Diversas tentativas de acesso ao meu e-mail

[epslol]

Olá, Recentemente precisei instalar o pacote office no meu computador, nas tentativas de encontrar um programa crackeado acabei baixando um instalador que ao executar o arquivo nada aconteceu, apenas apareceu um arquivo sem nome na minha área de trabalho, toda vez que eu excluia o arquivo, ele retornava. Após reiniciar o PC, o arquivo não apareceu mais. Estava com utorrent instalado no pc, já exclui o aplicativo. Atualmente estou utilizando o Office crackeado, já desinstalei o ativador e todos os documentos relacionados a ele, o antí vírus do windows não acusa nenhum programa nocivo no meu pc, assim como o adwcleaner.

Desde que realizei a instalação houveram tentativas de entrar na conta do meu e-mail, a tentativa só não deu certo porque trava na autenticação em 2 fatores, mas percebi que quem tenta acessar o meu e-mail possui acesso a minha senha, mesmo depois de eu trocar inúmeras vezes a senha.

Addition.txt AdwCleaner[S02].txt FRST.txt

[Lusitano]

@epslolBem vindo ao Clube do Hardware!

 

Você tem software ilegal, que violam a lei e as regras do Fórum!

Citação

1 - Qualquer conteúdo que viole o ordenamento jurídico da República Federativa do Brasil. Caso seja constatada a prática de qualquer conduta ilegal, os autores poderão ser identificados e denunciados às autoridades competentes.

 

2 - Conteúdos relacionados à pirataria ou que violem, de qualquer forma, direitos autorais, contratuais e/ou de propriedade intelectual/industrial. É expressamente proibida a discussão e/ou criação de tópicos relacionados a torrents, P2P e programas similares para o compartilhamento de arquivos ou streaming, independentemente da forma de expressão utilizada.

 

Terei todo o gosto em ajudar, mas você terá de retirar todo o software ilegal que o seu pc tem. Está disposto a isso? Lembre-se que eu tenho forma de verificar se isso foi feito

 

Por outro lado, existe software em versão gratuita, não havendo a necessidade de estar fora da lei. 

 

Fico no aguardo da sua decisão.

 

Abraço

 

 

[epslol]

Boa tarde,

 

Preciso escanear novamente após desinstalar o arquivo ou só confirmar que estou desinstalando?

 

Obs.: Já desinstalei os programas ilegais.

[Lusitano]

Olá,

 

Faça o download de CKScanner. É importante que o salve no seu desktop (área de trabalho)!

• Clique direito do mouse em CKScanner.exe e execute como administrador
• Nos avisos legais, permita que seja executado e clique em Search For Files
• Clique em Save List To File
• Surgirá um mensagem a confirmar que o arquivo foi salvo.
• No seu desktop terá um arquivo com o nome CKFiles.txt que deverá anexa-lo na sua próxima resposta, juntamente com novos logs da ferramenta FRST.

 

 

[epslol]

41 minutos atrás, Lusitano disse:

Olá,

 

Faça o download de CKScanner. É importante que o salve no seu desktop (área de trabalho)!

• Clique direito do mouse em CKScanner.exe e execute como administrador
• Nos avisos legais, permita que seja executado e clique em Search For Files
• Clique em Save List To File
• Surgirá um mensagem a confirmar que o arquivo foi salvo.
• No seu desktop terá um arquivo com o nome CKFiles.txt que deverá anexa-lo na sua próxima resposta, juntamente com novos logs da ferramenta FRST.

 

 

Só uma observação, precisei executar todos os aplicativos (adwcleaner, FRST64 e CKScanner) em modo de compatibilidade com o windows 8 para funcionar, caso contrário eles abriam a microsoft store e em seguida aparece uma mensagem dizendo "O app que você está tentando instalar não é um app verificado pela Microsoft".

Todos os arquivos escanearam normalmente, porém o CKScanner não gravou o .txt na área de trabalho, precisei pesquisar ele na unidade C:.

Addition.txt FRST.txt ckfiles.txt

[Lusitano]

Olá,

 

1. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrição <==== ATENÇÃO
HKU\S-1-5-21-4198146761-3616339612-3866628379-1001\...\Run: [utweb] => "C:\Users\Eduardo Note\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Nenhum Arquivo)
HKU\S-1-5-21-4198146761-3616339612-3866628379-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Nenhum Arquivo)
HKU\S-1-5-21-4198146761-3616339612-3866628379-1001\...\Policies\Explorer: [] 
Task: {21B16B9C-4F16-4E2E-B60E-F73D93A4AAC7} - System32\Tasks\Opera scheduled Autoupdate 1666131130 => C:\Users\Eduardo Note\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Nenhum Arquivo)
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Eduardo Note\AppData\Local\Microsoft\OneDrive\17.3.6743.1212_1\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Eduardo Note\AppData\Local\Microsoft\OneDrive\17.3.6743.1212_1\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Eduardo Note\AppData\Local\Microsoft\OneDrive\17.3.6743.1212_1\amd64\FileSyncShell64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-4198146761-3616339612-3866628379-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2022\en-US\acadficn.dll => Nenhum Arquivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
Folder:
C:\ProgramData\KMSAuto
C:\ProgramData\360Quarant

StartBatch:
cd \
cd %windir%\system32
net stop bits
net stop cryptSvc
net stop wuauserv
net stop msiserver
del /s /q C:\Windows\SoftwareDistribution\download\*.*
Del /s /q "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat"
Ren %systemroot%\system32\catroot2 catroot2.bak
fsutil resource setautoreset true %SystemDrive%\
attrib -r -s -h %SystemRoot%\System32\Config\TxR\*
del /s /q %SystemRoot%\System32\Config\TxR\*
attrib -r -s -h %SystemRoot%\System32\SMI\Store\Machine\*
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.tm*
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.blf
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.regtrans-ms
WMIC SERVICE WHERE Name="cryptSvc" set startmode="auto"
net start cryptSvc
net start bits
net start wuauserv
net start msiserver
Endbatch:

StartRegedit:
Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=-
"DisableOnAccessProtection"=-
"DisableScanOnRealtimeEnable"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000
"DisableAntiVirus"=dword:00000000
"PUAProtection"=dword:00000001

EndRegedit:

StartBatch:
  pushd\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit.exe /timeout 4
  bcdedit.exe /enum
  DISM.exe /Online /Cleanup-image /Restorehealth
  sfc /scannow
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
  del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
  del /s /q "%userprofile%\AppData\Local\Temp\*.js"
  del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
  del /s /q "%userprofile%\AppData\Local\Temp\*.html"
  del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
Endbatch:

StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
 :eof
EndBatch:

StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:

startpowershell:
# Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
# Remove all exclusions on MS Windefend
    Write-Output "Removing all exclusions on MS Windefend antivirus"
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
EndPowerShell:
startpowershell:
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -DisableArchiveScanning $false -Force
    Set-MpPreference -DisableBehaviorMonitoring $false -Force
    Set-MpPreference -DisableEmailScanning $False -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -MAPSReporting Advanced -Force
    Set-MpPreference -PUAProtection enabled -Force
    Set-MpPreference -SignatureScheduleDay Everyday -Force
    Set-MpPreference -DisableRemovableDriveScanning $false -Force
    Set-MpPreference -SubmitSamplesConsent SendSafeSamples
# Reset and check Secure Health status
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
    Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
# Check if these services are running
Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
EndPowerShell:

startpowershell:
    Write-Output "updating"
    Update-MpSignature
    Write-Output "scanning"
    Start-MpScan -ScanType QuickScan
    Remove-MpThreat
EndPowerShell:

C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
cmd: del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\0suprm9m.default\cache2\*.*"

Reboot:
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

2.  Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

3. Na sua próxima resposta, anexe todos os resultados. (arquivos: fixlog.txt e esetscan.txt)

 

 

[epslol]

Boa tarde!

Não tive mais problema para inicializar os arquivos (era algo relacionado ao computador não permitir que eu instalasse aplicativos que não existissem na Microsoft Store) e não tive mais nenhum relato de tentativa de troca de senha até o momento.

Seguem os arquivos solicitados.

ESETScan.txt Fixlog.txt

[Lusitano]

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[epslol]

Fiz tudo conforme indicado. Muito obrigado pela ajuda!!! Estava preocupado com as tentativas de invasões.

 

Abraço!

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.