Windows Defender detectou tiggre!rfn

Gustavo Ceron Lombardi · 1 de janeiro de 2022

Boa tarde.
Fiz uma varredura completa no meu notebook e foi detectado um tiggre!rfn, foi colocado em quarentena.
Gostaria de ajuda para saber se está tudo certo ou se preciso realizar mais algum procedimento.

diego_moicano · 4 de janeiro de 2022

Recomendo que salve esse tópico em seus Favoritos para facilitar na hora de encontrá-lo.

Antes de continuarmos é recomendável que leia as regras dessa área em Manual de uso do setor Remoção de malware

Note que, a partir do momento que dê continuidade com o tópico, assume-se que está de acordo com as regras. Não precisa postar o log do ZA-Scan, somente se for pedido.

Por favor, atente para o seguinte:

Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
Sempre coloque suas respostas neste tópico... Não abra outro!
Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
Sempre antes de executar qualquer ferramenta passada aqui, tenha certeza que todos os programas estejam fechados.
Respeite a ordem das instruções passadas.

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

# Etapa nº 1 #

Desative temporariamente seu antivírus para não causar conflitos.

Faça o download da AdwCleaner e salve-a em seu Desktop (Área de Trabalho).

Feche todos os programas.
Clique com o botão direito em adwcleaner_nºVersion.exe e escolha Executar como Administrador
Clique em I agree para aceitar o termo de responsabilidade.
Clique no botão Scan Now e aguarde.
Clique no botão Run Basic Repair.
Clique no botão LogFile, depois clique no relatório que será aberto pelo Bloco de Notas.
Selecione todo seu conteúdo, copie e cole em sua próxima resposta.

O log também será salvo em C:\AdwCleaner\Logs

NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado.

# Etapa nº 2 #

Desative temporariamente seu antivírus, antispywares para não causar conflitos.

Faça o download da Farbar Recovery Scan Tool e salve-a em seu Desktop (Área de Trabalho).

Nota1 : Você precisa executar a versão compatível com o seu sistema (32-Bit ou 64-Bit). Se você não tiver certeza de qual versão se aplica ao seu sistema, faça o download dos dois e tente executá-los. Apenas um deles será executado, que será a versão correta.

Nota2 : Lembre-se, a ferramenta deve ser executada diretamente do Desktop (Área de Trabalho).

Clique com o botão direito em FRST.exe ou FRST64.exe e escolha Executar como Administrador.
Quando a ferramenta abrir click em Sim (Yes) para aceitar o termo de responsabilidade.
Pressione o botão Analisar (Scan).
Dois logs (relatórios) serão gerados: FRST.txt e Addition.txt no Desktop.
Anexe os dois log.

Ative novamente seu antivírus

Abraços

Gustavo Ceron Lombardi · 4 de janeiro de 2022

@diego_moicano

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-04-2022
# Duration: 00:00:01
# OS:       Windows 10 Pro
# Cleaned: 10
# Awaiting reboot:4
# Failed:   0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\SUPPORTASSIST\CLIENT\TECHNICIANTOOLKIT
Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\Users\Usuario\Documents\DELL\SUPPORTASSIST
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F48EF1C7-5259-4CB4-BA2E-9D41F79FAE64}
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F48EF1C7-5259-4CB4-BA2E-9D41F79FAE64}
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Dell SupportAssistAgent AutoUpdate
Deleted       Preinstalled.DellSupportAssistAgent   Task   C:\Windows\System32\Tasks\DELL SUPPORTASSISTAGENT AUTOUPDATE
Needs Reboot Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SAREMEDIATION\PLUGIN
Needs Reboot Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT
Needs Reboot Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE
Needs Reboot Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

***** Reboot Required to Complete *****

***** [ Folders ] *****

Cleaning failed   C:\Program Files (x86)\DELL\UPDATESERVICE
Cleaning failed   C:\Program Files\DELL\SAREMEDIATION\PLUGIN
Cleaning failed   C:\Program Files\DELL\SUPPORTASSISTAGENT
Cleaning failed   C:\ProgramData\DELL\UPDATESERVICE

*************************

AdwCleaner[S00].txt - [2527 octets] - [04/01/2022 17:24:15]
AdwCleaner[S01].txt - [2588 octets] - [04/01/2022 17:25:37]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

FRST.txt Addition.txt

diego_moicano · 5 de janeiro de 2022

Caro @Gustavo Ceron Lombardi

# Etapa nº 1 #

Pergunta:

1) Por acaso utiliza a porta 5357?

# Etapa nº 2 #

Ao executar a etapa abaixo o histórico do seu navegador será zerado, cookies, arquivos temporários, caches e lixeira.

