anexe esses novos logs FRST.txt e Addition.txt

 

[ ]'s

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior DantasOlá Junior,

 

Citação

Hosts: 127.0.0.1 platform.wondershare.com
Tcpip\Parameters: [DhcpNameServer] 177.71.92.50 45.166.86.63
Tcpip\..\Interfaces\{008e02fc-7291-46d9-bbea-accc7586ec75}: [DhcpNameServer] 192.168.44.1
Tcpip\..\Interfaces\{52dedeaf-9e2b-4687-8a0b-18ce95494533}: [DhcpNameServer] 177.71.92.50 177.71.92.41
Tcpip\..\Interfaces\{76dae1f9-f6eb-45db-8ec1-15a4854e46a1}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{76dae1f9-f6eb-45db-8ec1-15a4854e46a1}: [DhcpNameServer] 177.71.92.50 45.166.86.63
Tcpip\..\Interfaces\{d33b2783-d460-4a87-ae19-2037f1e18e10}: [DhcpNameServer] 177.71.92.50 45.166.86.63
Tcpip\..\Interfaces\{e4bb6bc4-a78a-4459-95c0-6ecc9c767039}: [DhcpNameServer] 177.71.92.50 45.166.86.63

Essas configurações do hosts, são propositadas?

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Tópico arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior Dantas Olá

Instruções:

Rode novamente a ferramenta FRST, tal como lhe solicitei atrás no meu post #2.

Por gentileza, anexe esses novos logs FRST.txt e Addition.txt

 

[ ]'s

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Olá,

 

Instruções:

Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente.
Citação

Start::
CloseProcesses:
CreateRestorePoint:

Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
FF DefaultProfile: kp6vjqak.default
FF ProfilePath: C:\Users\Etevaldo Júnior\AppData\Roaming\Mozilla\Firefox\Profiles\kp6vjqak.default [2021-12-03]
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
FirewallRules: [{467BDCE1-7185-451F-BA9C-898D268AC621}] => (Allow) C:\Users\Etevaldo Júnior\AppData\Roaming\uTorrent Web\utweb.exe => Nenhum Arquivo
FirewallRules: [{4DB8E9E5-F730-4C92-80E0-473978A437F6}] => (Allow) C:\Users\Etevaldo Júnior\AppData\Roaming\uTorrent Web\utweb.exe => Nenhum Arquivo
Hosts:
CMD: netsh int ip reset
CMD: ipconfig /flushDNS
 
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
 
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
EMPTYTEMP:
Reboot:
 
End::

 

  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe que sintomas ainda nota no seu PC.

Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

 

Abraço

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior Dantas Olá, Caso não necessite mais do meu auxilio, vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

1. Faça o download de KpRm e salve no seu desktop.

  • Clique direito em kprm_(versão).exe e selecione executar como Administrador.
  • Leia e aceite o Aviso Legal.
  • Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
  • Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
  • Quando completar, clique em OK
  • Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

2. Desinstale o FRST:

Citação

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

 

3. Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares e salve-os em diferentes locais.

 

Abraço

 

Link para o comentário
Compartilhar em outros sites

@Lusitano  Obrigado! Fiz todos os procedimentos solicitados.

 

Apenas uma dúvida. Foi possível identificar a presença de algum malware ou adware no meu pc?

 

Às vezes aparece um pop-up do nada com um anúncio de um tal de "Happyso" que não faço ideia de onde surgiu... 

 

É malicioso?

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Junior DantasOlá, só restavam alguns indícios genéricos mas que não indicavam estarem relacionados a malwares mais gravosos.

Você utiliza este software?  

 

Vamos nos certificar que nada resta no seu PC. Para isso:

  • Faça o download ESET Online Scanner e salve no seu Desktop
  • Clique direito em esetonlinescanner_enu.exe e execute como administrador
  • Clique em Computer Scan
  • Clique em Full scan
  • Selecione Enable ESET to detect and quarantine potentially unwanted applications
  • Clique em Start scan
  • Quando terminar, salve o resultado no seu desktop como ESETScan.txt
  • Clique Continue e depois em Close
  • Anexe o arquivo ESETScan.txt
Link para o comentário
Compartilhar em outros sites

  • 2 semanas depois...
  • Analista de Segurança

Tópico arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Curso de Hacker Ético

LANÇAMENTO!

CLIQUE AQUI E CONFIRA!

* Este curso não é ministrado pela equipe do Clube do Hardware.