Remoção de um malware

gustavo211 · 17 de agosto de 2022

Bom, há alguns dias acessei minha conta do Instagram pelo celular e notei que havia fotos que eu não havia postado, rapidamente excluí e verifiquei o email que dizia que tinha uma atividade suspeita, troquei de senha, ativei a verificação em duas etapas, mais alguns dias aconteceu o mesmo com Facebook e Twitter e novamente repeti os passos, só que sinto que não estou seguro, não sei como esse alguém teve acesso aos meus dados (se foi vazado de um site que tinha meus dados e foi tentando nas redes sociais) ou se foi algum vírus, então estou me garantindo para que não aconteça de novo então vim ao fórum e achei esse tópico, se puderem ajudar e dar mais algumas dicas de como ficar mais seguro ficarei imensamente agradecido como já estou só de alguém ler o que escrevei, obrigado.

log1.txt FRST.txt Addition.txt

Lusitano · 17 de agosto de 2022

@gustavo211Antes de prosseguirmos o processo de remoção, necessito de um esclarecimento por gentileza.

Que você pretende fazer quanto a esse software: µTorrent

Pois esse tipo de software é fonte de malwares e basta por exemplo verificar:

Citação

Euro Truck Simulator 2\mod\MB1935_jkgamer.rar <= Nome: Trojan:Script/Ulthar.A!ml | Grave | Categoria: Cavalo de Tróia

gustavo211 · 17 de agosto de 2022

@Lusitano Olá, já removi tudo relacionado a bitorrent da minha máquina, quando passei o anti-malware ele já deletou a maioria desses arquivos da imagem!

Lusitano · 18 de agosto de 2022

@gustavo211 Por gentileza gere novos logs da ferramenta FRST e anexe-os para eu poder elaborar o script

gustavo211 · 18 de agosto de 2022

@Lusitano Olá, desculpa pela demora aqui estão os novos logs.

FRST.txt Addition.txt

Lusitano · 19 de agosto de 2022

@gustavo211

1. Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas, caso eles existam:

App Explorer

2. Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKU\S-1-5-21-1313191931-3257093791-2744857122-1001\...\Run: [ut] => "C:\Users\Gustavo\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED (Nenhum Arquivo)
Task: {0C9F89A7-CF07-48FA-A807-00B8619F2CF5} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1313191931-3257093791-2744857122-500 => C:\Users\Gustavo\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Nenhum Arquivo)
Task: {56E4A205-C033-4801-9D99-D466849C438F} - System32\Tasks\App Explorer => C:\Users\Gustavo\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7887392 2022-04-22] (SweetLabs Inc -> SweetLabs, Inc) <==== ATENÇÃO
2022-08-10 17:47 - 2021-12-21 16:16 - 000000000 ____D C:\Users\Gustavo\AppData\Local\BitTorrentHelper
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Nenhum Arquivo
HKU\S-1-5-21-1313191931-3257093791-2744857122-1001\...\StartupApproved\Run: => "ut"
FirewallRules: [UDP Query User{23864C66-5BD4-4B1F-95E2-6A385746E7B2}D:\utorrent\farming.simulator.22.antonio.carraro-p2p\farming simulator 22\x64\farmingsimulator2022game.exe] => (Block) D:\utorrent\farming.simulator.22.antonio.carraro-p2p\farming simulator 22\x64\farmingsimulator2022game.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{558C0F0E-B042-4035-A9DC-041249D5179B}D:\utorrent\farming.simulator.22.antonio.carraro-p2p\farming simulator 22\x64\farmingsimulator2022game.exe] => (Block) D:\utorrent\farming.simulator.22.antonio.carraro-p2p\farming simulator 22\x64\farmingsimulator2022game.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{DFEC4787-0B80-4503-A0B0-0304C99A4C01}D:\games\farming simulator 22\x64\farmingsimulator2022game.exe] => (Block) D:\games\farming simulator 22\x64\farmingsimulator2022game.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{ED4A8BD4-1EB8-476A-A8D0-337AFC67F27B}D:\games\farming simulator 22\x64\farmingsimulator2022game.exe] => (Block) D:\games\farming simulator 22\x64\farmingsimulator2022game.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{0E6E739C-30FA-4463-BD67-B8A385EA36B3}D:\tudo\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Block) D:\tudo\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{46EBF069-CABD-4941-A75D-F5B447F24FDA}D:\tudo\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Block) D:\tudo\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Nenhum Arquivo
FirewallRules: [{366243B6-400D-458E-A5FC-03D7D0FEF8DB}] => (Allow) C:\Users\Gustavo\AppData\Roaming\uTorrent\uTorrent.exe => Nenhum Arquivo
FirewallRules: [{77AB8132-506B-4BE0-8740-499507BE9DF1}] => (Allow) C:\Users\Gustavo\AppData\Roaming\uTorrent\uTorrent.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{06F12EE2-DBFC-4AE4-B4D9-0C54E4D58DDD}C:\riot games\riot client\riotclientservices.exe] => (Block) C:\riot games\riot client\riotclientservices.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{4724C3FB-7CFF-4ECC-8FA8-6DDDB14D848C}C:\riot games\riot client\riotclientservices.exe] => (Block) C:\riot games\riot client\riotclientservices.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{380060E1-E344-48FD-8D48-11928408821F}D:\games\dayz origins 1.18\dayz_x64.exe] => (Block) D:\games\dayz origins 1.18\dayz_x64.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{3C6C34EE-A0D1-4A1A-BE11-568EB140EAA0}D:\games\dayz origins 1.18\dayz_x64.exe] => (Block) D:\games\dayz origins 1.18\dayz_x64.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{D199FFBE-76CC-4A23-9993-C658BC7E1067}D:\games\call of duty modern warfare remastered\h1_sp64_ship.exe] => (Block) D:\games\call of duty modern warfare remastered\h1_sp64_ship.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{6FD51EC5-220B-4C17-92A5-870BDF326FF8}D:\games\call of duty modern warfare remastered\h1_sp64_ship.exe] => (Block) D:\games\call of duty modern warfare remastered\h1_sp64_ship.exe => Nenhum Arquivo
startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
EmptyEventLogs:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