Desative temporariamente seu antivírus, antispywares para não causar conflitos.

Salve o arquivo (fixlist.txt) no anexo dessa mensagem em seu Desktop (Área de Trabalho).

Clique com o botão direito em FRST.exe ou FRST64.exe e escolha Executar como Administrador.
Clique no botão Fix (Corrigir) e aguarde.
O sistema pode ser reiniciado.
Será criado um arquivo de texto Fixlog.txt em seu Desktop.
Anexe-o em sua próxima resposta.

Novamente:

Execute novamente o FRST.exe ou FRST64.exe e escolha Executar como Administrador.
Marque a opção Addition.txt.
Pressione o botão Scan (Examinar).
Anexe os dois logs.

Note: espero três logs em sua próxima resposta.

Ative novamente seu antivírus, antispywares

Abraços

fixlist.txt

Gustavo Ceron Lombardi · 5 de janeiro de 2022

@diego_moicano

# Etapa nº 1 #

Não sei como verificar se a porta 5357 está em uso.

# Etapa nº 2 #

Logs em anexo.

Addition.txt Fixlog.txt FRST.txt

Gustavo Ceron Lombardi · 6 de janeiro de 2022

@diego_moicano
Agora pela manhã fui olhar o histórico da conta do youtube linkada ao meu email pessoal do gmail e observei vários vídeos que eu não assisti.
Entrei nas configurações de segurança e me deparei com a imagem em anexo.
No firefox sou eu que estou logado, no google chrome não.

diego_moicano · 7 de janeiro de 2022

Caro @Gustavo Ceron Lombardi

Ok, obrigado pelas info.

# Etapa nº 1 #

Execute o PowerShell como Administrador e digite:

Get-NetTCPConnection > portas.txt

Depois anexo o arquivo portas.txt em sua próxima resposta.

# Etapa nº 2 #

Desative temporariamente seu antivírus, antispywares para não causar conflitos.

Salve o arquivo (fixlist.txt) no anexo dessa mensagem em seu Desktop (Área de Trabalho).

Clique com o botão direito em FRST.exe ou FRST64.exe e escolha Executar como Administrador.
Clique no botão Fix (Corrigir) e aguarde.
O sistema pode ser reiniciado.
Será criado um arquivo de texto Fixlog.txt em seu Desktop.
Anexe-o em sua próxima resposta.

Ative novamente seu antivírus, antispywares

Abraços

Gustavo Ceron Lombardi · 7 de janeiro de 2022

@diego_moicano
Nessa última mensagem não tem fixlist.txt anexado, eu uso o que você mandou anteriormente ?

diego_moicano · 7 de janeiro de 2022

Opa, acabei me esquecendo.

Segue no anexo.

Aproveitar:

Citação

Nome: Trojan:Win32/Tiggre!rfn
Gravidade: Grave
Categoria: Cavalo de Tróia
Caminho: file:_C:\Users\Usuario\Downloads\Crack.rar

Cuidado com o que você baixa!

PS: o arquivo não está mais presente em seu Windows.

fixlist.txt

Gustavo Ceron Lombardi · 7 de janeiro de 2022

@diego_moicano
Seguem logs.

portas.txt Fixlog.txt

diego_moicano · 9 de janeiro de 2022

Caro @Gustavo Ceron Lombardi

# Etapa nº 1 #

Execute o PowerShell como Administrador e digite:

netstat -ano | findstr 5357  <ENTER>

Anote o PID, add o número no comando abaixo e execute-o:

taskkill /PID digitePIDaqui /F  <ENTER>

# Etapa nº 2 #

Atualize seu antivírus, faça um scan e poste o resultado em sua próxima resposta.

Abraços

Gustavo Ceron Lombardi · 9 de janeiro de 2022

@diego_moicano
Executei a etapa 1 e não obtive a informação do PID.

diego_moicano · 10 de janeiro de 2022

O PID é a última coluna do lado direito, então seria o nº 4.

Portanto o comando ficaria:

taskkill /PID 4 /F  <ENTER>

Aguardo o relatório.

Gustavo Ceron Lombardi · 10 de janeiro de 2022

@diego_moicano

diego_moicano · 11 de janeiro de 2022

Caro @Gustavo Ceron Lombardi

# Etapa nº 1 #

Desative temporariamente seu antivírus, antispywares para não causar conflitos.

Salve o arquivo (fixlist.txt) no anexo dessa mensagem em seu Desktop (Área de Trabalho).

