Invação na conta de e-mail (gmail)

Rone Miguel · 17 de novembro de 2022

Boa noite !

Recebi uma notificação do Google em meu celular informando o seguinte "Alguém pode ter acessado sua conta Google usando um malware nocivo em um dos seus dispositivos a conta foi desconectada no dispositivo em questão por motivos de segurança."

Addition.txt AdwCleaner[C00].txt FRST.txt

Lusitano · 18 de novembro de 2022

@Rone Miguel

Citação

Plataforma: Microsoft Windows 7 Ultimate Service Pack 1 (X64) Idioma: Português (Brasil)

Esta versão já não tem suporte e portanto é um sistema operacional muito sujeito a malwares!

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

comment: Para Rone Miguel Nov182022
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
FF Plugin: @microsoft.com/GENUINE -> disabled [Nenhum Arquivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Nenhum Arquivo]
S2 luminati_net_updater_win_hola_off_abtest_hola_org; "C:/Program Files/Hola/app/net_updater64.exe" --updater win_hola.off.abtest.hola.org [X]
S2 MBAMInstallerService; C:\Users\Cliente\AppData\Local\Temp\MBAMInstallerService.exe [X] <==== ATENÇÃO
S3 Asushwio; \??\D:\BIN\64bit\Asushwio.sys [X]
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShell.dll [2022-11-07] (Avast Software s.r.o. -> AVAST Software)
ContextMenuHandlers1: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} => -> Nenhum Arquivo
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ContextMenuHandlers2: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} => -> Nenhum Arquivo
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
ContextMenuHandlers4: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} => -> Nenhum Arquivo
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Cliente\AppData\Local\MEGAsync\ShellExtX64.dll -> Nenhum Arquivo
FirewallRules: [{1124B90B-8C20-4A04-B125-4CFB63E728D7}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{F557F731-790B-4D4F-918F-933BD42E1913}C:\users\cliente\appdata\local\temp\keygen.exe] => (Allow) C:\users\cliente\appdata\local\temp\keygen.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E8B396F6-8233-4E69-A49B-76A0B021DFB4}C:\users\cliente\appdata\local\temp\keygen.exe] => (Allow) C:\users\cliente\appdata\local\temp\keygen.exe => Nenhum Arquivo
FirewallRules: [{40C5BD48-50AD-4B7E-8461-A6D3C734EC12}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{9C1765CD-FB84-4A79-93FA-EE8CD7A72F6B}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{6D8E23F9-157A-450C-8D1B-686E6307AD9B}C:\program files (x86)\steam\steamapps\common\cryptic studios\neverwinter\live\gameclient.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cryptic studios\neverwinter\live\gameclient.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{16426EFC-B847-4FA2-8AB0-48A989804D6D}C:\program files (x86)\steam\steamapps\common\cryptic studios\neverwinter\live\gameclient.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cryptic studios\neverwinter\live\gameclient.exe => Nenhum Arquivo
FirewallRules: [{2F334BCD-7DB2-42D8-AAA8-10E0F9959A4E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.exe => Nenhum Arquivo
FirewallRules: [{569EAFA5-14C8-4565-AE14-00CF33A58425}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Nenhum Arquivo
FirewallRules: [{C0BE4A5C-45E3-434F-AD6F-B83B007744F9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.exe => Nenhum Arquivo
FirewallRules: [{8B333116-5C5C-419E-B416-9DD1924CB989}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Nenhum Arquivo
FirewallRules: [{9009E6E7-1283-4DD3-90DA-95037FD3C98A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Nenhum Arquivo
FirewallRules: [{B59FDA7C-A604-4B69-975C-354182A16525}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Nenhum Arquivo
FirewallRules: [{9A96A029-10FB-464E-B343-21A6330FAED0}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.exe => Nenhum Arquivo
