Vírus que não sai + "Conexão de rede de entrada suspeita bloqueada"

tamis_AFK · 19 de outubro de 2022

Boa noite, pessoal!!

Meu problema é o seguinte: instalei um programa que veio cheio de bixo, no mesmo dia desinstalei porque não precisei mais dele. No dia seguinte que descobri o malware pois o Windows Defender o detectou: "Trojan:Script/Wacatac.H!ml". Mandei o Defender removê-lo, porém ele não saiu, então scaneei com o Malwarebytes e com o Kaspersky, mas eles não encontraram nada. No dia seguinte começou a bagunça: entraram no meu instagram, no twitter, no discord, no spotify, e no meu youtube (que tem o email diferente das outras contas), detalhe que não recebi aviso de que alguém se conectou nas minhas contas, apenas percebi pela atividade que eles fizeram de seguir pessoas, fazer comentários e postar vídeos na minha conta do youtube. Eles também passaram alguns arquivos do meu computador para o formato .TUIS e deixaram uma mensagem no bloco de notas pedindo dinheiro para descriptografar os arquivos (que atrevimento kkkkk), mas como eu não me importava tanto com os arquivos eu simplesmente formatei meu notebook pelas configurações do windows. Porém, mesmo depois de formatado o McAfee começou a bloquear diversas tentativas de "conexão de rede de entrada", em um só dia foram 101 tentativas. O que eu faço?

Deixei em anexo os logs do Farbar Recovery Scan Tool e do AdwCleaner que foram pedidos aqui:

FRST.txt Addition.txt AdwCleaner[S00].txt

Lusitano · 19 de outubro de 2022

9 horas atrás, tamis_AFK disse:

alguns arquivos do meu computador para o formato .TUIS e deixaram uma mensagem no bloco de notas pedindo dinheiro para descriptografar os arquivos (que atrevimento kkkkk), mas como eu não me importava tanto com os arquivos eu simplesmente formatei meu notebook pelas configurações do windows

Olá, quanto aos arquivos com a extensão .tuis, nada poderíamos fazer sem pagar para ter acesso á chave criptográfica. Mas, como você afirma que não tem importância para si os arquivos, o assunto está resolvido. No caso da formatação, teria sido ideal fazer uma instalação limpa do S.O.

O seu arquivo FRST.txt está incompleto e sem a totalidade da informação, eu não consigo analisar devidamente. Por gentileza, volte a anexar o arquivo completo.

Abraço

tamis_AFK · 19 de outubro de 2022

@Lusitano Agradeço a resposta! Segue o arquivo novamente.

FRST_19-10-2022 08.58.56.txt

Lusitano · 19 de outubro de 2022

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-595207338-1252344015-251653244-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\tamir\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Nenhum Arquivo)
HKU\S-1-5-21-595207338-1252344015-251653244-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\tamir\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Nenhum Arquivo)
HKU\S-1-5-21-595207338-1252344015-251653244-1001\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\tamir\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" (Nenhum Arquivo)
HKU\S-1-5-21-595207338-1252344015-251653244-1001\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\tamir\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" (Nenhum Arquivo)
Task: {079D3293-5369-4046-A020-827A74DF64A2} - \Microsoft\Office\OfficeBackgroundTaskHandlerRegistration -> Nenhum Arquivo <==== ATENÇÃO
Task: {105D676A-D551-4274-81E7-97AC52E4FD87} - \Microsoft\Windows\Speech\HeadsetButtonPress -> Nenhum Arquivo <==== ATENÇÃO
Task: {1949073A-8FDA-4EA4-8E59-407CDB02440F} - \Microsoft\Windows\Windows Update\sihpostreboot -> Nenhum Arquivo <==== ATENÇÃO
Task: {3A66D633-81F6-4649-A127-B7E940B0F410} - \Microsoft\Office\Office Feature Updates Logon -> Nenhum Arquivo <==== ATENÇÃO
Task: {477231C8-00F2-44EA-B0F4-F29C8BBAD8AE} - \Microsoft\Office\Office Feature Updates -> Nenhum Arquivo <==== ATENÇÃO
Task: {5A16D61A-C11E-4BA7-8C39-DC79EF48747E} - \McAfeeLogon -> Nenhum Arquivo <==== ATENÇÃO
Task: {C9D7764E-477C-4E0C-B894-47016AB3907C} - \Microsoft\Office\OfficeBackgroundTaskHandlerLogon -> Nenhum Arquivo <==== ATENÇÃO
Task: {CAE32470-DE63-4331-B850-1AA45A022719} - \OneDrive Standalone Update Task-S-1-5-21-780090412-2359270226-443280964-500 -> Nenhum Arquivo <==== ATENÇÃO
Task: {CBFB6BE6-9828-4121-A91C-8ADE8B6B1C36} - \Microsoft\Windows\Management\Provisioning\PostResetBoot -> Nenhum Arquivo <==== ATENÇÃO
Task: {D0E734D4-BD36-4718-ACF8-46326E046109} - \McAfee\McAfee Idle Detection Task -> Nenhum Arquivo <==== ATENÇÃO
Task: {D89E175F-FFCA-4D12-B27C-5B695BF93F40} - \McAfee\McAfee Auto Maintenance Task Agent -> Nenhum Arquivo <==== ATENÇÃO
Task: {DBC9FA18-5DFC-42B4-9DEF-D262C66EC2BF} - \Microsoft\Office\Office Automatic Updates 2.0 -> Nenhum Arquivo <==== ATENÇÃO
Task: {EBD7D078-662F-4636-9493-45ACC266CB59} - \Microsoft\Office\Office ClickToRun Service Monitor -> Nenhum Arquivo <==== ATENÇÃO
FirewallRules: [{3DEC189F-9C98-4069-A4C1-CD5F3FC8CD17}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_2.0.7811.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Nenhum Arquivo
CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv

CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
C:\ProgramData\Temp\*
C:\Program Files (x86)\Temp\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\*
C:\Users\AllUserName\AppData\LocalLow\Temp\*
C:\Users\AllUserName\Appdata\Local\Temp\*
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

tamis_AFK · 19 de outubro de 2022

Aqui está! E sim, as tentativas de conexão continuaram mesmo depois da correção.

Fixlog.txt

Lusitano · 19 de outubro de 2022

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop
Clique direito em esetonlinescanner_enu.exe e execute como administrador
Clique em Computer Scan
Clique em Full scan
Selecione Enable ESET to detect and quarantine potentially unwanted applications
Clique em Start scan
Quando terminar, salve o resultado no seu desktop como ESETScan.txt
Clique Continue e depois em Close
Anexe o arquivo ESETScan.txt

tamis_AFK · 19 de outubro de 2022

ESETScan.txt

Lusitano · 20 de outubro de 2022

nada também foi detetado pelo Eset.

19 horas atrás, tamis_AFK disse:

E sim, as tentativas de conexão continuaram mesmo depois da correção.

Por gentileza, descreva melhor isto para poder entender.

tamis_AFK · 20 de outubro de 2022

Em 19/10/2022 às 08:08, Lusitano disse:

No caso da formatação, teria sido ideal fazer uma instalação limpa do S.O.

Hoje de manhã realizei uma formatação limpa com um pendrive como foi recomendado.

5 horas atrás, Lusitano disse:

Por gentileza, descreva melhor isto para poder entender.

Quem detecta essas conexões é o McAfee, vou deixar um print mostrando como aparece.

Lusitano · 20 de outubro de 2022

2 horas atrás, tamis_AFK disse:

Quem detecta essas conexões é o McAfee, vou deixar um print mostrando como aparece.

Agora sim já tudo faz sentido. Então, isso é a firewall a bloquear portas de acesso. Nesses dois casos, ambos os ip's são legítimos, o primeiro é do discord e o segundo da microsoft.

tamis_AFK · 20 de outubro de 2022

Bom saber, como isso estava acontecendo simultaneamente às tentativas de login nas minhas contas eu achei que também fizesse parte do malware. Agradeço a ajuda! Como eu faço para saber se o ip é legítimo?

Lusitano · 21 de outubro de 2022

12 horas atrás, tamis_AFK disse:

Como eu faço para saber se o ip é legítimo?

Utilize por exemplo este site e os serviços de busca (Google, etc.) também são sempre uma boa ferramenta de pesquisa.

Mais algum problema?

tamis_AFK · 21 de outubro de 2022

Nenhum, valeu aí.

Lusitano · 21 de outubro de 2022

@tamis_AFK

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Lusitano · 21 de outubro de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.