Cliquei em um link de phishing e acredito que possa estar infectado

Gabriel Costa94 · 10 de dezembro de 2022

Oi pessoal, sempre analiso os e-mails que recebo pra acabar não caindo nesses tipos de golpe, mas caí pela primeira vez nisso porque o e-mail do remetente estava [email protected]. Achei que era verídico.

Cliquei nesse link malicioso: xyz://southamerica-east1-sunlit-descent-367313.cloudfunctions.net/function-serviceweb3-3, e deu página inexistente. Porém, não sei se ele rodou algo antes de me redirecionar pra essa página inexistente. Vendo no google achei uma pessoa que clicou e foi redirecionada para o google, então talvez tenha uma possibilidade dessa função já não estar no ar. Como uso o computador pra muitas coisas, inclusive coisas bancárias, fiquei preocupado com o que pode ter acontecido.

Segue em anexo os logs e desde já gratidão por vocês daqui!

Addition.txt AdwCleaner[C00].txt FRST.txt

Lusitano · 11 de dezembro de 2022

Olá,

Antes de mais, coloque a ferramenta FRST na sua área de trabalho (desktop). Importante!

Citação

Executando a partir de F:\OneDrive - poli.ufrj.br\Computador e Manutenção\Área de Trabalho <<< local errado

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrição <==== ATENÇÃO
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\58.0.3.0\GoogleDriveFS.exe --startup_mode (Nenhum Arquivo)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\58.0.3.0\GoogleDriveFS.exe --startup_mode (Nenhum Arquivo)
HKU\S-1-5-21-2676422148-2723745782-185247364-1001\...\Run: [com.taskade.desktop] => C:\Users\gabri\AppData\Local\Programs\Taskade\Taskade.exe [104292240 2020-09-23] (TASKCADE INC. -> Taskcade Inc.)
HKU\S-1-5-21-2676422148-2723745782-185247364-1001\...\Run: [ZAR App] => "C:\Users\gabri\AppData\Local\Programs\zar-app\ZAR App.exe" --hidden (Nenhum Arquivo)
HKU\S-1-5-21-2676422148-2723745782-185247364-1001\...\RunOnce: [Delete Cached Update Binary] => C:\windows\system32\cmd.exe /q /c del /q "C:\Users\gabri\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Nenhum Arquivo)
HKU\S-1-5-21-2676422148-2723745782-185247364-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\windows\system32\cmd.exe /q /c del /q "C:\Users\gabri\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Nenhum Arquivo)
HKU\S-1-5-21-2676422148-2723745782-185247364-1001\...\RunOnce: [Uninstall 22.227.1030.0001] => C:\windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\gabri\AppData\Local\Microsoft\OneDrive\22.227.1030.0001" (Nenhum Arquivo)
HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\58.0.3.0\GoogleDriveFS.exe --startup_mode (Nenhum Arquivo)
GroupPolicy: Restrição ? <==== ATENÇÃO
Policies: C:\ProgramData\NTUSER.pol: Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
Task: {E155E9A1-96CF-49CF-8E42-72C30423344B} - System32\Tasks\Rerun Warsaw's CoreFixer => C:\Windows\TEMP\is-HFBLD.tmp\corefixer.exe /norerun (Nenhum Arquivo) <==== ATENÇÃO
Task: {FF569BC8-6821-441C-9662-E7E456410807} - System32\Tasks\Opera scheduled Autoupdate 1630478126 => C:\Users\gabri\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Nenhum Arquivo)
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Nenhum Arquivo
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Nenhum Arquivo
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Nenhum Arquivo
FirewallRules: [{8D492E06-3EF4-4936-B192-72F2A05B24E1}] => (Allow) C:\WINDOWS\system32\tools\aria2c.exe => Nenhum Arquivo
FirewallRules: [{4EBDCEA6-C0C0-4381-9AE6-F9821B03BEED}] => (Allow) G:\Games\Crusader Kings III Royal Court\binaries\ck3.exe => Nenhum Arquivo
FirewallRules: [{1BA7324F-E47E-453F-B995-667E8F89DADC}] => (Allow) G:\Games\Crusader Kings III Royal Court\binaries\ck3.exe => Nenhum Arquivo
FirewallRules: [{C4BD29A6-6852-465E-87EF-2A64D6D3F683}] => (Allow) G:\Games\Crusader Kings III Royal Court\binaries\ck3.exe => Nenhum Arquivo
FirewallRules: [{685FC9A3-F8CB-4DFD-AF65-F284D1F1816E}] => (Allow) G:\Games\Crusader Kings III Royal Court\binaries\ck3.exe => Nenhum Arquivo
FirewallRules: [{61713E41-0D26-4FE2-9C88-5A96FE4DDA9F}] => (Allow) G:\Games\Crusader Kings III Royal Court\binaries\ck3.exe => Nenhum Arquivo
FirewallRules: [{A61D3F60-E10D-4EBE-BFD6-D66CEF28BC5D}] => (Allow) G:\Games\Crusader Kings III Royal Court\binaries\ck3.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{AD67C87E-A145-42FD-970F-A69A29432462}G:\cult of the lamb\cult of the lamb.exe] => (Block) G:\cult of the lamb\cult of the lamb.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{FC711299-A45B-4F00-853F-FC647E509DAC}G:\cult of the lamb\cult of the lamb.exe] => (Block) G:\cult of the lamb\cult of the lamb.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{8A9E44CA-6A49-44AC-BA32-E516D72AE813}G:\rogue.legacy.2.v1.0.4\rogue.legacy.2.v1.0.4\game\rogue legacy 2.exe] => (Block) G:\rogue.legacy.2.v1.0.4\rogue.legacy.2.v1.0.4\game\rogue legacy 2.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{75BAE21B-8DA7-4FEC-AA5C-11B050AF3CD0}G:\rogue.legacy.2.v1.0.4\rogue.legacy.2.v1.0.4\game\rogue legacy 2.exe] => (Block) G:\rogue.legacy.2.v1.0.4\rogue.legacy.2.v1.0.4\game\rogue legacy 2.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{45D302CE-6F97-4E2C-92BA-22CD0D1786B1}D:\games\dying light platinum edition\dyinglightgame.exe] => (Block) D:\games\dying light platinum edition\dyinglightgame.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{37340A06-C35F-4CC5-B7F6-88BEC88C8ACD}D:\games\dying light platinum edition\dyinglightgame.exe] => (Block) D:\games\dying light platinum edition\dyinglightgame.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{33EFDA8F-9944-4599-AB17-F0A81C7FD19E}G:\games\tunic\tunic.exe] => (Block) G:\games\tunic\tunic.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{E1BF3108-98DF-4290-9269-F970C4BDD9C0}G:\games\tunic\tunic.exe] => (Block) G:\games\tunic\tunic.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{A3326CAA-0EDB-4E4D-B3F5-CF66A7315025}G:\games\nobody saves the world\nstw_x64.exe] => (Block) G:\games\nobody saves the world\nstw_x64.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{5DAF8A97-2D1D-4C63-8312-370992BA83DD}G:\games\nobody saves the world\nstw_x64.exe] => (Block) G:\games\nobody saves the world\nstw_x64.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{85DEFB5B-04B7-454E-B2E1-0274D9A6936A}F:\onedrive - poli.ufrj.br\computador e manutenção\downloads\soulstone.survivors.early.access\soulstone.survivors.early.access\soulstone survivors.exe] => (Block) F:\onedrive - poli.ufrj.br\computador e manutenção\downloads\soulstone.survivors.early.access\soulstone.survivors.early.access\soulstone survivors.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{9D5D1E1C-9CD9-49FE-A894-8E9036E7B192}F:\onedrive - poli.ufrj.br\computador e manutenção\downloads\soulstone.survivors.early.access\soulstone.survivors.early.access\soulstone survivors.exe] => (Block) F:\onedrive - poli.ufrj.br\computador e manutenção\downloads\soulstone.survivors.early.access\soulstone.survivors.early.access\soulstone survivors.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{9DF23B96-9284-4931-9475-214FBCE648FE}G:\games\curse.of.the.dead.gods.v1.24.4.6\curse.of.the.dead.gods.v1.24.4.6\curse of the dead gods.exe] => (Block) G:\games\curse.of.the.dead.gods.v1.24.4.6\curse.of.the.dead.gods.v1.24.4.6\curse of the dead gods.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{267E4714-0C0A-4B49-A0B5-6628CFECA4C7}G:\games\curse.of.the.dead.gods.v1.24.4.6\curse.of.the.dead.gods.v1.24.4.6\curse of the dead gods.exe] => (Block) G:\games\curse.of.the.dead.gods.v1.24.4.6\curse.of.the.dead.gods.v1.24.4.6\curse of the dead gods.exe => Nenhum Arquivo
StartBatch:
pushd\windows\system32
bcdedit.exe /set {default} recoveryenabled yes
bcdedit.exe /timeout 4
bcdedit.exe /enum
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
del /s /q "%userprofile%\AppData\Local\Temp\*.js"
del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
del /s /q "%userprofile%\AppData\Local\Temp\*.html"
del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
Endbatch:

