Análise de vulnerabilidade e remoção

[Cammy]

 Pc com comportamento diferente do usual:

- trocou a fundo de tela (uma vez)

- apresentou demora ao desligar 

- demora ao ligar

 

 

 

Obs: tive um pouco de dificuldade com o 3º passo, enquanto o programa era executado, ele começou a abrir o pop-up dos relatórios várias vezes... como se tivesse em um loop.

AdwCleaner[C00].txt AdwCleaner[S00].txt ZHPCleaner (R).txt ZHPCleaner (S).txt Addition.txt FRST.txt

[Cammy]

Fiz uma nova varredura hoje, vou enviar os arquivos atualizados abaixo:

 

AdwCleaner[C01]2.txtZHPCleaner (R).txtZHPCleaner (S).txtFRST.txtAddition.txt

[Lusitano]

 

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[Cammy]

ESETScan.txt

[Lusitano]

@Cammy Olá,

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
() <==== ATENÇÃO [zero byte? (Erro=3)] C:\Program Files\Acer\Quick Access Service\QAAdminAgent.exe#2260DB8D655AA06F
() <==== ATENÇÃO [zero byte? (Erro=3)] C:\Program Files\Acer\Quick Access Service\QAAgent.exe#8CE0E0F2CA818898
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2802108633-1272194193-1000986518-1001\...\Run: [Google Update] => "C:\Users\camil\AppData\Local\Google\Update\1.3.36.352\GoogleUpdateCore.exe" (Nenhum Arquivo)
ShortcutTarget: AdsPower.lnk -> C:\Program Files\AdsPower Global\AdsPower.exe (Nenhum Arquivo)
Task: {24A859A5-5BD9-4AB9-A8A0-E314BDF72FB2} - System32\Tasks\ACC => C:\Program Files (x86)\Acer\Care Center\LiveUpdateChecker.exe  -auto (Nenhum Arquivo)
Task: {1CE1337B-A5D9-42AE-9757-7CAC6F36E35E} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2802108633-1272194193-1000986518-1001Core{653A1F1E-8685-4E9B-87EA-A87387682C9B} => "C:\Users\camil\AppData\Local\Google\Update\GoogleUpdate.exe"  /c (Nenhum Arquivo)
Task: {4413D1DB-D91E-4A33-9E6C-6797495BF85D} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2802108633-1272194193-1000986518-1001UA{CA7AE77C-516D-4E3C-AC35-810F834DD09F} => "C:\Users\camil\AppData\Local\Google\Update\GoogleUpdate.exe"  /ua /installsource scheduler (Nenhum Arquivo)
Task: {93A4771E-6F5D-4C81-A97B-19F476CB8F1A} - System32\Tasks\Oem\AcerJumpstartTask => "C:\Program Files (x86)\Acer\Acer Jumpstart\hermes.exe"  /default (Nenhum Arquivo)
S2 ACCSvc; "C:\Program Files (x86)\Acer\Care Center\ACCSvc.exe" [X]
S3 QALSvc; "C:\Program Files\Acer\Quick Access Service\QALSvc.exe" [X]
S3 QASvc; "C:\Program Files\Acer\Quick Access Service\QASvc.exe" [X]
S3 UEIPSvc; "C:\Program Files\Acer\User Experience Improvement Program Service\Framework\UBTService.exe" [X]
CustomCLSID: HKU\S-1-5-21-2802108633-1272194193-1000986518-1001_Classes\CLSID\{85D8EE2F-794F-41F0-BB03-49D56A23BEF4}\InprocServer32 -> C:\Users\camil\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2802108633-1272194193-1000986518-1001_Classes\CLSID\{8D422533-936A-4A82-B15C-BD5319AB0026}\InprocServer32 -> C:\Users\camil\AppData\Local\Google\Update\1.3.36.332\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2802108633-1272194193-1000986518-1001_Classes\CLSID\{B9C751AA-D9CF-4E09-A270-E5BBD2194F83}\InprocServer32 -> C:\Users\camil\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2802108633-1272194193-1000986518-1001_Classes\CLSID\{E4949BE6-C9FF-4AFA-8672-6127D857418B}\InprocServer32 -> C:\Users\camil\AppData\Local\Google\Update\1.3.36.312\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2802108633-1272194193-1000986518-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\camil\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Nenhum Arquivo
CustomCLSID: HKU\S-1-5-21-2802108633-1272194193-1000986518-1001_Classes\CLSID\{ED0BC9DB-3CE6-49E5-9B2F-590DCEF8C016}\InprocServer32 -> C:\Users\camil\AppData\Local\Google\Update\1.3.36.342\psuser_64.dll => Nenhum Arquivo
FirewallRules: [TCP Query User{94E51917-7C90-493D-8363-54EEA49A9BAD}C:\users\camil\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\camil\appdata\roaming\spotify\spotify.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{2B7EEA11-0CED-42A4-AD50-EB07CB6F819E}C:\users\camil\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\camil\appdata\roaming\spotify\spotify.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{3601E57C-99B1-4F36-BBE0-565CFB151D77}C:\users\camil\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\camil\appdata\roaming\spotify\spotify.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{BFF3D888-06F8-4D6E-B0D7-3464A4A21A72}C:\users\camil\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\camil\appdata\roaming\spotify\spotify.exe => Nenhum Arquivo
StartRegedit:
Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableLUA"=dword:00000001
 
