Malware que não sai de jeito nenhum...

[Maratonista]

Pessoal, estou com esse malware: VirTool:PowerShell/MaleficAms

 

E toda vez que reinicio a máquina ele é detectado de novo, não adianta mandar bloquear/apagar... anexei os 3 logs, agradeço de antemão se puderem me ajudar a limpar esse PC.

Addition.txt AdwCleaner[C00].txt FRST.txt

[Lusitano]

@Perene Algumas questões essenciais que necessito de resposta antes de poder avançar com o processo de remoção:

Citação

Microsoft Windows 11 Pro

GroupPolicy: Restrição ? 

Policies: C:\ProgramData\NTUSER.pol: Restrição

Seu S.O. é versão pro e vejo restrições de grupo. Seu pc é pertencente a empresa? Você tem conhecimento dessas restrições?

 

Citação

Windows Defender

Seu AV é o defender, mas vejo outros antivírus no seu pc. Apenas é necessário um. Podemos remover os restantes?

 

Citação

qBittorrent 

Este tipo de programa não são recomendaveis, pois maioria do software que geralmente é baixado é ilegal e provavelmente foi a origem da sua infeção. Quer manter?

 

 

[Maratonista]

Olá,

o Windows em questão está instalado num PC pessoal, então eu sou admin dele (único user) e tenho total controle do mesmo. Se for necessário alterar algo pra retirar alguma restrição é só falar...

 

O AV eu tentei instalar alguns ontem, mas não deu certo pra tentar resolver o problema. Podem ser removidos todos os outros, sim.

 

O QBitorrent eu posso remover, mas é um programa igual ao UTorrent. Então eu vou precisar de ao menos um programa de torrent. No caso esse malware estranhamente infectou a máquina mesmo estando dentro de um arquivo ZIP, mas foi uma falha minha e não vou baixar mais arquivos de origem desconhecida.

 

O problema é que todos os AV pelo visto não servem pra nada, pois até no modo de segurança eu tentei remover as pragas, mas ela sempre voltava.

 

A menos que já tenha sido apagada de vez. Esse é um print do que estou vendo agora:

 

 

Aparentemente não está mais voltando, porque só tentou remover ontem. Mas não sei, teria que ser analisado o log.

[Lusitano]

53 minutos atrás, Perene disse:

QBitorrent eu posso remover, mas é um programa igual ao UTorrent. Então eu vou precisar de ao menos um programa de torrent.

Não seguem instruções para remover esse software, mas tenha uma utilização muito responsável pois o circula me torrent é em grande maioria malware.

 

54 minutos atrás, Perene disse:

O problema é que todos os AV pelo visto não servem pra nada, pois até no modo de segurança eu tentei remover as pragas, mas ela sempre voltava.

Segurança é feita por camadas e o AV é apenas uma dessas camadas e são muito uteis e o desempenho deles está maioritariamente pensado e programado para prevenir. 

 

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

• Bitdefender
• GridinSoft
• AVG
• Sophos
• CryptoGuard

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
C:\Program Files\Bitdefender Agent\redline\bdredline.exe
Task: {FC5D6DDE-B3B5-44CD-9D5A-E73EA94990FD} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\26.0.1.222\WatchDog.exe [1050728 2022-03-23] (Bitdefender SRL -> Bitdefender)
R2 bdredline_agent; C:\Program Files\Bitdefender Agent\redline\bdredline.exe [2454632 2022-02-10] (Bitdefender SRL -> Bitdefender)
S2 ProductAgentService; C:\Program Files\Bitdefender Agent\ProductAgentService.exe [787608 2022-05-03] (Bitdefender SRL -> Bitdefender)
S3 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
S3 PHYMEM2; \??\C:\Program Files (x86)\Leawo\Blu-ray Player\phymem_ext64.sys [X]
2022-07-03 21:09 - 2022-07-03 21:56 - 000000000 ____D C:\ProgramData\Bitdefender
2022-07-03 21:08 - 2022-07-03 21:08 - 000154896 _____ C:\ProgramData\agent.1656893277.bdinstall.v2.bin
2022-07-03 21:07 - 2022-07-03 21:07 - 000000000 ____D C:\Users\Diego\AppData\Local\Bitdefender
2022-07-03 21:07 - 2022-07-03 21:07 - 000000000 ____D C:\ProgramData\Bitdefender Agent
2022-07-03 21:07 - 2022-07-03 21:07 - 000000000 ____D C:\Program Files\Bitdefender Agent
2022-07-03 20:53 - 2022-07-03 21:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2022-07-03 20:53 - 2022-07-03 20:53 - 000000000 ____D C:\ProgramData\GridinSoft
2022-07-03 18:30 - 2022-07-03 18:30 - 000000000 ____D C:\Windows\system32\gf2engine
2022-07-03 18:29 - 2022-07-03 19:22 - 000000000 ____D C:\ProgramData\AVG
2022-07-03 18:11 - 2022-07-03 18:32 - 000000000 ____D C:\Windows\CryptoGuard
2022-07-03 18:07 - 2022-07-03 18:32 - 000000000 ____D C:\ProgramData\Sophos

startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Maratonista]

