Remoção de Trojan / Malware

R PV · 5 de maio de 2022

Boa noite.

Desde o dia 04/05/2022 um Malware tem atormentado minha máquina. O AVAST, antivirus o qual eu uso atualmente, tem apitado quando eu acesso algumas páginas do google e em seu relatório ele mostra o nome SCRIPT:SNH-gen. Meu palpite é que ele afeta sites que usam JavaScript e afins (como o GoogleTradutor). Após isso, executei um escaneamento completo na máquina e o AVAST não conseguiu identificar o vírus, foi então que recorri a outros antivirus como o ComboCleaner e eles conseguiram identificar o virus (nomeado Trojan em seus relatórios), mas não removê-lo. Depois de inúmeras tentativas, decidi recorrer ao fórum pois já não sei mais o que fazer.

Conforme ao que eu li no manual de uso e nas regras do fórum, eu anexei os logs que foram pedidos (do ADW e do FRST) e espero não ter quebrado nenhuma regra e se o fiz não foi por querer pois raramente entro nesse forum, especialmente na categoria de Malwares.

ADWSCAN.txt Addition.txt FRST.txt

Lusitano · 6 de maio de 2022

@R PVOlá,

Citação

GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Google: Restrição <==== ATENÇÃO

Estas políticas são do seu conhecimento?

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale o software qBittorrent, caso eles exista.

P2P são programas não recomendáveis.

2. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente.

Citação

Start::
closeprocesses:
createrestorepoint:
SystemRestore: On
S4 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
2022-04-23 16:20 - 2022-04-23 19:48 - 000000000 ____D C:\Users\PICHAU\AppData\Roaming\qBittorrent
2022-04-23 16:20 - 2022-04-23 16:20 - 000000000 ____D C:\Users\PICHAU\AppData\Local\qBittorrent
2022-04-23 16:17 - 2022-04-23 16:17 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qBittorrent
CustomCLSID: HKU\S-1-5-21-1684547479-436279848-3431984738-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\PICHAU\AppData\Local\Microsoft\OneDrive\19.002.0107.0005\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-1684547479-436279848-3431984738-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\PICHAU\AppData\Local\Microsoft\OneDrive\19.002.0107.0005\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-1684547479-436279848-3431984738-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\PICHAU\AppData\Local\Microsoft\OneDrive\19.002.0107.0005\amd64\FileSyncShell64.dll => Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Nenhum Arquivo
FirewallRules: [UDP Query User{F9467FCB-4136-4EAF-93A8-C5CEAFA13F28}D:\games\biomutant\biomutant\binaries\win64\biomutant-win64-shipping.exe] => (Allow) D:\games\biomutant\biomutant\binaries\win64\biomutant-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{1ACB33CB-A594-4B65-B7D9-FFB878DCC607}D:\games\biomutant\biomutant\binaries\win64\biomutant-win64-shipping.exe] => (Allow) D:\games\biomutant\biomutant\binaries\win64\biomutant-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [{C89BDD31-81D9-4ED8-97BF-E5356622B22B}] => (Allow) D:\Steam\steamapps\common\Albion Online\launcher\AlbionLauncher.exe => Nenhum Arquivo
FirewallRules: [{8AF33C35-E4E3-4371-93F9-D265A68A9643}] => (Allow) D:\Steam\steamapps\common\Albion Online\launcher\AlbionLauncher.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E754B01F-BA82-4071-B505-4D08C3488C0D}D:\games\pathfinder wrath of the righteous\wrath.exe] => (Allow) D:\games\pathfinder wrath of the righteous\wrath.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{DAAF1E1D-2975-4CFF-8E5E-F1E369F11DA9}D:\games\pathfinder wrath of the righteous\wrath.exe] => (Allow) D:\games\pathfinder wrath of the righteous\wrath.exe => Nenhum Arquivo
FirewallRules: [{F5665C5C-23A5-47CA-BF3D-B4896B6D1C1F}] => (Allow) C:\Users\PICHAU\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo
FirewallRules: [{AA2836AF-B2B5-44D7-AAFC-A42DFAE84419}] => (Allow) C:\Users\PICHAU\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo
FirewallRules: [{2B699833-439B-41CD-ACE2-96CB71A93D59}] => (Allow) C:\Users\PICHAU\AppData\Roaming\Zoom\bin\Zoom.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{F8D9AD47-32DB-4663-8E80-FF1333B0D1AE}D:\codex\dragon.ball.z.kakarot.v1.50-p2p\dragon ball z kakarot\at\binaries\win64\at-win64-shipping.exe] => (Allow) D:\codex\dragon.ball.z.kakarot.v1.50-p2p\dragon ball z kakarot\at\binaries\win64\at-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{9BE0F0FE-648E-42D5-9645-B6C4AFDC33AE}D:\codex\dragon.ball.z.kakarot.v1.50-p2p\dragon ball z kakarot\at\binaries\win64\at-win64-shipping.exe] => (Allow) D:\codex\dragon.ball.z.kakarot.v1.50-p2p\dragon ball z kakarot\at\binaries\win64\at-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{2BA480F0-7F67-4DC5-9465-EBF11805FEA8}D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{09194FB3-025A-4412-AC40-D6898E023558}D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) D:\games\star wars jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{A822D9A6-E37C-4343-B9CE-948BCA8DFAAF}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{47A667A7-DA6F-4502-B578-E0F5FFAAC368}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{80EEBD3C-729F-4BF8-B6FA-7FCA4AE2B0C1}D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe] => (Allow) D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{B1FB8C86-5F4A-4E7C-B4DE-A27AF1983B70}D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe] => (Allow) D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe => Nenhum Arquivo
FirewallRules: [{D898D3FB-7AE2-4CBF-9078-34FF34F1D7B5}] => (Allow) C:\Program Files (x86)\WOMic\womicclient.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{42E3669C-B440-49E4-9BF6-7116A277A8D0}D:\games\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe] => (Allow) D:\games\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{BC8E59AB-C6DC-40CE-8912-8B42670DFD31}D:\games\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe] => (Allow) D:\games\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{380465AD-42C9-4ECE-9350-03F87B0DF88B}D:\games\state of decay 2\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe] => (Allow) D:\games\state of decay 2\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{01297000-F631-43DC-B646-115266C8CA9C}D:\games\state of decay 2\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe] => (Allow) D:\games\state of decay 2\state of decay 2 juggernaut edition\stateofdecay2\binaries\win64\stateofdecay2-win64-shipping.exe => Nenhum Arquivo
FirewallRules: [{7F42AAC0-B25D-4D50-85BE-03F32D3A750D}] => (Allow) C:\Users\PICHAU\AppData\Roaming\uTorrent\uTorrent.exe => Nenhum Arquivo
FirewallRules: [{F2E0C900-1E52-4BE4-9F6E-1E75A7A8C009}] => (Allow) C:\Users\PICHAU\AppData\Roaming\uTorrent\uTorrent.exe => Nenhum Arquivo
FirewallRules: [{21B8D988-9CD9-4120-B918-32A3460D4431}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{ACA3024B-E1AD-4DEC-BAAA-7C21207FF114}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{032D87F3-E234-4507-A447-D6AE233A515B}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Nenhum Arquivo
FirewallRules: [{A4CB70F7-9345-469B-B36C-00A0F3E12E7E}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Nenhum Arquivo
FirewallRules: [{205BA4D8-CF26-4C0E-A57A-A6553A02D1C3}] => (Allow) D:\BlueStacks\BlueStacks X\BlueStacksWeb.exe => Nenhum Arquivo
FirewallRules: [{525B52C2-0740-455D-814F-ABA6D497865B}] => (Allow) D:\BlueStacks\BlueStacks X\Cloud Game.exe => Nenhum Arquivo
FirewallRules: [{1628F8AB-00F3-43AC-9C28-9FBFC6325CFC}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Nenhum Arquivo
Reboot:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente e responda á questão das politicas de grupo que lhe coloquei no inicio.

