Suspeita de Malware, contas invadidas.

[Chriz]

Eu relatei em detalhes o meu caso no "Invasões e infecções" e como sugeriram criar um tópico aqui vou resumir a situação.
Pensei que poderia ter mais segurança com vpn e no final de julho instalei uma extensão vpn no chrome(acredito que era Browsec vpn, e ela pedia pra iniciar junto com o pc), estou citando isso como possibilidade.
Dia 3 de agosto eu baixei um programa que iria servir para gravar um dvd, baixei de um site que desconhecia pois não achei em outro lugar um programa que faria o que eu precisava, antes de executar eu verifico com o windows defender e também no site virustotal, parecia tudo ok.
E logo ao executar o exe do programa o windows defender detecta um virus e diz que o manda para a quarentena. 
Após pesquisar sobre o virus eu decido fazer restauração do pc para um ponto anterior antes de ter baixado e executado o programa.
após o pc reiniciar eu faço mais um escaneamento com o windows defender, parecia tudo limpo, alguns dias depois(dia 8 de agosto) minha conta do facebook foi bloqueada por atividade suspeita, retomei a conta, logo foi bloqueada novamente, nessa hora desinstalei a extensão vpn, troquei tanto email como a senha do facebook e parecia tudo resolvido, mas passado alguns dias foi bloqueado novamente e agora pede documento com foto.
Descobri que nesse tempo meu twitter tambem tinha sido bloqueado(dia 11), eu consigo logar mas o perfil tá impossibilitado de fazer qualquer coisa, descobri que postaram spam usando minha conta.
Ambas as contas do twitter e facebook estavam logadas o tempo todo e salvas no favoritos do chrome, as contas do youtube que também sempre estavam logadas não parecem ter sido afetadas.
Gostaria de também relatar que eu salvo as senhas em um bloco de notas no pc porque não lembro todas já que sempre que crio uma conta eu uso uma senha diferente.
Antes de procurar ajuda aqui, eu já escaneei o pc com windows defender, com mawarebytes em modo seguro, desinstalei mawarebytes e instalei avast e escaneei, nenhum deles detectou virus, usei também o process explorer e não identifiquei nada de anormal nos processos.
Peço ajuda para caso tenha alguma ameaça oculta no pc.

Agradeço desde já.

AdwCleaner[C00].txt AdwCleaner[S00].txt Addition_19-08-2022 17.05.22.txt FRST_19-08-2022 17.05.22.txt

[Lusitano]

@Chriz 

Citação

Executando a partir de C:\Users\55479\Downloads

1. Coloque o programa FRST na sua área de trabalho (desktop) tal como solicitado e não na pasta Downloads.

É importante que siga rigorosamente as indicações!

 

 

2. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
FirewallRules: [TCP Query User{673EF8FB-3E57-46C3-918A-8EC7063FC867}C:\users\55479\appdata\local\discord\app-1.0.9003\discord.exe] => (Allow) C:\users\55479\appdata\local\discord\app-1.0.9003\discord.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{24317756-00A4-4D71-84F0-4E5E2833477A}C:\users\55479\appdata\local\discord\app-1.0.9003\discord.exe] => (Allow) C:\users\55479\appdata\local\discord\app-1.0.9003\discord.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{7A0F3EF5-603A-4191-8A77-643B2C39AD92}C:\program files\openshot vídeo editor\openshot-qt.exe] => (Block) C:\program files\openshot vídeo editor\openshot-qt.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E0BEE83A-144B-4782-8B92-2297E862D628}C:\program files\openshot vídeo editor\openshot-qt.exe] => (Block) C:\program files\openshot vídeo editor\openshot-qt.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{B18F1B53-7749-43F0-A785-76226A80DD57}D:\games\epic\borderlands3\oakgame\binaries\win64\borderlands3.exe] => (Block) D:\games\epic\borderlands3\oakgame\binaries\win64\borderlands3.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{4065DCCB-DAAA-4788-A7C0-0794DEDA103A}D:\games\epic\borderlands3\oakgame\binaries\win64\borderlands3.exe] => (Block) D:\games\epic\borderlands3\oakgame\binaries\win64\borderlands3.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{96BEC5E3-1512-4068-86E3-774D4951AC64}C:\users\55479\appdata\local\discord\app-1.0.9005\discord.exe] => (Block) C:\users\55479\appdata\local\discord\app-1.0.9005\discord.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{2BBB3F21-7C19-41C6-A22E-34279A68302D}C:\users\55479\appdata\local\discord\app-1.0.9005\discord.exe] => (Block) C:\users\55479\appdata\local\discord\app-1.0.9005\discord.exe => Nenhum Arquivo
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

3. Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[Chriz]

Amigo já agradeço toda a ajuda até agora.

Sobre sua pergunta se eu tenho notado mais alguma coisa, desde o primeiro dia(dia 3) que identificou o vírus até hoje eu só notei invasão nas contas do twitter e facebook, nada anormal alem disso, a conta do facebook foi bloqueada 3 vezes, sendo a ultima vez no dia 18, mas não consegui ainda recuperar a conta do facebook e nem a do twitter(bloqueada dia 11 mas só percebi dia 18).

