Acesso não autorizado a contas on-line.

[del_bone]

Recebi um email relativo à compras no site www.pichau.com.br, ao acessar o site da loja com o meu usuário constavam 3 compras na data de 19.01.2022 que não foram realizadas por mim.

 

Entrei em contato com a loja para resolver o ocorrido, mas como não sei como tiveram acesso aos dados do minha conta na pichau tenho medo de estar com algum malware instalado no computador.

 

Fato semelhante já havia ocorrido em outubro do ano passado com o site da Centauro.

 

Em anexo log do ZAScan.

 

Desde já agradeço a ajuda.

 

 

ZA-Scan.txt

[Lusitano]

@del_bone

Algumas regras básicas a ter em conta:

• Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
• Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
• Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
• Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
• Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
• Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware.

 

Instruções:

 

1. Faça o download e execute esta ferramenta como administrador.

 

2. Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

• Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
• Pressione o botão Analisar.
• Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.

3. Na sua próxima resposta, por gentileza coloque:

• Resultado do ponto nº 1
• Anexe esses logs FRST.txt e Addition.txt (ponto nº 2)

[]'s

[del_bone]

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-23-2022
# Duration: 00:00:00
# OS:       Windows 10 Pro
# Cleaned:  1
# Failed:   0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

Deleted       C:\Users\rabar\AppData\Roaming\Mozilla\Firefox\Profiles\gbzqbqas.default-release\invalidprefs.js

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1508 octets] - [23/01/2022 06:34:18]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Addition.txt FRST.txt

[Lusitano]

@del_bone

Olá,

1. Programas que vejo que você tem instalados, mas que eu não recomendo, mas a decisão se os pretende manter é sua, apenas me informe:

• uTorrent

2. Execução FRST:

•   Clique direito do mouse no icone do FRST e selecione executar como administrador
•   Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente

Start::
closeprocesses:
createrestorepoint:
SystemRestore: On 
Task: {065EA9C0-24AF-4716-8E04-BB25BCDEB171} - \Rerun Warsaw's CoreFixer -> Nenhum Arquivo <==== ATENÇÃO
Task: {1DC62895-EDD4-4E99-8A79-E4595591A0DE} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-652207974-1608278505-3514412468-1002 => C:\Users\rabar\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Nenhum Arquivo)
Task: {5E17A9A1-EA0B-4B20-8865-6B3724647AC8} - System32\Tasks\Online_KMS_Activation_Script-Renewal => %windir%\Online_KMS_Activation_Script\Online_KMS_Activation_Script-Renewal.cmd  (Nenhum Arquivo)
Task: {9711B567-27BC-4DA5-93B3-023162561194} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (Nenhum Arquivo)
Task: {A4FFF011-7C0B-4E59-87DA-5902CF2AD6D3} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-652207974-1608278505-3514412468-500 => C:\Users\rabar\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Nenhum Arquivo)
Task: {ADFBEA6F-A682-4F08-A408-8BB4D9F05AA3} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-652207974-1608278505-3514412468-1006 => C:\Users\rabar\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Nenhum Arquivo)
Task: {BD8A6CFC-DA4C-4724-A3E5-8FE7A48EDFF0} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-652207974-1608278505-3514412468-1006 => C:\Users\rabar\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Nenhum Arquivo)
Task: {C53C2ABA-8CBA-4832-845B-718F02279A45} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
Task: {C7587666-E453-48B9-9CDF-47881A8FCC07} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (Nenhum Arquivo)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATENÇÃO (Restrição - Zones)
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum Arquivo
ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Nenhum Arquivo
ContextMenuHandlers4: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Nenhum Arquivo
AlternateDataStreams: C:\ProgramData:YXVtLmh6aQ [9394]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\wsddfac.sys:X5ZN8aGXs4 [2142]
AlternateDataStreams: C:\Users\All Users:YXVtLmh6aQ [9394]
AlternateDataStreams: C:\Users\Todos os Usuários:YXVtLmh6aQ [9394]
AlternateDataStreams: C:\ProgramData\Application Data:YXVtLmh6aQ [9394]
AlternateDataStreams: C:\ProgramData\Dados de Aplicativos:YXVtLmh6aQ [9394]
HKLM\SOFTWARE\Policies\Google: Restrição <==== ATENÇÃO
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: ipconfig /flushDNS
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
End:: 

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta.

3. Vamos verificar umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop

•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

4. Na sua próxima resposta, por gentileza:

• Anexe o log Fixlog.txt
• Anexe o log ESETScan.txt
• Informe acerca da sua decisão sobre o programa uTorrent

[ ]'s

 

 

[del_bone]

Segue os logs solicitados.

 

Com relação ao uTorrent, se não comprometer a resolução do problema gostaria de mantê-lo.  

ESETScan.txt Fixlog.txt

[Lusitano]

9 horas atrás, del_bone disse:

se não comprometer a resolução do problema gostaria de mantê-lo

A escolha é sua, mas o software que maioritariamente circula por aí, é em grande parte ilegal e com malware e provavelmente terá sido a origem do seu problema.

 

Sugeria você alterar as suas passwords de acesso, já que você relatou que teve problemas quanto a isso, nomeadamente no pichau.

 

O seu pc já está limpo de malware. Ainda nota algo estranho?

 

abraço

[del_bone]

10 horas atrás, Lusitano disse:

A escolha é sua, mas o software que maioritariamente circula por aí, é em grande parte ilegal e com malware e provavelmente terá sido a origem do seu problema.

No Scan realizado pelo ESET Scanner ele deletou o utorrent, vou pesquisar um pouco e instalar outro cliente torrent.

 

10 horas atrás, Lusitano disse:

Sugeria você alterar as suas passwords de acesso, já que você relatou que teve problemas quanto a isso, nomeadamente no pichau.

Já havia alterado após o ocorrido, devo alterar novamente?

 

10 horas atrás, Lusitano disse:

O seu pc já está limpo de malware. Ainda nota algo estranho?

Até o momento nada estranho.

Agradeço a ajuda.

[Lusitano]

2 horas atrás, del_bone disse:

No Scan realizado pelo ESET Scanner ele deletou o utorrent

Eu ainda lhe deixei tendo opção, mas eles não

 

2 horas atrás, del_bone disse:

Já havia alterado após o ocorrido, devo alterar novamente?

Nada do que tratámos agora, indicava software malicioso capaz de capturar suas senhas. Portanto, como você afirma que agora não nota mais nada estranho, não vejo razão para realizar troca.

 

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais.

 

Abraço

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.