Malware invadindo minhas redes sociais

[gatuxos123]

AdwLog.txtBoa tarde,

 

Há aproximadamente 2 dias um amigo pediu para ajudá-lo na edição de um vídeo, busquei o download de um Adobe Premiere Pro crackeado no YouTube e baixei o primeiro que vi (amadorismo bateu forte), após baixar e executar o arquivo percebi que não aconteceu nada, nenhum setup para instalação abriu como aparecia no vídeo. Fui ler os comentários do vídeo e logo entendi que baixei um vírus. 

Até aí ok, passei o malwarebytes, a proteção do windows também não acusou nada fiquei em paz.

Ontem de noite meu telegram começou a enviar inúmeras mensagens de SPAM para pessoas totalmente aleatórias. Ele está conectado tanto no notebook quanto no Desktop... Até aí então desconfiei que meu irmão (que usa mais o notebook) poderia ter baixado algo com vírus e pedi para que ele fizesse o scan com malwarebytes e afins, ele fez e foi removido alguns, não vi quais pois estava trabalhando.

Pensei que estava tudo certo, o telegram parou de enviar mensagens de SPAM, até que hoje cedo tive uma surpresa: minha conta de anúncios do Facebook Ads estava me cobrando em mais de R$90,00 e que inclusive já havia sido creditado do meu cartão.

O meu Facebook só está conectado no Desktop. Inclusive isso aconteceu após trocar de senha no Facebook... 

 

Segue em anexo os logs solicitados.

Obs.: o log do AwdCleaner vai acusar o uTorrent, mas eu tenho ele há mais de 2 anos e inclusive ignoro ele pela proteção do windows, e também não o uso há aproximadamente o mesmo período, desconsidero a possibilidade de ser o culpado.

Addition.txt FRST.txt

[Lusitano]

@gatuxos123Olá, o seu pc contem programas pirateados que violam a lei e as regras do fórum:

Citação

1 - Qualquer conteúdo que viole o ordenamento jurídico da República Federativa do Brasil. Caso seja constatada a prática de qualquer conduta ilegal, os autores poderão ser identificados e denunciados às autoridades competentes.

 

2 - Conteúdos relacionados à pirataria ou que violem, de qualquer forma, direitos autorais, contratuais e/ou de propriedade intelectual/industrial. É expressamente proibida a discussão e/ou criação de tópicos relacionados a torrents, P2P e programas similares para o compartilhamento de arquivos ou streaming, independentemente da forma de expressão utilizada.

 

Por gentileza, desinstale todos esses programas e após a desinstalar retorne aqui a este tópico com novos logs (frst.txt e addition.txt)

[gatuxos123]

Bom dia,

 

Por gentileza, me informe quais programas são esses

[Lusitano]

Faça o download de CKScanner. É importante que o salve no seu desktop (área de trabalho)!

• Clique direito do mouse em CKScanner.exe e execute como administrador
• Nos avisos legais, permita que seja executado e clique em Search For Files
• Clique em Save List To File
• Surgirá um mensagem a confirmar que o arquivo foi salvo.
• No seu desktop terá um arquivo com o nome CKFiles.txt que deverá anexa-lo na sua próxima resposta.
   

[gatuxos123]

Segue em anexo

ckfiles.txt

Segue em anexo

Addition.txt FRST.txt

[Lusitano]

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrição <==== ATENÇÃO
IE trusted site: HKU\S-1-5-21-4080567834-197202263-3443209586-1002\...\webcompanion.com -> hxxp://webcompanion.com
CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv

CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
C:\ProgramData\Temp\*
C:\Program Files (x86)\Temp\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\*
C:\Users\AllUserName\AppData\LocalLow\Temp\*
C:\Users\AllUserName\Appdata\Local\Temp\*
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[gatuxos123]

Olá,

 

Segue em anexo o Fixlog.

 

Citação

por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

 

Sim, ontem à tarde eu recebi um e-mail da Google onde dizia que o meu dispositivo havia sido desconectado por um motivo de falha crítica de segurança. Uso o software Google Drive neste PC e foi uma notificação de que o Google identificou uma tentativa de invasão à minha conta. 

 

Fui tentar fazer o login agora e caí nessa página: https://prnt.sc/B9ylegN73s6B

 

Já fiz a troca das senhas mas acredito que este PC esteja infectado por algum vírus novo ainda indetectável ou algo assim... Não sei se é algum keylogger, alguma invasão remota, enfim...

Tenho WSL instalado na máquina, não sei se poderia estar se escondendo lá. Disco Z:\

 

 

 

Fixlog.txt

[Lusitano]

 

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[gatuxos123]

Boa noite,

 

Segue.

ESETScan.txt

[Lusitano]

@gatuxos123 Olá, esta varredura que fizemos usando uma engine diferente também não detetou nada demais.

 

20 horas atrás, gatuxos123 disse:

ontem à tarde eu recebi um e-mail da Google onde dizia que o meu dispositivo havia sido desconectado por um motivo de falha crítica de segurança.

Já vou passar instruções para percebermos que falhas possam existir.

20 horas atrás, gatuxos123 disse:

Já fiz a troca das senhas mas acredito que este PC esteja infectado por algum vírus novo ainda indetectável ou algo assim... Não sei se é algum keylogger, alguma invasão remota, enfim...

Se existisse infeção já teria sido mostrada qualquer vestígio, mas continua sem aparecer nada que indique que ainda exista. 

