Ir ao conteúdo
  • Cadastre-se

Lusitano

Analista de Segurança
 Perfil  Explorar Conteúdo

  • Posts

    1.166

  • Cadastrado em

  • Última visita

 Tipo de conteúdo 

posts postados por Lusitano

    Estou sofrendo com ataque de malware

    em Casos resolvidos

    Postado

    Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

     

    • Faça o download de KpRm e salve no seu desktop.
    • Clique direito em kprm_(versão).exe e selecione executar como Administrador.
    • Leia e aceite o Aviso Legal.
    • Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
    • Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
    • Quando completar, clique em OK
    • Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

     

    Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

     

    Abraço

     

    Estou sofrendo com ataque de malware

    em Casos resolvidos

    Postado

    Execução FRST:

    • Clique direito do mouse no icone do FRST e selecione executar como administrador
    • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.
    Citação

    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
    S3 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
    S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUProcessFilter.sys [X]
    S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IURegistryFilter.sys [X]
    2023-04-25 17:20 - 2023-04-25 17:20 - 006845928 _____ (EnigmaSoft Limited) C:\ProgramData\EsgInstallerResumeAction_7c2eac93b7c112843a9de22aaa1d5c40.exe
    2023-04-19 20:56 - 2023-05-05 00:10 - 000000000 ____D C:\ProgramData\Panda Security
    FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-01-07] <==== ATENÇÃO (zero byte Arquivo/Pasta)
    ContextMenuHandlers1: [ReflectShellExt] -> {DEBB9B79-B3DD-47F4-9E5C-EA6975BAB611} =>  -> Nenhum Arquivo
    ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Nenhum Arquivo
    ContextMenuHandlers2: [ReflectShellExt] -> {DEBB9B79-B3DD-47F4-9E5C-EA6975BAB611} =>  -> Nenhum Arquivo
    ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Nenhum Arquivo
    ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Nenhum Arquivo
    HKU\S-1-5-21-2422557223-345917283-3410814111-1001\...\StartupApproved\StartupFolder: => "oneetx.exe"
    StartRegedit:
    Windows Registry Editor Version 5.00
        
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
    "AutoReboot"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
    "NoAutoUpdate"=-

    EndRegedit:

    StartBatch:
      pushd\windows\system32
      bcdedit.exe /set {default} recoveryenabled yes
      bcdedit.exe /timeout 4
      bcdedit.exe /enum
      DISM.exe /Online /Cleanup-image /scanhealth
      sfc /scannow
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
      del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Code Cache\Js\*.*"
      del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
      del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
      del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
      del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
      del /s /q "%userprofile%\AppData\Local\Temp\*.js"
      del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
      del /s /q "%userprofile%\AppData\Local\Temp\*.html"
      del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
      del /f /q "%userprofile%\AppData\Local\*-gui"
      del /f /q "%userprofile%\AppData\Roaming\*-gui"
    Endbatch:

    StartBatch:
     SETLOCAL ENABLEEXTENSIONS
     echo userprofile=%USERPROFILE%
     if not defined userprofile echo no userprofile&goto :eof
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
      del /f /q "%userprofile%\AppData\Roaming\{*.*"
      rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
      rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
      rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
     :eof
    EndBatch:

    StartBatch:
    WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
    WMIC SERVICE WHERE Name="nsi" set startmode="auto"
    WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
    WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
    WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
    WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
    WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
    WMIC SERVICE WHERE Name="vss" set startmode="manual"
    WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
    WMIC SERVICE WHERE Name="bfe" set startmode="auto"
    WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
    WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
    WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
    WMIC SERVICE WHERE Name="rasman" set startmode="manual"
    WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
    net start sdrsvc
    net start vss
    net start rpcss
    net start eventsystem
    net start winmgmt
    net start msiserver
    net start bfe
    net start trustedinstaller
    WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
    WMIC SERVICE WHERE Name="windefend" CALL startservice
    WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
    WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
    net start windefend
    net start mpssvc
    net start mpsdrv
    "%WINDIR%\SYSTEM32\lodctr.exe" /R
    "%WINDIR%\SysWOW64\lodctr.exe" /R
    "%WINDIR%\SYSTEM32\lodctr.exe" /R
    "%WINDIR%\SysWOW64\lodctr.exe" /R
    NETSH winsock reset catalog
    NETSH int ipv4 reset reset.log
    NETSH int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
    bitsadmin /list /allusers
    bitsadmin /reset /allusers
    Winmgmt /salvagerepository
    Winmgmt /resetrepository
    Winmgmt /resyncperf
    Endbatch:

    exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions

    startpowershell:
    Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
    # 03*12-2022 
    # Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    # Remove all exclusions on MS Windefend
        Write-Output "Removing all exclusions on MS Windefend antivirus"
        Set-MpPreference -DisableAutoExclusions $true -Force
        Remove-all-windefend-excludes
    EndPowerShell:

    startpowershell:
    Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
    # 10-26-2022 M. Naggar
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
    Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
    Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
    Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
    Set-Service -Name windefend -StartupType Automatic -force
    Get-Service windefend | Select-Object -Property Name, StartType, Status
    Set-Service -Name securityhealthservice -StartupType manual -force
    Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
        Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
        Set-MpPreference -DisableArchiveScanning $false -Force
        Set-MpPreference -DisableBehaviorMonitoring $false -Force
        Set-MpPreference -DisableEmailScanning $False -Force
        Set-MpPreference -DisableIOAVProtection $false -Force
        Set-MpPreference -DisablePrivacyMode $true -Force
        Set-MpPreference -DisableRealtimeMonitoring $false -Force
        Set-MpPreference -MAPSReporting Advanced -Force
        Set-MpPreference -PUAProtection enabled -Force
        Set-MpPreference -SignatureScheduleDay Everyday -Force
        Set-MpPreference -DisableRemovableDriveScanning $false -Force
        Set-MpPreference -SubmitSamplesConsent SendSafeSamples
    # Reset and check Secure Health status
        Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
        Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
    # Check if these services are running
    Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
    EndPowerShell:

    startpowershell:
    Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
        Write-Output "updating"
        Update-MpSignature
        Write-Output "scanning"
        Start-MpScan -ScanType QuickScan
        Remove-MpThreat
        Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
        Remove-MpThreat
        Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Roaming"
        Remove-MpThreat
    EndPowerShell:
    startpowershell:
    Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -force
    # Check computer status again after setting to make sure changes were applied
        Get-MpComputerStatus
        Get-MpPreference
        Get-MpThreatDetection
    # get statuses of services
    Get-Service BITS | Select-Object -Property Name, StartType, Status
    Get-Service Dhcp | Select-Object -Property Name, StartType, Status
    Get-Service EventLog | Select-Object -Property Name, StartType, Status
    Get-Service EventSystem | Select-Object -Property Name, StartType, Status
    Get-Service mbamservice | Select-Object -Property Name, StartType, Status
    Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
    Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
    Get-Service msiserver | Select-Object -Property Name, StartType, Status
    Get-Service nsi | Select-Object -Property Name, StartType, Status
    Get-Service RasMan | Select-Object -Property Name, StartType, Status
    Get-Service rpcss | Select-Object -Property Name, StartType, Status
    Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
    Get-Service sense | Select-Object -Property Name, StartType, Status
    Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
    Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
    Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
    Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
    Get-Service VSS | Select-Object -Property Name, StartType, Status
    Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
    Get-Service windefend | Select-Object -Property Name, StartType, Status
    Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
    Get-Service wscsvc | Select-Object -Property Name, StartType, Status
    Get-Service wuauserv | Select-Object -Property Name, StartType, Status
    New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
    New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
    EndPowerShell:

    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\system32\drivers\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    Hosts:
    RemoveProxy:
    EmptyTemp:
    Reboot:
    End::

    • Clique em Corrigir.
    • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txtAnexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
    • Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

     

     

     

     

    Sofri uma invasão e não sei como proceder, como descobrir se estou em risco?

    em Casos resolvidos

    Postado

    Seu pc está livre de malwares, nada foi detetado também nesta análise.

     

    Em 05/05/2023 às 17:47, crayuu1 disse:

    Meu celular é IOS, meu medo é que por exemplo, a rede esteja infectada e que após formatar o meu computador, seja infectado logo em sequencia.

    Se você tem os programas devidamente atualizados e não baixe e/ou aceda a sites duvidosos, o risco é mínimo. 

     

    Em 05/05/2023 às 17:47, crayuu1 disse:

    Confesso que estou meio desesperado e sofro de ansiedade, então mil hipóteses passam em minha cabeça kk

    Não há motivo para isso. Faça o seguinte, durante os próximos dois dias utilize o seu pc normalmente e caso note algo estranho, retorne a este tópico para avaliarmos ainda mais profundamente.