FirewallRules: [{2072A4AA-2A49-48D7-8C25-E041DAA87692}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Nenhum Arquivo
FirewallRules: [{C715E935-69D7-48B5-B314-2006DF284FDD}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.exe => Nenhum Arquivo
FirewallRules: [{7D2EA300-2FF6-4722-B0C9-C07EED50DEB9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Nenhum Arquivo
FirewallRules: [{C67C4274-75F5-4522-AA47-7F9DA68FD9A9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Nenhum Arquivo
FirewallRules: [{9BC0992F-A685-42A1-856D-B1C01718EFB4}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Nenhum Arquivo
FirewallRules: [{F24A269C-4840-45EC-ADEF-509F61D99BC1}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{843D631D-7B6D-4DD8-9726-E03515BC526B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Nenhum Arquivo
FirewallRules: [{E0A269B0-E949-42AC-B8E9-65224E1C01F6}] => (Allow) C:\Users\Cliente\AppData\Roaming\Zoom\bin\Zoom.exe => Nenhum Arquivo
FirewallRules: [{58656103-0DC3-4C91-A92B-DC7BF795D682}] => (Allow) C:\Users\Cliente\AppData\Roaming\Zoom\bin\airhost.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{7FCCEEA4-5CEA-4909-BFC1-8F04AD7A1AB0}C:\program files\dnplayerext2\ldboxheadless.exe] => (Allow) C:\program files\dnplayerext2\ldboxheadless.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{9FDE9325-498C-4BFD-9AFB-F56EEDFAFEF9}C:\program files\dnplayerext2\ldboxheadless.exe] => (Allow) C:\program files\dnplayerext2\ldboxheadless.exe => Nenhum Arquivo
FirewallRules: [{DD6C6D4C-C5AC-4AD8-AD81-100BD0FE9BB2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Nenhum Arquivo
VirusTotal: C:\Users\Cliente\AppData\Roaming\@sp1keeeeee_crypted.exe
StartBatch:
cd \
cd %windir%\system32
net stop bits
net stop cryptSvc
net stop wuauserv
net stop msiserver
del /s /q C:\Windows\SoftwareDistribution\download\*.*
Del /s /q "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat"
Ren %systemroot%\system32\catroot2 catroot2.bak
fsutil resource setautoreset true %SystemDrive%\
attrib -r -s -h %SystemRoot%\System32\Config\TxR\*
del /s /q %SystemRoot%\System32\Config\TxR\*
attrib -r -s -h %SystemRoot%\System32\SMI\Store\Machine\*
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.tm*
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.blf
del /s /q %SystemRoot%\System32\SMI\Store\Machine\*.regtrans-ms
WMIC SERVICE WHERE Name="cryptSvc" set startmode="auto"
net start cryptSvc
net start bits
net start wuauserv
net start msiserver
Endbatch:
StartBatch:
SETLOCAL ENABLEEXTENSIONS
echo userprofile=%USERPROFILE%
if not defined userprofile echo no userprofile&goto :eof
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
del /f /q "%userprofile%\AppData\Roaming\{*.*"
rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
:eof
EndBatch:

StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
cmd: sfc /scannow
Reboot:
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Rone Miguel · 21 de novembro de 2022

Boa tarde !!

Aparentemente fiz o login com a minha conta gmail na maquina e não deu nenhum alerta, na questão de processamento me parece que voltou ao normal não estou percebendo mais a maquina lenta. Mas o avast continua me dando mensagem de alerta de cookie de rastreameFixlog.txtnto.

Lusitano · 21 de novembro de 2022

4 horas atrás, Rone Miguel disse:

Mas o avast continua me dando mensagem de alerta de cookie de rastreamento

Pode por gentileza tirar foto ou ver qual o arquivo e caminho e postar aqui na sua próxima resposta?

Nas instruções anteriores estava limpeza de cookies. Esse alerta do avast ocorre depois de ter executado o frst?

Rone Miguel · 22 de novembro de 2022

Boa noite !!

Me parece que está tudo okay, não apareceu mais o alerta ...

Lusitano · 23 de novembro de 2022

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Rone Miguel · 29 de novembro de 2022

Muito obrigado.

Lusitano · 29 de novembro de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.