Suspeito que estou com vírus

[Arlen]

Eu acho que estou com um virus porque, ja fiz formatação completa através de um pendrive e depois de inicializar o Pc novamente volta as alterações no "host de serviço", ele fica com a data de hoje, e vai atualizando conforme passa os dias. Notei que também após a formatação, o firewall do Avast não encontra nada para bloquear, posso ficar mexendo por horas, mas no momento em que eu desligar o computador e ligar novamente a data do "host de serviço" muda para hoje e o Avast começa a barrar vários IPs tentando acessar o "host de serviço", levei para um técnico formatar, e após ser devolvido em minha mão, o firewall começou a bloquear o Chrome também, por causa disso eu acho que seja um vírus, malware ou algo do tipo. Ele altera/substitui o host de serviço do windows, quando vou no firewall do avast aparece um monte de IP de pessoas tentando acessar o "host de serviço" cujo o mesmo está alterado, e firewall fica bloqueando entrada e saida. olhei no site da karspesky, que o jeito de se livrar do vírus que não saiu mesmo na formatação é atualizando a BIOS. Queria saber se tem como tirar essa alteração que acontece no Pc sem precisar tirar a bateria da placa-mãe ou atualizar a BIOS. O Pc do meu primo não aparece esses bloqueios no Avast dele, só no meu.

 

Não consegui inserir as fotos do SVChost e nem a do Avast bloqueando o SVChost, como vcs podem ver:

[GabrielLV]

1 hora atrás, Arlen disse:

aparece um monte de IP de pessoas tentando acessar o "host de serviço"

 

@Arlen Isso não é nenhum indicativo de vírus e nem de "IPs de pessoas tentando acessar o host de serviços". Todos os endereços IPv4 e IPv6 listados são parte do grupo de multicast, que é uma classificação de endereçamentos de "um pra muitos", que são usados em redes locais automaticamente quando um serviço tenta se comunicar com um grupo de serviços ou dispositivos na rede local.

Exemplo: Imagine que na sua rede, existam 10 roteadores. Para um roteador automaticamente identificar o outro, ele envia dados no endereço de multicast, e todos os roteadores irão responder a essa solicitação no mesmo endereço. Dessa forma, todos os roteadores irão automaticamente "se conhecer" a partir da comunicação em multicast.

 

Ao pesquisar o que exatamente é essas comunicações que o navegador Chrome está tentando fazer na porta 5353 UDP, consta que se trata de uma comunicação com o protocolo mDNS (Multicast Domain Name System), que exatamente usa a porta 5353 para descobrir dispositivos na sua rede que sejam compatíveis com o recebimento de conteúdo do navegador, como o ChromeCast.

https://segurancadainformacao.furg.br/monitoramento/protocolos-vulneraveis/138-mdns

 

É algo nativo do Chrome, e não é nenhum indicativo de nenhum tipo de ataque ou infecção. O Avast está apenas detectando e bloqueando as comunicações com esse protocolo sem motivos (famoso falso positivo). Não é nada que precise se preocupar, mas caso queira desativar este recurso no Chrome, siga o tutorial abaixo:

https://support.senso.cloud/support/solutions/articles/79000116241-disabling-anonymize-local-ips-exposed-by-webrtc

[Arlen]

2 horas atrás, GabrielLV disse:

 

@Arlen Isso não é nenhum indicativo de vírus e nem de "IPs de pessoas tentando acessar o host de serviços". Todos os endereços IPv4 e IPv6 listados são parte do grupo de multicast, que é uma classificação de endereçamentos de "um pra muitos", que são usados em redes locais automaticamente quando um serviço tenta se comunicar com um grupo de serviços ou dispositivos na rede local.

Exemplo: Imagine que na sua rede, existam 10 roteadores. Para um roteador automaticamente identificar o outro, ele envia dados no endereço de multicast, e todos os roteadores irão responder a essa solicitação no mesmo endereço. Dessa forma, todos os roteadores irão automaticamente "se conhecer" a partir da comunicação em multicast.

 

Ao pesquisar o que exatamente é essas comunicações que o navegador Chrome está tentando fazer na porta 5353 UDP, consta que se trata de uma comunicação com o protocolo mDNS (Multicast Domain Name System), que exatamente usa a porta 5353 para descobrir dispositivos na sua rede que sejam compatíveis com o recebimento de conteúdo do navegador, como o ChromeCast.

https://segurancadainformacao.furg.br/monitoramento/protocolos-vulneraveis/138-mdns

 

É algo nativo do Chrome, e não é nenhum indicativo de nenhum tipo de ataque ou infecção. O Avast está apenas detectando e bloqueando as comunicações com esse protocolo sem motivos (famoso falso positivo). Não é nada que precise se preocupar, mas caso queira desativar este recurso no Chrome, siga o tutorial abaixo:

https://support.senso.cloud/support/solutions/articles/79000116241-disabling-anonymize-local-ips-exposed-by-webrtc