Clique com o botão direito em FRST.exe ou FRST64.exe e escolha Executar como Administrador.
Clique no botão Fix (Corrigir) e aguarde.
O sistema pode ser reiniciado.
Será criado um arquivo de texto Fixlog.txt em seu Desktop.
Anexe-o em sua próxima resposta.

Ative novamente seu antivírus, antispywares

# Etapa nº 2 #

Faça o scan com seu antivírus e anexe o resultado.

Abraços

fixlist.txt

Gustavo Ceron Lombardi · 11 de janeiro de 2022

@diego_moicano

Segue o fixlog e print do Windows Defender.

Fixlog.txt

diego_moicano · 12 de janeiro de 2022

Caro @Gustavo Ceron Lombardi

Desative temporariamente seu antivírus, antispywares para não causar conflitos.

# Etapa nº 1 #

Renomeie o FRST.exe ou FRST64.exe para uninstall.exe
Clique com o botão direito em uninstall.exe e escolha Executar como Administrador.
Aguarde.

# Etapa nº 2 #

Clique com o botão direito em adwcleaner_nºVersion.exe e escolha Executar como Administrador

Clique em Settings e depois em Applications.

Em Remove AdwCleaner clique no botão Remove.

# Etapa nº 3 #

Faça o download da KpRm by Kernel-panik e salve-a em seu Desktop (Área de Trabalho).

Clique com o botão direito e escolha Executar como Administrador.

Marque os itens em Actions:

- Delete tools
- Delete Restore Points
- Create Restore Point
- Registry Backup
- UAC Restore
- Restore System Settings

Marque os itens em Delete Quarentines:

- Delete now

Clique no botão Run.
Uma vez terminado clique em Ok.

O log irá abrir com o título kprm-(data).txt.

Selecione todo o conteúdo, copie e cole em sua próxima resposta (caso ache necessário).

# Etapa nº 4 #

Faça o download da Security Check by glax24.25 e salve-a em seu Desktop (Área de Trabalho).

Clique com o botão direito em SecurityCheckH.exe e escolha Executar como Administrador.
Aguarde... irá abrir o navegador.
Confira cada aviso (Warning!) e faça as devidas atualizações (Download Update).

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

Nota: Caso queira pode deletar o(s) arquivo(s) depois do fechamento desse tópico.

Ative novamente seu antivírus, antispywares

# Etapa nº 5 # - (OPCIONAL)

O Ccleaner é um excelente utilitário de limpeza para o computador.

Faça o download dele aqui Ccleaner

Após a instalação vá até o local onde o programa foi instalado, geralmente em C:\Arquivos de programas\CCleaner.
Clique duas vezes nesta pasta;
Numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta;
Coloque o nome de backups.
Abra o programa e clique em Executar Limpeza;
Clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
Observação: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

Abraços

Gustavo Ceron Lombardi · 12 de janeiro de 2022

@diego_moicano

# Etapa nº 3 #
# Run at 12/01/2022 09:40:18
# KpRm (Kernel-panik) version 2.9.3
# Website https://kernel-panik.me/tool/kprm/
# Run by Usuario from C:\Users\Usuario\Desktop
# Computer Name: DESKTOP-I5G2Q4N
# OS: Windows 10 X64 (18363)
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point
    ~ Delete Quarantines

- Create Registry Backup -

~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
~ [OK] Hive C:\Users\Usuario\NTUSER.dat backed up

[OK] Registry Backup: C:\KPRM\backup\2022-01-12-09-40-18

- Delete Tools -

## McAfee Stinger
[OK] C:\Program Files\stinger deleted
[OK] C:\Quarantine\Stinger deleted

## ZHP Tools
[OK] C:\Users\Usuario\AppData\Local\ZHP deleted
[OK] HKCU\SOFTWARE\ZHP deleted

- Other Lines -

## Quarantines never deleted
~ C:\Users\Usuario\AppData\Roaming\ZHP (ZHP)

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named 06_01_22 created at 01/06/2022 18:55:38 deleted
   ~ [OK] RP named Restore Point Created by FRST created at 01/11/2022 12:55:24 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

[OK] System Restore Point created

- Display System Restore Point -

~ [I] RP named KpRm created at 01/12/2022 12:40:35

-- KPRM finished in 39.34s --

Executei todas as etapas seguintes, não ocorreu nenhum problema.

diego_moicano · 12 de janeiro de 2022

Caro @Gustavo Ceron Lombardi

Maravilha! Podemos finalizar?

Abraços

Gustavo Ceron Lombardi · 12 de janeiro de 2022

@diego_moicano
Podemos finalizar.
Muito obrigado pela ajuda.
Abraço.

diego_moicano · 13 de janeiro de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.