Pc inicia e abre um cmd chamado xcopy.exe

[Italo Lopess]

Então resumidamente acontece uma coisa estranha sempre q eu ligo o Pc e coloco minha senha rápido.

 

O Pc ele abre um cmd nomeado de xcopy.exe, logo de cara quando vi isso já pensei que poderia ser vírus né, mas aí eu pesquisei pra saber o q seria esse arquivo, aparentemente ele é o ctrl+c e ctrl+v do computador.

 

Mas ainda assim desconfiar é sempre bom né, então gostaria de saber se alguém q já passou por isso ou sabe o que tá acontecendo poderia me ajudar

 

Se realmente isso for um vírus gostaria de saber se tem como tirar ele sem ter q formatar o Pc, pois nele tem certas coisas q infelizmente não posso tirar mesmo fazendo backup.

 

valeu.

 

 

[mick 07]

Procure o arquivo no PC e faça scan nos sites abaixo.

 

https://www.virustotal.com/gui/home/upload

https://virusscan.jotti.org/

[Italo Lopess]

@mick 07 beleza então vou ver aqui, valeu

@mick 07 nenhum virus aparentemente, valeu cara 

[mick 07]

@Italo Lopess ainda assim, recomendo abrir tópico no setor de remoção de malware conforme instruções abaixo.

 

 

[Swalls]

o sistema operacional é windows? Se sim, faça a famosa e velha listona preventiva que vou disponibilizar abaixo, faça também uma tópico pedindo remoção de malware no forum.

1. abra o pc no modo de segurança com rede.
2. abra o executar → digite msconfig → serviços → ocultar todos os serviços microsoft → desativar tudo.
3. na mesma janela → inicialização de programas → abrir gerenciador de tarefas → inicializar → desabilite tudo com botão direto em um por um.
4. abra o executar → digite shell:startup → se tiver algo lá, apague.
5. abra o executar → digite regedit → hk local machine(faça o mesmo para current user) → software → microsoft → windows → currentversion → run → apague tudo que tiver lá dentro.
6. saia do modo de segurança → abra o menu inicial → digite agendador de tarefas(windows 8 está escrito agendar tarefas) → clique em biblioteca do agendador de tarefas → desative todas as tarefas que aparecerem na direita usando o botão direito do mouse(não apague elas).
7. ache residuos de programas e executáveis suspeitos na sua máquina, abra novamente o regedit → navegue até hkcurrentuser\software\classes\software\microsoft\windows\muicache → repare que há uma lista em cache de todos os programas que já passaram pelo seu pc → no lado há o caminho que cada um tem/tinha. a chave BagMRU que fica em cima de muicache também possui essas coisas, mas tem que ter certo conhecimento para mexer lá.
8. outras coisas também podem ser achadas navegando em hkcurrentuser\software\windows nt\current version\compatibility assistant\store
9. abra o cmd como adm e digite sfc /scannow , minize e deixe o scan trabalhar.
10. abra outra aba do cmd e digite chkdsk /r /f /v , vai pedir para agendar, aceite.
11. abra outra aba do cmd e digite DISM /online /cleanup-image /restorehealth
12. abra o executar → digite control → vá em rede e internet → central de rede e compartilhamento → alterar as configurações do adaptador → desative todas as conexões virtuais(virtuais! não vá desativar conexão com cabo de rede ou wifi).
13. abra o windows update e faça update.
14. abra o windows defender e faça uma busca completa.

[mick 07]

Não recomendo que faça alterações no registro do Windows (regedit), a não ser que tenha total certeza do que está fazendo. Sugiro seguir com análise de malware junto aos nossos analistas de segurança.

[Swalls]

@mick 07 fala querido mick ♥, na lista acima não há alterações no regedit. citei o regedit nos itens 5,7 e 8.

explicando o item 5: a chave de registro "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" contém informações sobre programas e aplicativos que são executados automaticamente durante o processo de inicialização do sistema. Essa chave de registro é usada para definir quais programas devem ser iniciados quando o Windows é inicializado. Nela não há inicializações necessárias para o windows.

os itens 7 e 8 são as chaves que contém em cache os caminhos dos programas no pc, por ali você vai saber onde está cada coisa, não fará modificações, apenas usará essa chave para saber onde está x arquivo no seu disco.

 

[mick 07]

@Swalls sei o que é cada chave mencionada, mas para usuários leigos (não falo de você), o ideal é que alguém com mais experiência faça análise e mude o que achar pertinente, que é exatamente o que os analistas de segurança do setor de Remoção de Malware fazem. Abraços!

[Italo Lopess]

@Swalls   @mick 07fiz os processos que você pediu(menos o do regedit) pois tenho medo de acontecer alguma coisa pois sou meio leigo nisso, agradeço a vocês por me ajudarem.

[Lusitano]

21 horas atrás, Swalls disse:

@mick 07 fala querido mick ♥, na lista acima não há alterações no regedit. citei o regedit nos itens 5,7 e 8.

explicando o item 5: a chave de registro "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" contém informações sobre programas e aplicativos que são executados automaticamente durante o processo de inicialização do sistema. Essa chave de registro é usada para definir quais programas devem ser iniciados quando o Windows é inicializado. Nela não há inicializações necessárias para o windows.

os itens 7 e 8 são as chaves que contém em cache os caminhos dos programas no pc, por ali você vai saber onde está cada coisa, não fará modificações, apenas usará essa chave para saber onde está x arquivo no seu disco.

 

Não é suficiente essas chaves, embora possam conter informação que ajudem e malwares mais evoluídos você não vai ver nada aí

 

[Swalls]

@Lusitano Opa mestre lusitano, sei que estou fugindo do tópico mas senti que preciso perguntar.

Essas lista que citei é uma das rotinas que eu faço todo mês no meu pc (exceto o chkdsk porque n quero acabar com meu SSD), essas chaves(e outra diversas) foram um dos muitos métodos que eu aprendi enquanto estudava.

Especificamente na minha infância eu usava o ch3at 3ngine e Combat v3 para buscar hackers no pc dos jogadores enquanto era ADM de servidor de um jogo e fui aprendendo muitas coisas sobre(e alguns fazendo a disciplina de Gest.de.segurança na faculdade). Eu adoraria aprender mais sobre onde e como fazer análise de malware, nada especializado, o que o sr recomenda?

[Lusitano]

2 horas atrás, Swalls disse:

Eu adoraria aprender mais sobre onde e como fazer análise de malware, nada especializado, o que o sr recomenda?

Olá,

Tendo os conhecimentos básicos sobre o windows, para analisar o malware temos de desde logo pensar que ele para ser executado, em algum momento ele foi carregado e obviamente que o melhor (sob ponto de vista do hacker) o malwaree seja iniciado automaticamente sempre que o Windows for iniciado.
Então, o melhor é entender o que acontece quanto "ligamos" o computador. Basicamente começa com BIOS, MBR, Kernel, etc. e por aí vai e em todas essas etapas é possível existir malwares, portanto apenas as chaves que você mencionou não podem ser suficientes para devidamente remover um malware.

Leia por exemplo o topico da ferramenta que mais usamos e já lhe dará uma melhor ideia sobre quais os setores que tentamos analisar: