Possível Infecção por Malware

13 de agosto de 2022

Ola,

Recentemente estava observando o gerenciador de Tarefas do Windows e notei alguns processos suspeitos. Ha muitos processos em segundo plano do Runtime Broker, em Processos do Windows, havia um sem nome, apenas ícone era exibido e dois processos do Windows Explorer. A principio realizei uma varredura completa com o Windows Defender, seguida de uma varredura em modo offline, mas nada foi encontrado. Por ultimo, baixei a ferramenta MSERT.exe da microsoft e ao final da verificação nada foi encontrado. Como utilizo esta maquina para estudar, não gostaria de formata-la agora porque tomaria muito para instalar tudo novamente, como também afetaria a saúde do SSD, que já esta baixa. Sou muito sistemático em relação a segurança, por isso optei em solicitar ajuda técnica antes de qualquer coisa.

Desde já, obrigado

Lusitano · 14 de agosto de 2022

siga as instruções desse tópico:

14 de agosto de 2022

Ola Lusitano,

Segue os logs das ferramentas Adwcleaner e Farbar Recovery Scan Tool.

Addition.txt AdwCleaner[C00].txt AdwCleaner[S00].txt FRST.txt

As varreduras foram efetuadas com todos os serviços não-microsoft desabilitados, uma inicialização limpa. Isso afetara de alguma maneira nos resultados?

Lusitano · 14 de agosto de 2022

@jhonbr

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {235987BC-422C-4B07-B078-5A39DB941D90} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_ERROR_HB => C:\Users\Jhonatas\Desktop\MSERT.exe /EHB /HeartbeatFailure "SubmitHeartbeatReportData" /HeartbeatError "0x80072ee7" (No File)
S4 uhssvc; "C:\Program Files\Microsoft Update Health Tools\uhssvc.exe" [X]
startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
EmptyEventLogs:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

15 de agosto de 2022

Segue o Log de correção do Farbar Recovery Scan Tool

Fixlog.txt

Lusitano · 15 de agosto de 2022

@jhonbr Como está o pc agora?

15 de agosto de 2022

Ola Lusitano,

Aparentemente esta tudo normal, não tenho notado nenhum processo suspeito no gerenciador de tarefas, o desempenho da maquina continua o mesmo.

Muito obrigado pelo suporte.

Lusitano · 15 de agosto de 2022

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

15 de agosto de 2022

Apos executar o KpRm todas as ferramentas foram deletadas e um ponto de restauração foi criado.

Entretanto, gostaria de saber se e comum haver mais de 1 processo do Runtime Broker em segundo plano, neste momento ha 4, mas nada de anormal em relação a consumo de Ram e CPU.

Lusitano, mais uma vez, obrigado!

kprm-20220815130536.txt

Lusitano · 15 de agosto de 2022

9 minutos atrás, jhonbr disse:

gostaria de saber se e comum haver mais de 1 processo do Runtime Broker em segundo plano, neste momento ha 4, mas nada de anormal em relação a consumo de Ram e CPU.

Se não está a usar muita ram, não tem nada de anormal.

15 de agosto de 2022

Perfeito!
Muito obrigado!

Lusitano · 16 de agosto de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.