Acredito que o problema não tenha cessado ao menos antes da execução do FRST, pois 8 minutos atrás o Windows Defender mandou pra quarentena de novo o VirTool:PowerShell/MaleficAms. E apesar de eu ter dado control + C no texto acima, não vi se o FRST de fato executou tudo que foi pedido, pois não houve confirmação de nada nele, eu dei control +C várias vezes.

 

Em anexo segue o log. É difícil dizer se algo persiste, pois pelo que entendi esse malware é como se fosse um gremlin, você bloqueia/apaga um, mas surge outro no lugar (em especial após reiniciar a máquina), se estiver causando algum estrago, é de modo furtivo, o usuário não percebe a presença dele.

 

Sobre o Bitdefender, é estranho porque não consta no painel de controle e mandei apagar os 2 BITDEFENDER que apareciam lá, mas nas primeiras linhas do log tem a palavra com nome desse programa...

Fixlog.txt

[Lusitano]

1 hora atrás, Perene disse:

não vi se o FRST de fato executou tudo que foi pedido, pois não houve confirmação de nada nele, eu dei control +C várias vezes

tranquilo quanto a isso amigo, que eu consigo verificar o que foi ou não feito

 

1 hora atrás, Perene disse:

É difícil dizer se algo persiste, pois pelo que entendi esse malware é como se fosse um gremlin, você bloqueia/apaga um, mas surge outro no lugar (em especial após reiniciar a máquina), se estiver causando algum estrago, é de modo furtivo, o usuário não percebe a presença dele.

Alguns malwares são bastante evoluídos e dão mais trabalho na remoção, mas é tudo um processo que requer algumas etapas para chegarmos até á completa remoção e corrigir o "estrago". Nós já fizémos algumas coisas, mas ainda temos mais algumas etapas para cumprir. Por exemplo, para além do que já removemos:

Citação

A Proteção de Recursos do Windows encontrou arquivos corrompidos e os reparou com êxito.

 

 

1 hora atrás, Perene disse:

Sobre o Bitdefender, é estranho porque não consta no painel de controle e mandei apagar os 2 BITDEFENDER que apareciam lá, mas nas primeiras linhas do log tem a palavra com nome desse programa

Eu não invento nada, só corrijo aquilo que eu vejo:

Citação

C:\ProgramData\Bitdefender => movido com sucesso

Pode verificar que de fato ele existia no seu sistema e foi removido

 

Vamos continuar nosso processo para que você fique com o seu pc livre de malware. Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt
•     Gere também novos logs com a ferramenta FRST e anexe os novos arquivos frst.txt e addition.txt

 

[Maratonista]

Olá, seguem os 3 logs.

No caso do FRST eu notei que só agora fiz a análise da área de trabalho, na primeira vez havia feito de uma pasta dentro de outra...

Addition.txt FRST.txt LOG-ESET.txt

[Lusitano]

@Perene 

1. Você necessita de todos esses navegadores? (Edge; Chrome; Opera e Brave)

Abra cada um deles e desinstale todas as extensões que não conheça ou não utilize.

 

2. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
Task: {8CBD1D77-CAF4-4DBF-B7CC-812DAC573A05} - \Microsoft\Windows\NetService\Network\NetServices -> Nenhum Arquivo <==== ATENÇÃO
S2 EpsonCustomerResearchParticipation; "C:\Program Files\EPSON\EpsonCustomerResearchParticipation\EPCP.exe" [X]
CustomCLSID: HKU\S-1-5-21-2829915707-2987789524-1347783848-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Nenhum Arquivo
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Nenhum Arquivo
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Nenhum Arquivo
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset C:\resettcpip.txt
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Maratonista]

Segue o log em anexo... acho que o Defender parou de identificar o vírus. E já vi a parte dos navegadores.

Fixlog.txt

[Lusitano]

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Maratonista]

Olá, acho que agora deu certo. Segue o último log.

No mais agradeço pela assistência prestada. \o/

kprm-20220705215433.txt

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.