    Estou sofrendo com ataque de malware

    em Casos resolvidos

    Postado

     

    Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

    • Faça o download ESET Online Scanner e salve no seu Desktop
    •     Clique direito em esetonlinescanner_enu.exe e execute como administrador
    •     Clique em Computer Scan
    •     Clique em Full scan
    •     Selecione Enable ESET to detect and quarantine potentially unwanted applications
    •     Clique em Start scan
    •     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
    •     Clique Continue e depois em Close
    •     Anexe o arquivo ESETScan.txt

     

    • Curtir 1

    Sofri uma invasão e não sei como proceder, como descobrir se estou em risco?

    em Casos resolvidos

    Postado

    1 hora atrás, crayuu1 disse:

    farei isso a noite e já encaminho para cá

    Tranquilo 😉

     

    1 hora atrás, crayuu1 disse:

    o primeiro seria se a partir das LOGS que eu encaminhei nota-se algo suspeito

    Não. Nada que garantidamente possa afirmar que está relacionado a malwares. Embora existam alguns erros, mas nada de significativo e por isso lhe pedi para executar o procedimento do meu post anterior para precisamente analisar um setor.

     

    1 hora atrás, crayuu1 disse:

    se é comum vírus que se espalhe pela rede e tenha contaminado meu celular.

    Se está na mesma rede os os dispositivos estiverem vulneráveis, então sim é bastante possível isso acontecer. No entanto, entenda que depende do malware e que sistema operacional/hardware esse dispositivo tem. Sendo que no caso, provavelmente estaremos a falar de pc com windows e o celular terá sistema operacional diferente (android). O mais provável e o que me parece ter acontecido no seu caso, é ter havido algum malware que possibilitou aceder á(s) sua(s) conta(s) de redes sociais e isso se repercute em todos os dispositivos que liguem a essa(s) conta(s).

    Só podemos afirmar o que quer que seja, mediante a informação que obtemos e por isso é fundamental que execute os procedimentos e se houver informação suficiente ainda, poderemos ter certezas. Caso contrário, apenas nos podemos basear em suposições, mediante os relatos e evidências 😉

     

     

    Sofri uma invasão e não sei como proceder, como descobrir se estou em risco?

    em Casos resolvidos

    Postado

     

    Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

    • Faça o download ESET Online Scanner e salve no seu Desktop
    •     Clique direito em esetonlinescanner_enu.exe e execute como administrador
    •     Clique em Computer Scan
    •     Clique em Full scan
    •     Selecione Enable ESET to detect and quarantine potentially unwanted applications
    •     Clique em Start scan
    •     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
    •     Clique Continue e depois em Close
    •     Anexe o arquivo ESETScan.txt

     

    Não consigo atualizar o sistema cuco

    em Windows 11

    Postado

    13 horas atrás, Isaac Castro disse:

    eu recebi um computador da escola a um ou dois meses atras, só q agr ele recebeu um tipo de bloqueio cuco

    CUCo (Central Unit Control)  é uma aplicação de segurança instalada em computadores do Projeto Escola Digital. 

    Deverá contatar o departamento informático da sua escola ou através do suporte da empresa responsável por esse software.

    • Curtir 1

    Estou sofrendo com ataque de malware

    em Casos resolvidos

    Postado

    Olá, algumas questões:

    Citação

    AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
    AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    AV: Panda Dome (Enabled - Up to date) {E18DAE3C-0817-EA74-9F24-3E92157CCE76}

    Qual o antivírus que quer manter? É necessário apenas um.

     

    Citação

    IObit Uninstaller 12 (HKLM-x32\...\IObitUninstall) (Version: 12.2.0.7 - IObit)
    IObit Unlocker (HKLM-x32\...\IObit Unlocker_is1) (Version: 1.3.0.11 - IObit)

    Não recomendo esses programas, mas a decisão de os manter é sua. Apenas me informe a sua decisão, para caso queira remover eu lhe passar instruções.

     

    Vamos á limpeza:

    1Desinstalação de Programas:

    Pressione as teclas win + R e digite appwiz.cpl

    Desinstale os programas, caso eles existam:

    • spyhunter
    • EnigmaSoft
    • Yandex

     

     

    2. Execução FRST:

    • Clique direito do mouse no icone do FRST e selecione executar como administrador
    • Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.
    Citação