EndRegedit:
 
StartBatch:
  pushd\windows\system32
  bcdedit.exe /export C:\exportBCDfile
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit /enum
  DISM.exe /Online /Cleanup-image /Restorehealth
  sfc /scannow
Endbatch:
 
StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
  del /s /q "%userprofile%\AppData\Local\Temp\*.*"
  del /f /q "%userprofile%\AppData\Local\*-gui"
  del /f /q "%userprofile%\AppData\Roaming\*-gui"
 :eof
EndBatch:
 
 
startpowershell:
Write-Output "PowerShell run 1"
 
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose
Set-Service -Name "windefend" -StartupType Automatic -Verbose
Set-Service -Name "securityhealthservice" -StartupType Manual -Verbose
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
Endpowershell:
 
StartBatch:
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
net start windefend
net start mpssvc
net start mpsdrv
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
 

 
startpowershell:
Write-Output "PowerShell run 2"
 
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
# Check computer status again after setting to make sure changes were applied
    Get-MpComputerStatus
    Get-MpPreference
    Get-MpThreatDetection
# get statuses of services
Get-Service 'Terminal Server' | Select-Object -Property Name, StartType, Status
Get-Service BITS | Select-Object -Property Name, StartType, Status
Get-Service Dhcp | Select-Object -Property Name, StartType, Status
Get-Service EventLog | Select-Object -Property Name, StartType, Status
Get-Service EventSystem | Select-Object -Property Name, StartType, Status
Get-Service mbamservice | Select-Object -Property Name, StartType, Status
Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
Get-Service msiserver | Select-Object -Property Name, StartType, Status
Get-Service nsi | Select-Object -Property Name, StartType, Status
Get-Service RasMan | Select-Object -Property Name, StartType, Status
Get-Service rpcss | Select-Object -Property Name, StartType, Status
Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
Get-Service sense | Select-Object -Property Name, StartType, Status
Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
Get-Service VSS | Select-Object -Property Name, StartType, Status
Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
Get-Service windefend | Select-Object -Property Name, StartType, Status
Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
Get-Service wscsvc | Select-Object -Property Name, StartType, Status
Get-Service wuauserv | Select-Object -Property Name, StartType, Status
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}
Get-CimInstance SoftwareLicensingProduct -Filter "Name like 'Windows%'" | where { $_.PartialProductKey } | select Description, LicenseStatus
EndPowerShell:
 
startbatch:
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\uwj5v52h.default\cache2\*.*"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\9drvj32f.default-release\cache2\*.*"
endbatch:
cmd: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power" /v HiberbootEnabled
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
exportkey: hkcu\software\classes\ms-settings\shell\open\command
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
exportkey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager
 
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp 
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R 
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R 
cmd: "C:\Windows\SysWOW64\lodctr.exe" /R 
cmd: "C:\Windows\SYSTEM32\lodctr.exe" /R 
 
Removeproxy:

cmd: fltmc instances
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state ON
cmd: ipconfig /flushdns
cmd: netsh winsock reset catalog
cmd: netsh int ip reset C:\resettcpip.txt
cmd: Bitsadmin /Reset /Allusers
 
Empytemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Cammy]

Fixlog.txt

a única coisa que vi diferente, durante a execução do comando acima informado foi o aparecimento de um txt chamado ulpvobosbnrky.txt no meu desktop, além do Fixlog... porém, depois que o pc foi reinicializado ele sumiu... 

nas suas análises, deu para concluir que meu PC estava, de alguma maneira, infectado? Se sim, como posso evitar que as situações voltem a ocorrer?

[Lusitano]

19 horas atrás, Cammy disse:

a única coisa que vi diferente, durante a execução do comando acima informado foi o aparecimento de um txt chamado ulpvobosbnrky.txt no meu desktop, além do Fixlog... porém, depois que o pc foi reinicializado ele sumiu... 

Nada é mostrado quanto a isso.

Vamos nos certificar: Execute novamente FRST, mas para pesquisar esse arquivo, colocando na caixa Pesquisar: ulpvobosbnrky e clicar em Pesquisar arquivos Retorne com o resultado.

 

19 horas atrás, Cammy disse:

nas suas análises, deu para concluir que meu PC estava, de alguma maneira, infectado?

O que fizemos foi uma limpeza de entradas órfãs e correções. 

 

19 horas atrás, Cammy disse:

como posso evitar que as situações voltem a ocorrer?

Mantenha sempre seus programas atualizados e faça uma utilização responsável do seu computador.

[Cammy]

Search.txt

quando você diz para eu manter os meus programas atualizados... isso também vale para a migração para o windows 11, ou posso continuar com o 10?

[Lusitano]

16 horas atrás, Cammy disse:

isso também vale para a migração para o windows 11, ou posso continuar com o 10?

Pode manter o win 10, que continua a ter suporte pelo menos até Out/2025.

 

[Cammy]

Ok...

Preciso fazer mais algum procedimento por aqui?

Se não, posso apagar os programas que baixei? Existe alguma forma correta de exclusão, ou apenas um delete resolve?

[Lusitano]

22 horas atrás, Cammy disse:

Preciso fazer mais algum procedimento por aqui?

Se não, posso apagar os programas que baixei? Existe alguma forma correta de exclusão, ou apenas um delete resolve?

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Cammy]

Obrigada por tudo Lusitano!

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.