Algum malware esta usando meus jogos pra minerar

[johnny7199]

Quando abro jogos pesados como Apex Legends, a minha ventoinha começa a fazer um barulho muito alto, o mesmo barulho quando testei mineração a alguns meses atrás, mas isso começou 2 ou 3 dias atrás.

Já faz alguns meses também que eu tinha baixado um malware sem querer e que estava usando o meu pc pra minerar, eu segui os passos dos posts daqui e tirei ele, mas de tempos em tempos 2 arquivos foram detectados, e agora ontem eu detectei 2 mineradores escondidos. Estavam em lugares diferentes mas eram mineradores.

Não sei se tem relação com o jogo, o que eu acho muito improvável, mas é muito esquisito o meu pc fazer som de mineração com um jogo que exige um pouco mais, sendo que eu nunca vi ele fazer esse som enquanto jogava durante esses 4 anos que to com ele.

Não sei como, mas parece que ele encontra novas maneiras e diferentes arquivos pra minerar e ***** o pc. Porque parece que algo ainda ta no pc mesmo eu usando o rogue killer e o zhp cleaner.

Já faz uns 4 ou 5 meses quando eu peguei esse malware e de vez em quando eu boto pra scanner, já detectou umas 3 ou 4 vezes durante esse período.

De preferência não quero formatar, mas preciso de ajuda porque já faz um tempão que isso ta me incomodando.

[Lusitano]

@johnny7199

Caro usuário,

 

Algumas regras básicas a ter em conta:

• Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
• Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
• Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
• Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
• Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
• Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Instruções:

 

1. Baixe e execute esta ferramenta.

 

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

 

Na sua próxima resposta, por gentileza coloque:

• Resultado da ferramenta (ponto nº 1)
• Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)

 

[johnny7199]

O adw cleaner detectou 33 itens, e 2 deles já estavam em quarentena.

 

 

 

 

 

 

FRST.txtAddition.txt

[Lusitano]

@johnny7199 Olá

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente

Citação

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
Edge Extension: (Sem Nome) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [não encontrado (a)]
Edge Extension: (Sem Nome) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [não encontrado (a)]
Edge Extension: (Sem Nome) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [não encontrado (a)]
Edge Extension: (Sem Nome) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [não encontrado (a)]
Edge DefaultProfile: Default
Edge Profile: C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default [2021-11-09]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\User\Dados de Aplicativos:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Dados de Aplicativos:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\User\Dados de Aplicativos:eb92b835a834003ac00ee2632de0e925 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:eb92b835a834003ac00ee2632de0e925 [394]
FirewallRules: [{D7424A53-FD41-44AC-8E6E-9A8B1E18EFAE}] => (Allow) D:\Joojs Steam\steamapps\common\DarkestDungeon\_windows\Darkest.exe => Nenhum Arquivo
FirewallRules: [{F602D741-AC1B-425D-ACFD-F6D92185019C}] => (Allow) D:\Joojs Steam\steamapps\common\DarkestDungeon\_windows\Darkest.exe => Nenhum Arquivo
FirewallRules: [{4CD343FF-9B17-49ED-B913-B688AA74C6D2}] => (Allow) D:\Joojs Steam\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => Nenhum Arquivo
FirewallRules: [{9C5F5F41-38AF-4918-8039-5B0E3CDF7A44}] => (Allow) D:\Joojs Steam\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{8C2C0B2A-703A-48A9-B449-AAD8EBB46F2F}D:\joojs Steam\steamapps\common\cry of fear\cof.exe] => (Allow) D:\joojs Steam\steamapps\common\cry of fear\cof.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E2F480CF-038F-4A97-ACC3-A9DB7301A0F9}D:\joojs Steam\steamapps\common\cry of fear\cof.exe] => (Allow) D:\joojs Steam\steamapps\common\cry of fear\cof.exe => Nenhum Arquivo
FirewallRules: [{B192CF52-BA68-4727-A988-52051B35F375}] => (Block) D:\joojs Steam\steamapps\common\cry of fear\cof.exe => Nenhum Arquivo
FirewallRules: [{1B17736C-EA9D-4A76-93F9-ABABA7D1A177}] => (Block) D:\joojs Steam\steamapps\common\cry of fear\cof.exe => Nenhum Arquivo
FirewallRules: [{81CE90F5-0D78-4FDA-B35C-123CFB6251D1}] => (Allow) D:\Arquivos e Downloads\Overwolf\0.184.0.35\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{BD04BD31-B5C0-4EC4-B255-CEE684E507B9}] => (Allow) D:\Arquivos e Downloads\Overwolf\0.184.0.35\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{6D0D4D82-64E3-44BE-8BA8-321965468D10}] => (Block) D:\Arquivos e Downloads\Overwolf\0.184.0.35\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{AF54A76B-A349-468C-AED9-773ED13CE1EC}] => (Block) D:\Arquivos e Downloads\Overwolf\0.184.0.35\OverwolfBrowser.exe => Nenhum Arquivo
FirewallRules: [{803408C8-B48A-4608-A039-894747047A18}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tetris Effect Connected\TetrisEffect.exe => Nenhum Arquivo
FirewallRules: [{BA7EE295-4F0D-4D48-AAD5-69B490C8064B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tetris Effect Connected\TetrisEffect.exe => Nenhum Arquivo
S2 AdvancedSystemCareService14; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
S3 AscFileControl; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileControl.sys [X]
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
CMD: netsh int ip reset
CMD: ipconfig /flushDNS
 
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
 
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta.

