Altruistic Malware APP Virus

Classe13 · 22 de janeiro de 2023

As Log como foram instruídas para serem feitas.

Ass:Classe13

Lusitano · 23 de janeiro de 2023

@Classe13 olá, sem duvida que vejo a infeção, MAS necessito que TODO o conteúdo do arquivo frst seja me fornecido. Anexe-o novamente e desta vez de forma completa

Classe13 · 23 de janeiro de 2023

Aqui Chefe
Desculpe o erro.

FRST_23-01-2023 12.05.05.txt Addition_22-01-2023 19.30.32.txt Addition_22-01-2023 19.37.01.txt Addition_23-01-2023 11.56.37.txt Addition_23-01-2023 12.05.05.txt FRST_22-01-2023 19.30.32.txt FRST_22-01-2023 19.37.01.txt FRST_23-01-2023 11.56.37.txt

Classe13 · 23 de janeiro de 2023

Ignore o de cima.Fiz o processo errado

E desculpe pelo erro eu estava nervoso e ignorei alguns passo a passo

# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build: 08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 01-23-2023
# Duration: 00:00:01
# OS: Windows 10 (Build 19044.2486)
# Cleaned: 0
# Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1945 octets] - [22/01/2023 19:19:28]
AdwCleaner[C00].txt - [2023 octets] - [22/01/2023 19:19:43]
AdwCleaner[S01].txt - [1542 octets] - [22/01/2023 19:21:11]
AdwCleaner[C01].txt - [1732 octets] - [22/01/2023 19:21:27]
AdwCleaner[S02].txt - [1664 octets] - [23/01/2023 12:00:07]
AdwCleaner[C02].txt - [1854 octets] - [23/01/2023 12:01:12]
AdwCleaner[S03].txt - [1786 octets] - [23/01/2023 15:08:47]
AdwCleaner[C03].txt - [1976 octets] - [23/01/2023 15:09:02]
AdwCleaner[S04].txt - [1908 octets] - [23/01/2023 18:47:04]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C04].txt ##########

Ignore o Post acima.Fiz o processo errado

FRST.txt Addition.txt Fixlog.txt

Lusitano · 24 de janeiro de 2023

@Classe13 Olá, eu não lhe mandei executar o script que você executou. Cada script é executado de acordo e para a máquina em questão e quando em outras máquinas poderá originar a erros graves!

Portanto, seja paciente e execute apenas as minhas instruções, ou você ficará por sua conta.

Execução FRST:

Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
(services.exe ->) () [Arquivo não assinado] [O arquivo está em uso] C:\Program Files (x86)\Common Files\FeelgoodDestroyaWH\FeelgoodDestroyaWH.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKU\S-1-5-21-1657209916-3698779994-3562846091-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-1657209916-3698779994-3562846091-1001\...\Run: [Viewndow] => C:\Users\User\AppData\Local\Programs\Viewndow\Viewndow.exe (Nenhum Arquivo)
HKU\S-1-5-21-1657209916-3698779994-3562846091-1001\...\Run: [TaskbarSystem] => C:\Users\User\AppData\Local\Programs\TaskbarSystem\TaskbarSystem.exe (Nenhum Arquivo)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
Task: {EE7DF701-3F83-4BED-9F1B-C3D9DF0EF771} - System32\Tasks\Opera GX scheduled Autoupdate 1674061990 => C:\Users\User\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate $(Arg0) (Nenhum Arquivo)
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\109.1.47.171\elevation_service.exe" [X]
2023-01-21 23:23 - 2023-01-21 23:37 - 000000000 ____D C:\Program Files (x86)\Altruistic
2023-01-21 23:23 - 2023-01-21 23:23 - 000000000 ____D C:\Users\User\AppData\Local\AltruisticApp
2023-01-21 23:23 - 2023-01-21 23:23 - 000000000 ____D C:\Users\User\AppData\Local\Altruistic
C:\Program Files (x86)\Altruistic
C:\Users\User\AppData\Local\AltruisticApp
C:\Users\User\AppData\Local\Altruistic
StartBatch:
pushd\windows\system32
bcdedit.exe /set {default} recoveryenabled yes
bcdedit.exe /timeout 4
bcdedit.exe /enum
DISM.exe /Online /Cleanup-image /scanhealth
sfc /scannow
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
del /s /q "%userprofile%\AppData\Local\Temp\*.js"
del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
del /s /q "%userprofile%\AppData\Local\Temp\*.html"
del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
del /f /q "%userprofile%\AppData\Local\*-gui"
del /f /q "%userprofile%\AppData\Roaming\*-gui"
Endbatch:
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

Classe13 · 24 de janeiro de 2023

Feito

Fixlog.txt

Lusitano · 24 de janeiro de 2023

Embora já tenhamos feito umas coisas e que você já deve notar bastante melhorias, ainda temos de verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

Faça o download ESET Online Scanner e salve no seu Desktop
Clique direito em esetonlinescanner_enu.exe e execute como administrador
Clique em Computer Scan
Clique em Full scan
Selecione Enable ESET to detect and quarantine potentially unwanted applications
Clique em Start scan
Quando terminar, salve o resultado no seu desktop como ESETScan.txt
Clique Continue e depois em Close
Anexe o arquivo ESETScan.txt

Classe13 · 24 de janeiro de 2023

Feito.

ESETScan.txt

Lusitano · 25 de janeiro de 2023

Olá, como está o pc agora? ainda nota algo ?

Classe13 · 25 de janeiro de 2023

Não,caro Lusitano antes do vírus a ram estava no consumo alto ate travava, mas dps do passo a passo está normal como era antes.

Brigadão e desculpe os erros que eu cometi.

Tenho uma pergunta o que faço com os arquivo que o scan deixou na quarentena? eu apago ?

E desculpe a pergunte qual programa você utilizar para antivírus? Avast, kespery, Malware bytes?

Lusitano · 26 de janeiro de 2023

13 horas atrás, Classe13 disse:

Tenho uma pergunta o que faço com os arquivo que o scan deixou na quarentena? eu apago ?

Pode apagar e entretanto eu vou passar instruções que vão remover as ferramentas que utilizámos.

13 horas atrás, Classe13 disse:

E desculpe a pergunte qual programa você utilizar para antivírus? Avast, kespery, Malware bytes?

Qualquer um, isso não é muito relevante. Maioritariamente eu utilizo sistema linux mas nas máquinas em que tenho o windows eu utilizo o windows defender.

A sua segurança depende de vários fatores, o antivirus é apenas um desses fatores de proteção, independentemente de qual você escolhe. É mais importante ele ser mais um desses fatores a juntar a todos os outros (ex: atualizações, backpus, firewall, etc.).

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

Faça o download de KpRm e salve no seu desktop.
Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

Abraço

Classe13 · 26 de janeiro de 2023

Obrigado Lusitano pela resposta, tentarei olhar melhor os arquivo eu estou baixando para não trazer mais transtornos.

Tenha um Bom dia e agradeço de coração pelo seu tempo disponibilizado a me ajudar .

kprm-20230126095547.txt

Lusitano · 26 de janeiro de 2023

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.