Abraço

R PV · 6 de maio de 2022

@Lusitano

Boa tarde,

Não, essas políticas não são do meu conhecimento e não sei para que servem.

Sim, eu desinstalei o qBitTorrent e CheatEngine ontem especificamente.

Não, o antivirus não tem mais bipado no Chrome

Anexei, conforme me pediu, o log gerado pelo FRST

Fixlog.txt

Lusitano · 6 de maio de 2022

@R PV Por gentileza, execute novamente a ferramenta FRST tal como no inicio do seu topico e anexo os resultados (frst.txt e addition.txt).

abraço

R PV · 6 de maio de 2022

@Lusitano Boa noite,

feito:

Addition.txt FRST.txt

Lusitano · 7 de maio de 2022

@R PVCaro usuário, o frst.txt não está completo. Por gentileza anexe-o novamente. Verifique se tem o cabeçalho, caso contrário e na dúvida, pode executar novamente a ferramenta para serem gerados novos resultados e anexe-os.

Sem a informação completa, não tem como eu lhe passar as instruções.

Abraço

R PV · 7 de maio de 2022

@LusitanoBom dia.

Estranho, talvez seja porque da ultima vez eu tenha esquecido de desabilitar o antivirus, dessa vez acredito que tenha funcionado:

Addition.txt FRST.txt

Lusitano · 8 de maio de 2022

@R PVOlá,

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automaticamente.

Citação

Start::
CreateRestorePoint:
CloseProcesses:
SystemRestore: On
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Google: Restrição <==== ATENÇÃO
FirewallRules: [UDP Query User{4E12C9FC-A6D0-46CC-B8F2-D974B142181F}D:\genshin impact game\genshinimpact.exe] => (Allow) D:\genshin impact game\genshinimpact.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{1E0FC3A7-C93C-4EEF-8F1A-DB1B916D97BF}D:\genshin impact game\genshinimpact.exe] => (Allow) D:\genshin impact game\genshinimpact.exe => Nenhum Arquivo
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: ipconfig /flushDNS
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Emptytemp:
Reboot:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

R PV · 8 de maio de 2022

@Lusitano Boa tarde.

Feito:

Não tenho mais notado nenhum problema

Fixlog.txt

Lusitano · 9 de maio de 2022

@R PVOlá,

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

R PV · 10 de maio de 2022

Boa noite,

Acredito que o vírus tenha sido exorcizado do computador e o "restore point" foi criado com sucesso visto que a caixa está marcada com "ok", a saber:

- Create Restore Point -

[OK] System Restore Point created

Obrigado pelo trabalho social que vocês fazem e pelo tempo que dedicou a me ajudar

Lusitano · 10 de maio de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.