Comecei a tentar recupera-las já no dia 18, a do facebook pediu foto de um documento e falou que entraria em contato em 24 horas, então me enviaram um email ontem dia 19 dizendo pra entrar pelo link do email e falando que o link expira mes que vem, porém ao tentar acessar por esse link apareceu que o link já havia expirado, então vou tentar o procedimento novamente, o twitter eu consigo fazer loggin mas a conta tá bloqueada pra fazer qualquer coisa, eu pedi ajuda ao suporte dizendo que fui hackeado, enviaram um email pedindo para relatar o problema e que entraria em analise, até agora nada, e como foram só nessas duas contas que percebi coisa suspeita eu não posso te responder com certeza se o problema continua até recuperar as contas, mas confirmo que as demais contas parecem intactas.

Só achei bem estranho a conta do facebook ser bloqueada novamente no dia 18 mesmo não havendo resquício de vírus nos vários escaneamentos que fiz antes, e mesmo eu tendo desinstalado a extensão vpn antes de trocar tanto a senha como o e-mail da conta alguns dias antes dela ser bloqueada, e isso foi o que fez eu acreditar que ainda tinha algo estranho e vir pedir ajuda aqui. Mas vou tentar recuperar as contas novamente e relatar caso perceber algo de estranho novamente.

ESETScan.txt Fixlog.txt

[Lusitano]

@Chriz O seu pc está livre de malwares. Quanto a recuperação das contas, terá ser mesmo o suporte deles a resolverem isso. Por vezes é um pouco demorado, mas eles conseguem facilmente resolver em praticamente todos os casos.

 

[Chriz]

10 horas atrás, Lusitano disse:

@Chriz O seu pc está livre de malwares. Quanto a recuperação das contas, terá ser mesmo o suporte deles a resolverem isso. Por vezes é um pouco demorado, mas eles conseguem facilmente resolver em praticamente todos os casos.

 

Amigo, o que pode ter causado a invasão das minhas contas foi o virus que veio com o programa? porque esse virus só foi detectado quando tentei abrir o programa, após ter restaurado o pc pra um ponto anterior e ter feito diversas varreduras ele nunca mais apareceu, mas continuei com a vpn instalada por um tempo, então pode ter sido essa extensão Browsec vpn que iniciava com o pc? 

Aliás amigo, esqueci de mencionar na primeira postagem aqui nessa area, o virus que o Windows defender detectou foi: Trojan:Script/Sabsik. TE.A!ml

[Lusitano]

1 hora atrás, Chriz disse:

Amigo, o que pode ter causado a invasão das minhas contas foi o virus que veio com o programa?

Provavelmente. Não existiam dados suficientes para lhe poder dizer isso com toda a certeza.

1 hora atrás, Chriz disse:

esqueci de mencionar na primeira postagem aqui nessa area, o virus que o Windows defender detectou foi: Trojan:Script/Sabsik. TE.A!ml

Eu consegui perceber isso na informação do FRST e outro malware menos preocupante:

Citação

PUA:Win32/AskToolbar | C:\Users\55479\AppData\Local\Google\Chrome\User Data\Default\File System\029\t\00\00000087->NERO 7 32X64 Bit GERSON TUTORIAIS\NERO 7\Nero-7.11.10.0c_all_update.exe

 

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Chriz]

Fiz o ultimo procedimento ontem amigo, agradeço de coração toda a ajuda que você me deu. 

Quanto ao Asktoolbar, eu achei estranho pois na instalação do programa eu desmarquei a opção para instalar essa barra, mas de alguma forma ela foi instalada mesmo assim sendo pega pelo escaneamento logo depois da instalação.

Sobre as contas: 

Quanto ao twitter, não me responderam nada, então enviei novamente uma mensagem explicando a situação que fui hackeado e tudo mais, logo eles me enviaram um email dizendo que já tem aberto uma denuncia sobre isso e que iam adicionar no processo as informações que enviei, porém não falam nada sobre eu ter a conta de volta, eu não posso fazer nada nem trocar senha nem ativar 2 etapas, então se eles autorizarem a entrada na conta estou preocupado de no caso esse hacker ser mais rápido e tomar a conta antes de eu fazer qualquer alteração de senha, 2 etapas e tudo mais.

Já a do facebook eu tinha ativado 2 etapas antes dela ser bloqueada essa ultima vez que foi a terceira vez que foi bloqueada, agora como eu tinha dito ela pede foto de um documento, eu envio a foto e logo eles enviam um email com duas opções, uma é clicar no link enviado no email e seguir os passos para a recuperação, a outra opção é usar a senha enviada no email no lugar da minha senha, ambas as formas que pedem pra seguir no email me retornam para a tela inicial que está dizendo que minha conta foi bloqueada, e eu só posso tentar essas opções uma unica vez, caso não dê certo, preciso solicitar outro email com outro link e senha, ou seja, estou preso em um loop eterno, já tentei refazer esse processo de recuperação umas 5 vezes, tentei logar no navegador do pc, tentei no navegador de cel, tentei no app de cel, tentei usando o celular como login, tentei usando o email antigo(eu troquei o email e senha dessa conta quando ela foi bloqueada pela segunda vez então por isso tentei usar o email antigo), mas sempre dá na mesma, e pesquisando sobre isso parece ter mais pessoas reclamando disso. Abri reclamação no reclame aqui para tentar obter ajuda, então sigo tentando.

Caso eu tenha alguma atualização ou perceber algo estranho eu volto a comentar aqui, no mais obrigado por tudo.

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.