×
Ir ao conteúdo
  • Cadastre-se

Aviso de risco do Trend Micro House Call


De Los Santos

Posts recomendados

Bom dia.

 

Instalei recentemente o Trend Micro House Call para fazer a verificação dos dispositivos Wireless daqui de casa. E ao fazer essa verificação, deu que existe uma vulnerabilidade referente ao roteador wireless daqui de casa (o roteador daqui de casa é o DLink DIR-842), bem como o BitDefender acusou um monte de ataques ao se fazer essa verificação. Vou deixar as imagens com essas informações em anexo a este tópico.

 

A pergunta é. Eu devo me preocupar com isso? E se sim, como eu resolvo isso?

 

E antes que perguntem, sim, eu alterei a senha do admin do roteador (coloquei uma senha de 20 caracteres, misturando letras minúsculas, letras maiúsculas, algarismos e símbolos); e sim, eu atualizei o firmware do roteador (aliás, numa das vezes que eu acessei a página de configurações do roteador, já veio logo de cara que existia uma atualização para o firmware) e no momento uso a versão mais atual dele.

trend-Micro.png

log-bitdefender.png

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@De Los Santos Olá,

3 horas atrás, De Los Santos disse:

E ao fazer essa verificação, deu que existe uma vulnerabilidade referente ao roteador wireless daqui de casa (o roteador daqui de casa é o DLink DIR-842), bem como o BitDefender acusou um monte de ataques ao se fazer essa verificação. Vou deixar as imagens com essas informações em anexo a este tópico.

Não é raro isso acontecer. Muito recentemente, em um estudo feito com alguns routers bastante utilizados e conhecidos, o resultado desse teste foi alarmante, e no caso da D-Link até foi das mais rápidas a reagir a este estudo:

Citação

D-Link thanked us briefly for the information and published a firmware update that fixes the problems mentioned.

 

3 horas atrás, De Los Santos disse:

Eu devo me preocupar com isso? E se sim, como eu resolvo isso?

A resposta é simples. Mantenha todos os seus programas devidamente atualizados. O simples fato de estarem a detetar algo, é bom sinal, é sinal que estão a cumprir a sua função e a alertar e prevenir que seja infetado.

 

3 horas atrás, De Los Santos disse:

coloquei uma senha de 20 caracteres, misturando letras minúsculas, letras maiúsculas, algarismos e símbolos

Aí está mais uma boa camada de proteção. Uma password como a sua para ser quebrada por brute force, seria de estimar uns 16 mil milhões de anos até ser quebrada. Mas, tal como na loteria, embora as probabilidades sejam muito baixas, existe sempre a possibilidade de acontecer.

 

Também, essa ferramenta da Trend está bem referenciada, eu pessoalmente já a usei e recomendei ser usada.

 

Amigo, eu só posso tratar (ou tentar tratar) aquilo que eu vejo. E o que vejo relatado e mostrado por você, apenas me indica que os programas fizeram o que deveriam fazer: Prevenção e Alerta.

 

Contudo, caso assim você pretenda, eu poderei analisar mais intensivamente os seus sistemas. Para isso, por gentileza, faça o seguinte:

 

Algumas regras básicas a ter em conta:

(Deverão ser já do seu conhecimento, mas por gentileza não as quebre, isso poderá influenciar muito negativamente o meu trabalho. São regras bem simples, muito fáceis de serem cumpridas e a sua leitura são meros segundos.)

  • Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
  • Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
  • Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
  • Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
  • Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
  • Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

Instruções:

Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

  • Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
  • Pressione o botão Analisar.
  • Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.
  • Na sua próxima resposta, por gentileza anexe esses dois arquivos.

[ ]'s

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@De Los SantosDa análise aos logs, tenho algumas questões:

Citação

Executando a partir de C:\Users\junior\Downloads

Nas instruções que lhe passei anteriormente, referi que é importante a ferramenta ser executada a partir do desktop. Por gentileza, faça isso.

 

Citação

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3:

São do seu conhecimento estas restrições e foi você que as fez?

 

Citação

AV: Avira Antivirus (Enabled - Up to date) {88AE6B46-DC3C-455A-A21B-085F285A3546}
AV: Bitdefender Antivirus Free Antimalware (Enabled - Up to date) {BAD274F4-FA00-8560-1CDE-6C830442BEFA}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Kaspersky Security Cloud (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

Reveja também esta situação. Não é recomendável utilizar mais do que um antivírus.

 

 

Link para o comentário
Compartilhar em outros sites

18 minutos atrás, Lusitano disse:

@De Los SantosDa análise aos logs, tenho algumas questões:

Nas instruções que lhe passei anteriormente, referi que é importante a ferramenta ser executada a partir do desktop. Por gentileza, faça isso.

 

OK, executei o arquivo a partir do Desktop e anexei os arquivos a esta mensagem.