gustavo211 · 19 de agosto de 2022

@Lusitano Oi, vou fazer o processo assim que chegar em casa, mas não entendi a última parte "poderá ser necessário reaplicar o código verificação da própria instituição" Como faço isso? E outra esse processo pode apagar arquivos e programas importantes? Pois pelo que vi tem alguns programas que uso para diminuir e clock do processador e com com isso diminuir a temperatura (Throttle Stop) e creio que ele não afeta nada, posso estar errado mas poderia me dizer um pouco mais o que esses processos vão fazer na minha máquina? Sou leigo nesse quesito. Já agradeço.

Lusitano · 19 de agosto de 2022

7 horas atrás, gustavo211 disse:

não entendi a última parte "poderá ser necessário reaplicar o código verificação da própria instituição" Como faço isso?

É apenas caso aceda por exemplo web banking terá de introduzir novamente as suas credenciais (user+pass)

7 horas atrás, gustavo211 disse:

pelo que vi tem alguns programas que uso para diminuir e clock do processador e com com isso diminuir a temperatura (Throttle Stop) e creio que ele não afeta nada, posso estar errado

Você está certo, a ferramenta alertou para esse software por estar em pasta temp, mas o esse software é legitimo e eu já alterei o script.

No mais, estamos a remover entradas orfãs e algumas maliciosas como esta por exemplo, mas fica ao seu critério se quer executar ou não.

gustavo211 · 20 de agosto de 2022

@Lusitano Olá, fiz os procedimentos, tudo certo aqui a log.

Fixlog.txt

Lusitano · 20 de agosto de 2022

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop
Clique direito em esetonlinescanner_enu.exe e execute como administrador
Clique em Computer Scan
Clique em Full scan
Selecione Enable ESET to detect and quarantine potentially unwanted applications
Clique em Start scan
Quando terminar, salve o resultado no seu desktop como ESETScan.txt
Clique Continue e depois em Close
Anexe o arquivo ESETScan.txt

gustavo211 · 20 de agosto de 2022

@Lusitano Aqui.

ESETScan.txt

Lusitano · 20 de agosto de 2022

@gustavo211 Ainda nota algo estranho?

gustavo211 · 20 de agosto de 2022

@Lusitano Não, pra mim está tudo certo, se for isso agradeço imensamente pelo seu tempo e conhecimento para me ajudar, realmente ajudou muito!

Lusitano · 21 de agosto de 2022

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Lusitano · 24 de agosto de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.