Ir ao conteúdo
  • Cadastre-se
Regras do Clube do Hardware

Remoção de malware keylogger

YagoAJ

Por YagoAJ
em Casos resolvidos

 Compartilhar

Posts recomendados

YagoAJ
 

YagoAJ

Postado
Postado

Galera 5 meses atrás fui hackeado e roubaram minha conta na Steam, hotmail, twitch e etc, mas acho que ainda sinto que estão no meu PC, semana passada fui hackeado no meu Outlook novamente e percebi que todas vezes que vou logar pelo navegador aparece um aplicativo da microsoft pedindo para colocar meus dados, porém eu já resetei meu computador tem tempos depois de ter sido hackeado, mas continua aparecendo essa mensagem que sem dúvidas é dos hackers toda vez que tento sair dessa janela que aparece eu não consigo sempre boto email e senha falso quando aparece. Eu queria um solução para tirar esse programa ou até mesmo verificar se estão no meu PC ainda.

 

 

(Motivo de ter sido hackeado > inventei de baixar room de pokemon para 3DS e tomei um cavalo de tróia) Vou mostrar a foto para vocês66989775_WhatsAppImage2021-12-06at00_02_24.thumb.jpeg.22a81e4c6d4e60572ddee10447c0c9e4.jpeg

Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

@YagoAJ

Caro usuário,

Algumas regras básicas a ter em conta:

  • Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
  • Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
  • Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
  • Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
  • Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
  • Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Instruções:

 

1. Faça o download e execute esta ferramenta.

 

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

  • Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
  • Pressione o botão Analisar.
  • Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

 

Na sua próxima resposta, por gentileza coloque:

  • Resultado do ponto nº 1
  • Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)

[]'s

Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

Tópico arquivado

 

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado. Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.

 

Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

@YagoAJOlá,

Antes de prosseguirmos com a limpeza, necessito que faça o seguinte:

 

Visite este site e submeta a análise o seguinte arquivo:

  • C:\Users\yago_\AppData\Local\Temp\Reg70707070.exe

Na sua próxima resposta, por gentileza coloque o link com o resultado da análise.

 

 

Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

@YagoAJ

 

Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente
Citação

Start::

closeprocesses:
createrestorepoint:
SystemRestore: On
FirewallRules: [TCP Query User{2288FE9E-95CC-4571-B87D-81F449AFF8A4}C:\program files (x86)\soundwire server\soundwireserver.exe] => (Block) C:\program files (x86)\soundwire server\soundwireserver.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{6224E187-B75F-425D-A968-A186994FD00A}C:\program files (x86)\soundwire server\soundwireserver.exe] => (Block) C:\program files (x86)\soundwire server\soundwireserver.exe => Nenhum Arquivo

File: C:\Users\yago_\AppData\Local\Temp\Reg70707070.exe
VirusTotal: C:\Users\yago_\AppData\Local\Temp\Reg70707070.exe
end::

  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

@YagoAJ Amigo, só algumas vezes a remoção de malware consegue ser feita de uma só vez, seja paciente que estamos a resolver isso ;)

 

Vamos verificar umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop

  • Clique direito em esetonlinescanner_enu.exe e execute como administrador
  • Clique em Computer Scan
  • Clique em Full scan
  • Selecione Enable ESET to detect and quarantine potentially unwanted applications
  • Clique em Start scan
  • Quando terminar, salve o resultado no seu desktop como ESETScan.txt
  • Clique Continue e depois em Close
  • Anexe o arquivo ESETScan.txt
Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

Olá @YagoAJ

Faça o download de TDSSKiller e salve no seu desktop.

  • Duplo clique em TDSSKiller.exe para executar a ferramenta. Leia e aceite os termos legais.
  • Já dentro clique em Change parameters, na janela que abrir marque todas as caixas excepto Loaded Modules e clique Ok
  • Clique em Start Scan
  • Caso algo suspeito seja detetado, por defeito a ferramenta deverá ignorar, clique em Continue
  • Caso seja detetado malwares, eles serão mostrados no resultado da análise.
  • Certifique-se que Cure (default) está selecionado e clique em Continue e reinicie para concluir o processo.
  • Caso "Cure" não esta disponivel, escolha Skip. Não elimine.

Um arquivo será gerado no seu drive (C:\) e terá o seguinte nome: TDSSKiller.[Versão]_[Data]_[Hora]_log.txt
Anexe esse arquivo na sua próxima resposta, juntamente com uma nova análise do FRST (como instruido no meu post #2).

Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

@YagoAJ Olá, estamos mais perto de concluir ;)

 

Execução FRST:

  • Clique direito do mouse no icone do FRST e selecione executar como administrador
  • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente
Citação

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1801482918-3813425490-1695444078-1001\...\Run: [Salad] => "C:\Program Files\Salad\Salad.exe" (Nenhum Arquivo)
Folder: C:\Program Files\Salad
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: ipconfig /flushDNS
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
 
Reboot:
 
End::

  • Clique em Corrigir.
  • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

 

Uma vez que você tem o Malwarebytes no seu pc, por gentileza execute uma análise e caso algo seja detetado, copie e cole o resultado para eu verificar.

Abraço

Link para o comentário
Compartilhar em outros sites
YagoAJ
 

YagoAJ

Postado
  • Autor
Postado

@Lusitano Nada encontrado, muito obrigado pela ajuda consegui acessar meu Outlook sem a mensagem da Keylogger aparecer. Estava desesperado já tinha sido hackeado 2 vezes no PC e ele estavam a tempos aqui e nada de eu conseguir tirar. Agradeço de coração pela ajuda, você é o cara!!!

 

Boa sorte na ajuda com outras pessoas, você é um ótimo profissional.

  • Curtir 1
Link para o comentário
Compartilhar em outros sites
  • Analista de Segurança
Lusitano
 

Lusitano

Postado
  • Analista de Segurança
Postado

@YagoAJOk amigo, é importante ainda fazer mais um processo para finalizar e ficar tudo certinho.

Vou lhe passar instruções para removermos as ferramentas que utilizámos e que você não irá necessitar no normal uso do seu pc e nesse processo irá ser automaticamente feito um novo ponto de restauro que lhe poderá ser útil caso algo errado lhe possa acontecer e assim pode facilmente reverter a situação.

 

1. Faça o download de KpRm e salve no seu desktop.

  • Clique direito em kprm_(versão).exe e selecione executar como Administrador.
  • Leia e aceite o Aviso Legal.
  • Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
  • Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
  • Quando completar, clique em OK
  • Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

2. Desinstale o FRST:

Citação

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

 

3. Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais (cloud, pendrive, etc.).

 

Abraço 👍

  • Curtir 1
Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novas respostas.
 Compartilhar
Ir à lista de tópicos

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

Mais

×
×
  • Criar novo...