McAfee - Conexão suspeita de entrada de rede bloqueada

[Nestor3468]

Boa noite, 

 

Ontem, enquanto navegava na Internet me deparei com mensagens em sequencia de meu antivírus, McAfee, dizendo que meu computador foi protegido de malwares, então após isso eu coloquei o computador para fazer uma varredura completa e então foram detectados malwares que o McAfee deixou em quarentena. Hoje, eu recebi a mensagem de meu antivírus de que meu computador foi protegido de uma conexão suspeita, fui verificar o histórico de segurança do McAfee e havia 284 mensagens dizendo: Conexão suspeita de entrada de rede bloqueada. Agora estou escrevendo esse tópico para saber se isso é grave e se sim o que eu devo fazer? Por favor me ajudem.

 

 

[Lusitano]

@Nestor3468

Caro usuário,

Algumas regras básicas a ter em conta:

• Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
• Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
• Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
• Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
• Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
• Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Instruções:

 

1. Faça o download e execute esta ferramenta.

 

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

 

Na sua próxima resposta, por gentileza coloque:

• Resultado do ponto nº 1
• Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)

[]'s

[Nestor3468]

Boa tarde,

1. Eu executei o programa do tópico n°1 e foram estes os resultados:

2. Segue os logs do ponto n°2:

 

FRST.txt Addition.txt

mblog.txt

[Lusitano]

@Nestor3468 Olá,

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente

Citação

Start::
closeprocesses:
createrestorepoint:
SystemRestore: On
Task: {045369F1-0D22-4E87-AD61-EDBA9089625A} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {16CB466C-629C-4F0B-9768-CF6AC76FDA2E} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {43FA198C-56EF-485E-8338-5DD43A58EE93} - \NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {4680A8DF-7B63-403E-ABB1-3FA7B77DE631} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan -> Nenhum Arquivo <==== ATENÇÃO
Task: {559B0F92-63C4-4001-AE5E-A650091C71B8} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance -> Nenhum Arquivo <==== ATENÇÃO
Task: {65D019D0-F243-48D6-BF64-4C7C815C9ADF} - \NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
"C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" foi desbloqueado. <==== ATENÇÃO
Task: {6CBEF361-EE00-46F9-B3B8-D803788F07C8} - \Microsoft\Windows\Management\Provisioning\PostResetBoot -> Nenhum Arquivo <==== ATENÇÃO
Task: {7AB99700-DBE1-499C-BB13-9E5DA697184F} - \NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {963B32A3-40F1-4153-A619-B2BFE47110C8} - \NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {98B45411-6720-4638-8584-8B8D324C9380} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {BB010B6D-0742-422A-932F-45DBC9821760} - \NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {DB1218E6-F693-4F20-BC36-E62D6CB63AB4} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup -> Nenhum Arquivo <==== ATENÇÃO
Task: {E559FBB0-7370-4985-90DD-5D6B10DFC5F1} - \Microsoft\Windows\Windows Defender\Windows Defender Verification -> Nenhum Arquivo <==== ATENÇÃO
Task: {EECD03D6-9B64-4EAB-9D55-01FE3356AC66} - \NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
Task: {FE2907E7-D990-4647-8E9B-4F2FD1BF9896} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Nenhum Arquivo <==== ATENÇÃO
S4 DBUtilDrv2; \SystemRoot\System32\drivers\DBUtilDrv2.sys [X]
FirewallRules: [{7ECF13DD-05E7-4341-BEC9-22916217E338}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_3.1.9518.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Nenhum Arquivo
FirewallRules: [{AA984CDD-3DCE-4C03-8289-45CBDA90D460}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_3.1.9518.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Nenhum Arquivo
FirewallRules: [{64048683-DC64-44AA-9A72-9A6B30D156FA}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Nenhum Arquivo
Emptytemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

[Nestor3468]

Fixlog.txt@Lusitano O problema ainda continua,

 

Segue o arquivo:

[Lusitano]

Vamos verificar umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
• Clique direito em esetonlinescanner_enu.exe e execute como administrador
• Clique em Computer Scan
• Clique em Full scan
• Selecione Enable ESET to detect and quarantine potentially unwanted applications
• Clique em Start scan
• Quando terminar, salve o resultado no seu desktop como ESETScan.txt
• Clique Continue e depois em Close
• Anexe o arquivo ESETScan.txt

[Nestor3468]

@Lusitano Segue o arquivo:ESETScan.txt

[Lusitano]

@Nestor3468 Olá, Nada nas análises está sendo detetado, o que indica que o McAfee está protegendo o seu sistema. Resta saber quando acontece esses eventos, se é ao você visitar alguma página ou outra situação. Por outro lado, os ip's bloqueados não são necessariamente malignos.

Uma recomendação é que você não utilize este tipo de programas, que originam muitas infeções, já que a maioria dos programas partilhados são ilegiais e contêm malwares: C:\Users\DELL\AppData\LocalLow\uTorrent

Vamos fazer mais uma coisa.

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente

Citação

start::
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM\...\Chrome\Extension: [klekeajafkkpokaofllcadenjdckhinm]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [klekeajafkkpokaofllcadenjdckhinm]
Hosts:
Removeproxy:
Reboot:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

[Nestor3468]

@LusitanoBom dia,

 

O problema ainda persiste, mas a mensagem só aparece quando meu computador está ligado a internet, você acha que pode ser um hacker ou algo do tipo?

 

Segue o log:

Fixlog.txt

[Lusitano]

@Nestor3468 Olá,

1 hora atrás, Nestor3468 disse:

mensagem só aparece quando meu computador está ligado a internet, você acha que pode ser um hacker ou algo do tipo?

Da imagem que você postou, os ip´s são legítimos (por ex: o 1º é da goolge e o 2º da amazon). Eu creio que seja a firewall do seu McAfee que deteta essa entrada e a bloqueia, mas não necessariamente por ser malware. Nada nas análises foi detetado, o que só vem confirmar que não existe malware.

 

Um bom teste seria por exemplo, voce desinstalar temporariamente o McAfee e instalar um outro antivirus como este da Kaspersky e ver se isso também ocorre.

Caso opte por fazer este teste, veja estas instruções:

• Desinstalar o McAfee

Depois, caso prefira o McAfee, é só desinstalar o da kaspersky e voltar  a instalar o McAfee.

 

 

 

[Nestor3468]

@Lusitano Ok, muito obrigado pelo auxílio

[Lusitano]

@Nestor3468Olá,

Vou lhe passar instruções para removermos as ferramentas que utilizámos e que você não irá necessitar no normal uso do seu pc e nesse processo irá ser automaticamente feito um novo ponto de restauro que lhe poderá ser útil caso algo errado lhe possa acontecer e assim pode facilmente reverter a situação.

 

1. Faça o download de KpRm e salve no seu desktop.

• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

2. Desinstale o FRST:

Para eliminar automaticamente todos os arquivos/pastas criadas pelo FRST e a própria ferramenta, renomeie FRST/FRST64.exe para uninstall.exe e execute. Este procedimento requer o reinicio do sistema.

 

3. Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais (cloud, pendrive, etc.).

 

Abraço

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.