Vírus que não sai com nenhum antivírus.

[NANDOfluis]

Obs: fui orientado a postar nesta area.

Boa tarde pessoal, há uns dois dias criei um tópico pois acabei pegando um vírus por email. Esse vírus simplesmente infectou meu computador sem eu precisar clicar em link nenhum, apenas em abrir o email, qual era uma tentativa de extorsão. 

 

Meu antivírus, Avast Premium bloqueou três vezes um arquivo que estava tentando acessar minhas senhas no navegador. Já redefini o computador, mas o vírus continua. Já passei de tudo, malwarebytes, Kaspersky vírus remoção Tool, junkware, e uns outros apps que foram recomendados em um tópico aqui do site. Será que vai ser necessário que eu jogue meus dois HDs fora e compre outro novo para me livrar desta praga? 

[Lusitano]

@NANDOfluis Olá,

29 minutos atrás, NANDOfluis disse:

Será que vai ser necessário que eu jogue meus dois HDs fora e compre outro novo para me livrar desta praga?

Nada disso

 

O que precisa fazer é executar as ferramentas e retornar a este seu tópico com as análises, tal como explicado nesse tópico abaixo:

 

[NANDOfluis]

@Lusitano eu já executei. Todas mencionadas nesse tópico que vice postou. Nenhuma dessas ferramentas acusou alguma coisa. Mas o Avast continua bloqueando esse programa aí. Não consigo acha-lo manualmente e nem através de antivírus.

 

[Lusitano]

@NANDOfluistal como mencionado no tópico, por gentileza anexe os resultados das análises para eu poder verificar. Sem essa informação, eu não consigo ajudar

[NANDOfluis]

@Lusitano  estou enviando os arquivos em anexo referente ao programa RFST e adwarecleaner

Addition.txt FRST.txt Shortcut.txt AdwCleaner[C00].txt AdwCleaner[S00].txt AdwCleaner_Debug.log

[Lusitano]

1. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
"C:\Windows\System32\Tasks\Microsoft\Windows\Security\Pwdless\IntelligentPwdlessTask" não pode ser desbloqueado. <==== ATENÇÃO
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Nenhum Arquivo
CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv

CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
C:\ProgramData\Temp\*
C:\Program Files (x86)\Temp\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\*
C:\Users\AllUserName\AppData\LocalLow\Temp\*
C:\Users\AllUserName\Appdata\Local\Temp\*
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

2. Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[NANDOfluis]

bom dia. aqui vai os arquivos em anexo com você orientou. 

Fixlog.txt esetscaner .txt

[Lusitano]

@NANDOfluis Olá, ainda nota algo estranho no seu pc?

 

[NANDOfluis]

@Lusitano não, aparentemente não. depois que fiz os procedimentos que você orientou eu o mantive desligado como tenho feito ultimamente. vou passar a usa-lo um pouco para ver se continua.  olhando as notas que enviei, você viu algo?

[Lusitano]

1 hora atrás, NANDOfluis disse:

olhando as notas que enviei, você viu algo?

o executável, não estava presente. Basicamente o que fizémos foi corrigir algumas coisas de registro e restrições.

Use normalmente o pc durante dois dias e veja se nota algo estranho.

Abraço

[NANDOfluis]

@Lusitano boa tarde. até o presente momento não tive nenhuma notificação como a postada anteriormente. saliento que não fiquei com a maquina ligada por longas horas, apenas o necessário para uso. ainda fico com receio de por senhas ou qualquer outra coisa vital na maqui. agradeço pela atenção e ajuda que me deu. fiz esse procedimento mais de uma vez para desencargo de consciência rs. 

 

se eu formatar a maquina, apagar todas as partições presentes no SSD, bem como no HD, posso ficar mais despreocupado em quanto ao maldito malware? obrigado e bom final de semana!

[Lusitano]

1 hora atrás, NANDOfluis disse:

ainda fico com receio de por senhas ou qualquer outra coisa vital na maqui

Seu pc está livre de malware. Para maior segurança fizemos também um scan online (Eset) e também mais nada foi detetado. 

Contudo, é aconselhável você alterar agora as suas senhas e sempre que possível utilize 2º fator de autenticação.

 

 

1 hora atrás, NANDOfluis disse:

se eu formatar a maquina, apagar todas as partições presentes no SSD, bem como no HD, posso ficar mais despreocupado em quanto ao maldito malware?

Se fizer uma instalação limpa é quase garantido que sim. Mas não vejo necessidade de você fazer isso, mas fica ao seu critério.

 

 

Se não tem mais nenhuma questão, vmos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[NANDOfluis]

@Lusitano bom dia! mais uma vez agradeço pela ajuda que me deu! eu acabei ficando meio com receio, confesso, e acabei formatando a maquina, excluindo as partições de todos os hds e refazendo-as de novo. sim, todas as minhas contas possuem segurança em duas etapas. sou rigoroso quanto a isso. 

 

obrigado pelas dicas, vou ficar atento e fazer uso mais seguro do pc daqui pra frente. a infecção foi por burrice minha, acredito. mas ficarei mais atento com essa questão de e-mails, que foi por onde a bendita infecção ocorreu.  

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.