 

18 minutos atrás, Lusitano disse:

São do seu conhecimento estas restrições e foi você que as fez?

 

Eu não fiz nenhum tipo de restrição ou alteração de configuração na Internet aqui do meu computador.

 

18 minutos atrás, Lusitano disse:

Reveja também esta situação. Não é recomendável utilizar mais do que um antivírus.

 

 

 

Isso que eu achei estranho. De fato eu cheguei a instalar esses antivírus que estão na lista, mas atualmente só uso o Bitdefender. E também não desabilitei o Windows Defender. Até porque, nem sei onde ele está e como que faz para habilitar/desabilitar ele.

 

AH!!!!! E na seção onde aparece os "Programas Instalados", não apareceu nenhum programa estranho. Todos os que estão listados foram instalados por mim. Até porque, executei o AdwCleaner, só por desencargo de consciência. E o mesmo vale para onde aparece os "Processos" (que, acredito eu, devem ser os serviços) e as "Tarefas Agendadas".

Addition.txt FRST.txt

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@De Los SantosOlá,

 

Instruções:

 

1. Desinstalação de programas:

    Pressione as teclas win + R;
    Na caixa que abrir, digite: appwiz.cpl e dê enter;
    Localize e desinstale os seguintes programas (caso existam):

  • Avira

Ou desinstalar manualmente, seguindo estas instruções: link

 

2. Ativação do Windows Defender:

    Entre em Configurações => Atualização e segurança => Windows Defender => Ativar o Windows Defender

 

3.Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente
Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {08A6203A-85A0-4939-98F2-99C4BEC3F293} - System32\Tasks\Rerun Warsaw's CoreFixer => C:\WINDOWS\TEMP\is-NPKE5.tmp\corefixer.exe /norerun (Nenhum Arquivo) <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATENÇÃO (Restrição - Zones)
S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X]
AlternateDataStreams: C:\ProgramData:chnpbmzkyg [274]
AlternateDataStreams: C:\ProgramData:YXVtLmh6aQ [3666]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2142]
AlternateDataStreams: C:\Users\All Users:chnpbmzkyg [274]
AlternateDataStreams: C:\Users\All Users:YXVtLmh6aQ [3666]
AlternateDataStreams: C:\Users\Todos os Usuários:chnpbmzkyg [274]
AlternateDataStreams: C:\Users\Todos os Usuários:YXVtLmh6aQ [3666]
AlternateDataStreams: C:\ProgramData\Dados de Aplicativos:chnpbmzkyg [274]
AlternateDataStreams: C:\ProgramData\Dados de Aplicativos:YXVtLmh6aQ [3666]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
AlternateDataStreams: C:\ProgramData:chnpbmzkyg [274]
AlternateDataStreams: C:\ProgramData:YXVtLmh6aQ [3666]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2142]
AlternateDataStreams: C:\Users\All Users:chnpbmzkyg [274]
AlternateDataStreams: C:\Users\All Users:YXVtLmh6aQ [3666]
AlternateDataStreams: C:\Users\Todos os Usuários:chnpbmzkyg [274]
AlternateDataStreams: C:\Users\Todos os Usuários:YXVtLmh6aQ [3666]
AlternateDataStreams: C:\ProgramData\Dados de Aplicativos:chnpbmzkyg [274]
AlternateDataStreams: C:\ProgramData\Dados de Aplicativos:YXVtLmh6aQ [3666]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
cmd: netsh winsock reset catalog
cmd: netsh int ip reset C:\resettcpip.txt
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
cmd:  bitsadmin /list /allusers
cmd: net stop bits
Move: C:\ProgramData\Microsoft\Network\Downloader\qmgr*.db C:\ProgramData\Microsoft\Network\Downloader\qmgr*.db.old
cmd: net start bits
cmd:  bitsadmin /list /allusers
cmd: ipconfig /flushdns
Removeproxy:
Emptytemp:
End::

  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta.
  • Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

 

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@De Los Santos

Excelente amigo. Estamos quase, apenas falta remover algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

1. Faça o download de KpRm e salve no seu desktop.

  • Clique direito em kprm_(versão).exe e selecione executar como Administrador.
  • Leia e aceite o Aviso Legal.
  • Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
  • Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
  • Quando completar, clique em OK
  • Um documento com informação será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt).

 

2. Desinstale o FRST:

Citação

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

 

No mais você tem agora um ponto de restauração limpo caso venha a necessitar, mantenha os seus programas atualizados, faça regularmente backup dos seus documentos importantes e salve-os externamente (cloud, etc.).

abraço

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Tópico arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Curso de Hacker Ético

LANÇAMENTO!

CLIQUE AQUI E CONFIRA!

* Este curso não é ministrado pela equipe do Clube do Hardware.