    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Nenhum Arquivo)
    HKLM\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Nenhum Arquivo)
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
    Task: {25B86A55-4A45-473D-B368-C3ADB294A275} - não caminho do arquivo
    Task: {DA47EBFB-CBDE-42FA-AEBF-371320F86B2B} - não caminho do arquivo
    Task: {FCAC687D-D3A0-4FBE-B810-629757DC2709} - \Microsoft\Windows\Autochk\Proxy -> Nenhum Arquivo <==== ATENÇÃO
    Task: {FEA67B0E-46AC-49E8-ADD4-0FCAAAABD649} - não caminho do arquivo
    S3 BraveElevationService1d926c610c58014; "C:\Program Files\BraveSoftware\Brave-Browser\Application\113.1.51.110\elevation_service.exe" [X]
    S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X]
    S3 WinRing0_1_2_0; \??\C:\Users\icaro\AppData\Local\Temp\WinRing0x64.sys [X] <==== ATENÇÃO
    2023-04-24 16:24 - 2023-04-24 16:24 - 000004406 _____ C:\native log.txt
    2023-04-24 16:21 - 2023-04-24 16:25 - 000002934 _____ C:\spyhunter.fix.old
    2023-04-24 16:12 - 2023-04-24 16:12 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
    2023-04-24 16:11 - 2023-04-25 17:20 - 000000000 ____D C:\Program Files\EnigmaSoft
    2023-04-24 16:06 - 2023-04-24 16:06 - 000000000 ____D C:\Users\icaro\AppData\Local\Yandex
    Folder:
    C:\ProgramData\EnigmaSoft Limited
    C:\Users\icaro\AppData\Local\Yandex
    C:\Program Files\EnigmaSoft
    StartBatch:
     SETLOCAL ENABLEEXTENSIONS
     echo userprofile=%USERPROFILE%
     if not defined userprofile echo no userprofile&goto :eof
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
      del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
      del /f /q "%userprofile%\AppData\Roaming\{*.*"
      rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
      rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
      rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
     :eof
    EndBatch:

    StartBatch:
    WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
    WMIC SERVICE WHERE Name="nsi" set startmode="auto"
    WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
    WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
    WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
    WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
    WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
    WMIC SERVICE WHERE Name="vss" set startmode="manual"
    WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
    WMIC SERVICE WHERE Name="bfe" set startmode="auto"
    WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
    WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
    WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
    WMIC SERVICE WHERE Name="rasman" set startmode="manual"
    WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
    net start sdrsvc
    net start vss
    net start rpcss
    net start eventsystem
    net start winmgmt
    net start msiserver
    net start bfe
    net start trustedinstaller
    WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
    WMIC SERVICE WHERE Name="windefend" CALL startservice
    WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
    WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
    net start windefend
    net start mpssvc
    net start mpsdrv
    "%WINDIR%\SYSTEM32\lodctr.exe" /R
    "%WINDIR%\SysWOW64\lodctr.exe" /R
    "%WINDIR%\SYSTEM32\lodctr.exe" /R
    "%WINDIR%\SysWOW64\lodctr.exe" /R
    NETSH winsock reset catalog
    NETSH int ipv4 reset reset.log
    NETSH int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
    bitsadmin /list /allusers
    bitsadmin /reset /allusers
    Winmgmt /salvagerepository
    Winmgmt /resetrepository
    Winmgmt /resyncperf
    Endbatch:
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\system32\drivers\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    RemoveProxy:
    EmptyTemp:
    Reboot:
    End::

    • Clique em Corrigir.
    • Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txtAnexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente. Gere e anexe também novos logs (frst e addition) tal como fez no seu post anterior.
    • Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

     

     

     

     

    • Curtir 1

    Instalei um executavel e entrou uma extensão esquisita

    em Invasões, infecções, antivírus e afins

    Postado

    Em 30/04/2023 às 02:23, Paulo Brandão disse:

    hoje estava tentando baixar um jogo e acabei instalando (burramente) um executável duvidoso

    Primeiro grande erro. Pirataria além de ser um crime, é contra as regras do fórum, exatamente por se tratar de um crime.

     

    Em 30/04/2023 às 02:23, Paulo Brandão disse:

    Resolvi formatar o pc e trocar a senha e autenticação do google, consegui também remover a extensão que antes não queria sair. Após formatar, tudo se encontra ok

    Provavelmente que o malware em questão era simples e a formatação consegui o remover.

     

    Em 30/04/2023 às 02:23, Paulo Brandão disse:

    Gostaria de saber que tipo de invasão foi essa     (pup.optional.legacy)

    Tal como o próprio nome indica: PUP (Pontential Unwanted Program; em português: programa potencialmente indesejado) são habitualmente classificados pelos programas de segurança de forma genérica e portanto sem ter acesso a mais informação ao que estava no seu sistema, é impossível de dizer qual deles se tratava em concreto.

     

    Em 30/04/2023 às 02:23, Paulo Brandão disse:

    e se estou com algum risco ainda

    Sem analisarmos o seu pc, é impossível afirmar se sim ou se não. 