 

Entendi, mas e o fato do Serviço de host ? Como eu disse antes, esse bloqueios do Chrome no Avast começou acontecer após ele ter sido levado para o técnico, antes disso o que prevalecia era o host de serviço sendo bloqueado, o mesmo que eu disse que estava modificado. Quando eu formato o Pc e baixo o Avast esses bloqueios não aparecem, e quando vou ver o host de serviço ele fica marcado para "dia 3 domingo, dezembro de 2023", eu posso ficar mexendo por horas assim e o Avast não bloqueia nada, contudo se eu desligar o Pc, e ligar novamente haverá alterações no "host de serviço" a data que antes era de 2023 passa a ser desse ano, ainda por cima marca a data de hj sem ao menos eu ter feito uma atualização, após isso se eu entrar no firewall do Avast, irá aparecer esses IPs que estão sendo bloqueados tentando acessar o host de serviço modificado, por isso que eu julgo, se tivesse uma forma de parar essa alteração que ocorre sem o meu consentimento, não apareceria esses bloqueios no Avast. Eu estou mais apreensivo ainda, porque eu baixei um programa, que eu só fui perceber que tinha vírus depois de 4 meses, eu joguei o arquivo no vírus total e constatou que é um "HEUR:Trojan.Win32.Alien". Fiquei por 4 meses com esse trojan no Pc, e de acordo com o banco de dados do vírus total, apenas 3 antivírus detectou algo, um deles foi o Kaspersky, o Avast não detectou nada.

 

Como você pode ver, o arquivo SVChost ele vai se atualizando com o decorrer dos dias, eu pesquisei e descobri que isso não é normal, a data que era para ficar era "3, domingo, dezembro 2023, a data que fica quando eu formato o Pc e não reinicio ele. Eu não mexo no Pc tem umas semanas, eu evito mexer por conta disso, se eu ligar ele agora, a data do "host de serviço" estará marcada para dia 27 de junho, porém se eu passar um tempo com ele conectado na internet, e for reiniciar ele, a data irá mudar para dia "3 sábado, 2024" que seria hj, o host de serviço ele vai se atualizando com o passar dos dias.

 

Consegui achar um método para enviar as fotos:

[GabrielLV]

4 horas atrás, Arlen disse:

Quando eu formato o Pc e baixo o Avast esses bloqueios não aparecem

 

4 horas atrás, Arlen disse:

Como eu disse antes, esse bloqueios do Chrome no Avast começou acontecer após ele ter sido levado para o técnico

Você formatou o PC, ou foi o técnico? E quando foi feita a ultima formatação? Foi feita com a ferramenta baixada diretamente do site da Microsoft, ou a partir de sites de terceiros?

 

4 horas atrás, Arlen disse:

Como você pode ver, o arquivo SVChost ele vai se atualizando com o decorrer dos dias, eu pesquisei e descobri que isso não é normal

Siga os procedimentos do tutorial abaixo para fazer varreduras online no seu PC:

 

 

4 horas atrás, Arlen disse:

Entendi, mas e o fato do Serviço de host ?

Como o Chrome está usando um serviço (que é o serviço do mDNS que mencionei acima) para fazer a comunicação, o Avast está bloqueando essa comunicação por considerá-la suspeita. Agora, o porquê de as datas do arquivo svchost estarem sendo alteradas eu não tenho a menor ideia.

[Arlen]

Em 04/08/2024 às 00:35, GabrielLV disse:

Você formatou o PC, ou foi o técnico? E quando foi feita a ultima formatação? Foi feita com a ferramenta baixada diretamente do site da Microsoft, ou a partir de sites de terceiros?

 

Primeiro eu formatei, fiz a formatação completa usando um pendrive, baixei o windows 10 home, do site da microsoft, segui passo a passo no YouTube, notei que o problema não resolveu, fiz algumas formatações antes de ir buscar um técnico, o técnico também formatou com um pendrive. Eu cheguei a cometer um erro, na primeira vez baixei a ISO do Windows através do próprio Pc que eu queria formatar, felizmente eu percebi, notei que o ícone do pendrive mudou para um executável, então eu formatei o pendrive, retirei ele, e conectei em um notebook, lá eu formatei de novo, e baixei a ISO pelo notebook.