StartBatch:
SETLOCAL ENABLEEXTENSIONS
echo userprofile=%USERPROFILE%
if not defined userprofile echo no userprofile&goto :eof
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
del /f /q "%userprofile%\AppData\Roaming\{*.*"
rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
:eof
EndBatch:
StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
cmd: del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\0suprm9m.default\cache2\*.*"
Hosts:
RemoveProxy:
Reboot:
EmptyTemp:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Gabriel Costa94 · 12 de dezembro de 2022

Opa, fiz o que pediu. Antes tinha colocado na área de trabalho mas me lembrei que tinha mudado a pasta da área de trabalho pra deixar sincronizado com o Drive. Agora coloquei pra rodar na pasta da área de trabalho padrão do windows.

Segue em anexo o log gerado.

Sobre se tenho notado o sintoma, então, não cheguei a perceber nenhum sintoma muito específico. Mas como cliquei num link de phishing fiquei com receio de ter executado algo sem eu perceber. Pelos logs está tudo ok?

Fixlog.txt

Lusitano · 13 de dezembro de 2022

21 horas atrás, Gabriel Costa94 disse:

Pelos logs está tudo ok?

Sim, corrigimos o que havia para corrigir.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Gabriel Costa94 · 14 de dezembro de 2022

Muito obrigado!

Lusitano · 14 de dezembro de 2022

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.