     

    Abraço

    Formato de Arquivo JYWD infectou meu WINDOWS

    em Invasões, infecções, antivírus e afins

    Postado

    @CELSO LUIZ DE SOUZA JUBE Olá, Tal como dito acima, isso é resultado de infeção pelo ransomware STOP/DJVU.

    Os arquivos não estão perdidos para sempre. Simplesmente não é possível quebrar a criptografia sem termos a respetiva chave. O meu conselho é que salve os seus arquivos importantes que foram encriptados em cloud ou HD externo, pois no futuro poderá haver a possibilidade de os recuperar caso o(s) criminoso(s) sejam capturados e com isso termos acesso á respetiva chave cripto.

     

    Formatar nem sempre é necessário em boa parte das infeções por ransomware, uma vez que a intenção dos criminosos é simplesmente "capturar" os seus arquivos para conseguir o dinheiro do resgate (ransom) e então não seria muito inteligente deixar o computador inoperável, pois isso iria dificultar o seu manuseamento e com isso dificultar o acesso á informação para que o resgate seja pago 😉

    Mas, em todo o caso, formatar é neste caso uma coisa que voê pode fazer, embora seja relativamente fácil limpar a máquina sem recurso a formatação.

     

    Abraço

    • Curtir 1

    Como saber se eu fui hackeado?

    em Invasões, infecções, antivírus e afins

    Postado

    16 horas atrás, Roberth R. Garci4 disse:

    recomendo você postar na área de remoção de Malware aqui no fórum. Não sei se tem suporte ao windows 7 por lá.

    Estamos sempre disponíveis para ajudar, mas nestes casos é perda de tempo estar a limpar um computador com um sistema operacional sem suporte a atualizações de segurança, já que apesar de o limparmos ele vai continuar vulnerável e rapidamente ser novamente infetado! 😉 

    • Curtir 1
    • Obrigado 1

    Programas com ícone em branco e com final em .craa como resolver?

    em Invasões, infecções, antivírus e afins

    Postado

    Em 11/03/2023 às 00:02, GabrielLV disse:

    Ao formatar, o malware será removido com sucesso, mas caso isso de fato seja um ransomware, todos os seus arquivos que estavam no computador já foram perdidos (criptografados).

    @BrunoJAO Sem chance por enquanto de conseguirmos recuperar seus arquivos. Esta versão (V0661) do ransomware STOP/DJVU envolve técnicas que apenas com a chave seria possível recuperar seus arquivos.

     

    Formatação com instalação limpa deverá ser feita e caso você tenha backup dos seus arquivos nada foi verdadeiramente perdido 😉

     

     

    • Curtir 2

    Porque o Avast tem péssima reputação ?

    em Invasões, infecções, antivírus e afins

    Postado

    14 horas atrás, Rio McCloud disse:

    Eu acredito que o problema seja regional.

    Esse é um dos critérios fundamentais a ter em conta na escolha de determinado software. É por mais evidente alguns programas serem mais adequados a serem utilizados em determinado país do que em outros, ou se são usados em ambiente empresarial ou doméstico.

    É também por isso que eu sempre digo que não há essa do antivírus "A" é melhor do que o "B". Depende, de variados fatores e o fator da localização que o amigo @Rio McCloud fala, é também um bom exemplo de mais um fator determinante na hora da escolha de um software de proteção.

    • Curtir 2

    Porque o Avast tem péssima reputação ?

    em Invasões, infecções, antivírus e afins

    Postado

    8 horas atrás, Moisés Penha disse:

    porque ele tem essa péssima reputação ?

    Olá, a má reputação está mais relacionada com a (falta) ética e não tanto ao desempenho do próprio software.

    Você pode ler mais sobre isso por exemplo nesses links (em inglês): link 1  |  link 2

     

    5 horas atrás, Moisés Penha disse:

    Avast tem uma nota tão alta no AV-TEST, o site pode ser tendencioso ?

    Essa empresa que realiza esses testes é reconhecidamente uma empresa fidedigna e portanto os resultados dos testes não são manipulados. Se teve nota alta, foi porque o software teve um bom desempenho nos critérios dos testes a que foi sujeito e portanto nada tendencioso.

    O que você deve considerar é que embora um determinado software possa ter uma nota alta, ele pode não ser o mais indicado para si, até pelo acima referido quanto a ética.

     

    abraço

    • Curtir 2
    • Obrigado 1

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

Mais

×
×
  • Criar novo...

Ebook grátis: Aprenda a ler resistores e capacitores!

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!