 

Em 04/08/2024 às 00:35, GabrielLV disse:

Siga os procedimentos do tutorial abaixo para fazer varreduras online no seu PC:

 

Segui o passo a passo, o housecall não funcionou, fiquei 700 minutos esperando quando eu fui olhar novamente, programa tinha fechado, e os ícone da barra de tarefas sumiu, sumiu até aqueles ícones de programa executado aberto na direita, o que ficou foi a hora e icone do windows na esquerda. Acho que o Pc reiniciou sozinho, mas não sei o motivo da barra de tarefas ter bugado. O KVRT e ESET online não encontraram nada, cliquei em detalhes no KVRT e apareceu isso:

 

Em 04/08/2024 às 00:35, GabrielLV disse:

Como o Chrome está usando um serviço (que é o serviço do mDNS que mencionei acima) para fazer a comunicação, o Avast está bloqueando essa comunicação por considerá-la suspeita. Agora, o porquê de as datas do arquivo svchost estarem sendo alteradas eu não tenho a menor ideia.

 

Entendi, também não sei o porque do host está sendo alterado continuamente, eu encontrei outros arquivos que tem a mesma data do host de serviço. Eu acho que tenha mais outros arquivos que foram alterados no mesmo dia.

 

[Linio Alan]

@Arlen

 

O Windows pode ter 'crashado' por causa da varredura ter alocado toda a capacidade do sistema, fazendo o processo de Windows Explorer (explorer.exe) ter tentado a reinicialização após o suposto crash e não tendo sucesso o problema com os ícones na barra de tarefas.

 

Sobre o svchost.exe:

Me parece razoável que a Data de Modificação se atualize constantemente por ser um processo altamente acessado pelo sistema, sim existe farto material sobre processos maliciosos mimetizando esse processo, mas em não se tratando ser o caso,

 

O que você pode fazer para entender qual serviço/programa vinculado à instância do svchost é a opção 'Ir Para Detalhes' pelo Gerenciador de Tarefas:

Quanto à situação dos bloqueios mencionado pelo @GabrielLV você pode testar desabilitar esse tráfego multicast direto no Chrome, assim:

 

Obs.: tenha cuidado ao modificar configurações avançadas no navegador, lembre-se de fazer print de tela antes de modificar configurações ali para não se esquercer de como estavam antes de alterar, não confie 100% na sua memória para restaurá-la caso necessário.

 

Verifique o comportamento geral após isso, além de identificar qual o processo engatilhou o svchost para confirmar sua autenticidade:

 

 

OBS.: eu particularmente não usaria o Avast, nada contra mas nada à favor, usei muito tempo e não tive boa experiência.

[Arlen]

13 horas atrás, Linio Alan disse:

você pode testar desabilitar esse tráfego multicast direto no Chrome, assim:

 Obrigado eu desabilitei o tráfego Multicast

 

E o fato o "host de serviço"? Como eu disse antes eu tinha baixado um programa que tinha vírus, ele ficou mais ou menos 4 meses no meu Pc até eu perceber que tinha algo de errado. Joguei o programa no site "vírustotal" e deu positivo para malware, não sei se foi um falso positivo, mas a árvore de processo mostra que esse programa faz alteração em um negócio chamado "werSvcGroup". Após eu descobrir que o programa tinha um vírus, eu formatei o Pc, entretanto as alterações no "Host de serviço" continuam voltando mesmo após uma formatação. Os print é tirado do Celular porque eu evito de usar o Pc, e não coloquei nenhuma conta minha no computador, por precaução.

 

[Linio Alan]

Perfeito, tudo indica pra uma infecção legítima, sua decisão de não logar contas é acertada.

Caso queira tirar uma segunda contra-prova, eu acrescentaria um scan com MalwareBytes no Modo de Segurança do Windows Com Rede.

 

Depois rodar no Modo Normal.

 

Dê preferência por montar a Mídia de Instalação/USB em um PC/pendrive que você confie 100% de estar livre de infecção, e caso faça restauração de backups, rode inspeção nesses também.

[Arlen]

Em 07/08/2024 às 12:02, Linio Alan disse:

Perfeito, tudo indica pra uma infecção legítima, sua decisão de não logar contas é acertada.

Caso queira tirar uma segunda contra-prova, eu acrescentaria um scan com MalwareBytes no Modo de Segurança do Windows Com Rede.

 

Depois rodar no Modo Normal.

 

Dê preferência por montar a Mídia de Instalação/USB em um PC/pendrive que você confie 100% de estar livre de infecção, e caso faça restauração de backups, rode inspeção nesses também.

 

Fiz do jeito que você disse, passei o malwarebytes no modo segurança com rede, e depois no modo normal, porém ele não encontrou nada 

[Linio Alan]

Interessante a diferença de leitura dos payload entre Malwarebytes e Kaspersky, eu ficaria com o Kaspersky e optaria pela formatação total (diferente de reparação de sistema c/ mídia) e faria novo Scan imediatamente após terminar e antes de restaurar qualquer backup.