 

[johnny7199]

Fixlog.txt

[Lusitano]

@johnny7199Olá, algumas questões:

Vejo ainda o Bitdefender no seu sistema, mas você está usando o Avast e o Windows Defender está desativado. Quer manter desta forma?

 

Vejo também o uTorrent. Este tipo de programas são fonte de problema e de onde vem a grande maioria dos malwares. Quer manter?

 

Estas portas estão autorizadas na firewall. Suponho que sejam do seu conhecimento, caso não sejam, avise para corrigirmos

LPort=35474 | LPort=35474  |  LPort=35475  |  LPort=35475  |  LPort=35476  |  LPort=35476

 

Informe também como está o seu pc agora.

 

 

[johnny7199]

Tem algum problema os programas que defendem o pc? Senão eu não vejo o porque mudar, mas pode falar o que achar melhor.
O torrent eu nem uso com frequência, a última vez que usei ele foi uns meses atrás.
Eu não entendo nada de portas, eu uso hamachi pra jogar com uns amigos, não sei se tem a ver. Não sei qual porta tem que deixar ou não.

Agora parece que está mais normal, só o mouse no Apex da Steam que quando eu mexo ele pro lado ele fica todo travado e ainda perco fps quando giro ele, mesmo olhando pro chão.

Sobre o desempenho do pc e o som da ventoinha, talvez ele faça esse esforço a mais pra diminuir a temperatura mesmo, mas mesmo assim eu me assusto quando começa do nada no meio ou quando acaba a partida do Apex.

[Lusitano]

1 hora atrás, johnny7199 disse:

Tem algum problema os programas que defendem o pc? Senão eu não vejo o porque mudar, mas pode falar o que achar melhor.

Não propriamente. Mas, a Avast nestes últimos anos teve alguns comportamentos pouco éticos para uma empresa que "oferece" programas de segurança e por esses motivos eu pessoalmente não recomendo.

Creio que você ficaria bem servido com o Windows Defender, bem configurado é um software muito interessante e eficaz.

Quanto ao antivírus é essa a minha opinião, mas a decisão é sua. Apenas me informe para eu poder o orientar caso necessite.

 

1 hora atrás, johnny7199 disse:

O torrent eu nem uso com frequência, a última vez que usei ele foi uns meses atrás.

Evite este tipo de software. A maioria dos programas que circulam, geralmente os crackeados contêm malware e alguns deles bastantes perigosos.

 

1 hora atrás, johnny7199 disse:

Não sei qual porta tem que deixar ou não.

Provavelmente serão portas utilizadas pelos jogos. Por via das dúvidas poderíamos desativar e voltaria a ativá-las quando fosse usar um jogo. Mas uma vez que o pc não está apresentando sintomas de infeção, nem vejo essa necessidade.

 

Quanto ao resto, alguns jogos exigem boa capacidade por parte dos computadores, tanto a nível de software e consequentemente do hardware.

 

Ok, feitas as explicações acima, necessito de saber o que você decide quanto ao antivirus e se quer manter o uTorrent, para poder lhe passar as próximas instruções.

 

Abraço

[johnny7199]

Obrigado por me ajudar, acho que tirando o torrent ta bom já

[Lusitano]

@johnny7199

Olá, vamos continuar:

 

Instruções:

 

1. Desinstalação de programas:

    Pressione as teclas win + R;
    Na caixa que abrir, digite: appwiz.cpl e dê enter;
    Localize e desinstale os seguintes programas (caso existam):

• uTorrent

2. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente. 

Citação

Start::
CreateRestorePoint:
CloseProcesses:
CHR Extension: (AdBlock — o melhor bloqueador de anúncios) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2021-12-13]
CHR Extension: (Safe Torrent Scanner) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb [2021-11-17]
R2 gzflt; C:\WINDOWS\System32\DRIVERS\gzflt.sys [176112 2021-05-08] (Bitdefender SRL -> BitDefender LLC)
S3 Trufos; C:\WINDOWS\System32\DRIVERS\TRUFOS.sys [439928 2021-05-08] (Bitdefender SRL -> BitDefender S.R.L.)
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\User\Dados de Aplicativos:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Dados de Aplicativos:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\User\Dados de Aplicativos:eb92b835a834003ac00ee2632de0e925 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:eb92b835a834003ac00ee2632de0e925 [394]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aswSP.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aswSP.sys => ""="Driver"
Removeproxy:
Emptytemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

Nota: Um dos comandos acima, irão remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição.

 

Por gentileza, na sua próxima resposta, anexe o arquivo Fixlog.txt

 

Abraço

[johnny7199]

 

 

 

 

Fixlog.txt

 

 

[Lusitano]

@johnny7199

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

1. Faça o download de KpRm e salve no seu desktop.

• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

2. Desinstale o FRST:

Citação

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares e salve-os em diferentes locais.

 

Abraço

[johnny7199]

Muito obrigado por me ajudar! 
Só tenho algumas dúvidas.
Não vou precisar usar esses programas mais? E se acontecer algum problema eu faço outro post daí né?
 

[Lusitano]

@johnny7199Não irá necessitar dessas ferramentas, por isso eu lhe passei instruções para as remover.

Se você mantiver os seus programas devidamente atualizados, evitar sites duvidosos e programas como o uTorrent, já estará com uma boa margem de segurança para não tornar a ser afetado por malwares.

 

Caso venha algum dia  necessitar, estaremos aqui para o auxiliar e as ferramentas que necessitarmos poderão ser outras

 

[johnny7199]

Entendi, muito obrigado pela ajuda 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.