Antes de prosseguirmos para pesquisas mais exaustivas, vamos passo a passo

 

Faça o download desta ferramenta

Clique direito do mouse em Securitycheck.exe  e selecione "Run as administrator"  e "YES"

Aguarde que a ferramenta seja executada e no final irá abrir um arquivo txt (bloco de notas) com o nome SecurityCheck.txt.

Anexe esse arquivo na sua próxima resposta. O arquivo estará localizado em C:\SecurityCheck\SecurityCheck.txt

 

 

[gatuxos123]

Citação

Se existisse infeção já teria sido mostrada qualquer vestígio, mas continua sem aparecer nada que indique que ainda exista. 

Antes de prosseguirmos para pesquisas mais exaustivas, vamos passo a passo 

Ok

SecurityCheck.txt

[Lusitano]

Abaixo os programas que estão desatualizados:

 

Git v.2.35.1.2 Warning! Download Update

Microsoft Office Professional Plus 2019 - pt-br v.16.0.15629.20208

PuTTY release 0.76 (64-bit) v.0.76.0.0 Warning! Download Update

NVIDIA GeForce Experience 3.24.0.126 v.3.24.0.126 Warning! Download Update

VMware Player v.16.2.3 Warning! Download Update

Node.js v.16.16.0 Warning! Download Update

Python 3.9.13 (64-bit) v.3.9.13150.0 Warning! Download Update

Notepad++ (32-bit x86) v.7.8.7 Warning! Download Update

TeamViewer v.15.10.5 Warning! Download Update

WinRAR 5.50 (64-bit) v.5.50.0 Warning! Download Update

Discord v.0.0.309 Warning! Download Update

Zoom v.5.11.1 (6602) Warning! Download Update

Telegram Desktop version 4.2 v.4.2 Warning! Download Updat

Java 8 Update 333 (64-bit) v.8.0.3330.2 Warning! Download Update  Desinstale as versões anteriores e instale a nova (jre-8u341-windows-x64.exe).

Mozilla Firefox (x64 pt-BR) v.100.0 Warning! Download Update

 

Radmin VPN 1.2.1 v.1.2.4457

Radmin Viewer 3.5.2 v.3.52.1.0000 Warning! RAT!. Creio ser do seu conhecimento o uso desse software (Radmin), certo?

 

 

Por via das dúvidas vamos recorrer a mais uma ferramenta. Tranquilo que no final removeremos tudo o que usarmos e que você não irá necessitar.

Faça o download de Kaspersky Virus Removal Tool (KVRT) e salve no seu desktop.

Pressione as teclas Windows + R, para abrir a caixa "executar".

Copie e cole a seguinte linha abaixo nessa caixa:

C:\Users\FELIPE\Desktop\KVRT.exe -dontencrypt

Selecione „Ok“ para dar inicio a execução.
Permita que a ferramenta seja executada, marque todas as caixas de confirmação e clique em "Accept".
Na janela da ferramenta KVRT, selecione "Change Parameters".
Na nova janela, certifique-se que as seguintes caixas estão marcadas:

• System memory
• Startup objects
• Boot sectors
• System drive

Selecione "OK" e „Start scan“.
Quando terminar: Se algo for encontrado irão aparecer opções. Se aparecer "Cure", deixe selecionada. Noutras situações, marque "Delete", e clique em "Continue".
Nota: Geralmente o computador necessitará de reiniciar para finalizar a remoção.
Um arquivo será gerado e pode ser encontrado no seu drive de sistema (ex: C:\), por exemplo:

C:\KVRT2022_Data\Reports\report_<data>_<hora>.klr

Clique direito do mouse nesse arquivo e escolha abrir com Bloco de Notas (Notepad)
Salve esse arquivo e anexe-o na sua próxima resposta juntamente com novos logs da ferramenta FRST (frst.txt e addition.txt).

[gatuxos123]

Olá,

 

Citação

Radmin Viewer 3.5.2 v.3.52.1.0000 Warning! RAT!. Creio ser do seu conhecimento o uso desse software (Radmin), certo?

 

Na verdade não, quem usava era meu irmão para jogo que precisava de VPN, mas não sei o que exatamente esse programa faz.

 

 

report_2022.10.29_12.30.45.txt FRST.txt Addition.txt

[Lusitano]

19 minutos atrás, gatuxos123 disse:

Na verdade não, quem usava era meu irmão para jogo que precisava de VPN, mas não sei o que exatamente esse programa faz

Remote Access Tool Se não utiliza, desinstale. 

 

Citação

C:\Users\FELIPE\AppData\Roaming\Kodi\addons\packages\plugin.vídeo.BrazucaPlay.Matrix-2.1.3.zip" Info="Trojan.Python.Lofy.a

Conseguimos detetar o que restava e que não era mostrado nas análises anteriores.

 

Continua ainda notando algo estranho?

[gatuxos123]

Desinstalei o RAT

 

Citação

Continua ainda notando algo estranho?

 

Por enquanto não, fiz a troca de todas as senhas, resetei o Chrome e por enquanto tudo Ok.

Eu só notei uma coisa estranha, quando acessei o site alibaba.com o meu navegador OperaGX pediu acesso ao firewall, eu recusei.

[Lusitano]

11 minutos atrás, gatuxos123 disse:

Eu só notei uma coisa estranha, quando acessei o site alibaba.com o meu navegador OperaGX pediu acesso ao firewall, eu recusei.

Isso já estará dentro da normalidade e faz bem em bloquear acesso se não conhece ou não necessita.

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.