Técnico instalou um minerador?

Brunorondo · 13 de novembro de 2021

Precisei enviar meu computador para um técnico pois não tinha as peças para testar o problema. Ele me pediu a senha, então, quando recebi o computador procurei por rastros deixados por ele, por precaução.

Me deparei com esse histórico do navegador e do antivírus.

Procurei nos registros do sistema e achei apenas o registro de instalação de um programa de verificação da microsoft, nada mais.

Há algum outro lugar que eu deveria olhar? Da pra remover tudo ou preciso fazer uma formatação?

Desde já agradeço.

Lusitano · 13 de novembro de 2021

@Brunorondo

Prezado Bruno, Bem vindo ao Clube do Hardware.

Algumas regras básicas a ter em conta:

Antes de executar algo, por favor pergunte primeiro. Caso tenha dúvidas ou se algo inesperado acontecer, não execute nada!
Não execute procedimentos ou ferramentas que não tenham sido pedidos. Também, não instale/desinstale nenhum software enquanto decorrer este tópico, a menos que eu lhe tenha dado instruções para o fazer.
Se o seu computador começar novamente a funcionar corretamente, não abandone este tópico. Mesmo que lhe pareça que tudo já está normal, por vezes ainda existem restos do malware e pode proporcionar a que o se PC seja novamente infetado. É por isso importante, que tudo seja completado.
Você terá de responder ao tópico em 3 dias, caso vá necessitar de mais tempo, por favor avise-me, caso contrário eu encerrarei o tópico por ausência de resposta. Em caso de infeções mais complicadas, você poderá ter de responder no próprio dia, isto para que o processo de remoção seja eficaz, senão estaremos ambos a perder nosso tempo, mas eu atempadamente o avisarei no caso de estarmos a lidar com este tipo de malwares.
Os resultados de algumas ferramentas e a complexidade de algumas infeções, exigem bastante tempo para a sua correta análise. Tenha isso em conta e também que os analistas e demais colegas do staff, são pessoas voluntárias. Por isso, seja paciente e aguarde que o seu caso seja analisado, com a certeza que faremos tudo o que estiver ao nosso alcance para o poder ajudar.
Por último, mas não menos importante, siga as Regras Gerais do Fórum do Clube do Hardware e siga as regras específicas para o setor da Remoção de Malware. <= Siga as instruções descritas nesse tópico!

Na sua próxima resposta, por gentileza coloque o que lhe foi pedido no Manual de uso do setor Remoção de malware (link acima).

Abraço

Brunorondo · 13 de novembro de 2021

Me desculpe, não conhecia as regras.

ZA-Scan.txt

Lusitano · 13 de novembro de 2021

@Brunorondo o resultado do ZA, não mostra sinais, mas a ferramenta não analisa a parte WMI.

Vamos tentar com o Malwarebytes antes de executar uma análise mais profunda.

Por gentileza, baixe aqui e execute o Malwarebytes. Salve o resultado e cole-o na sua próxima resposta.

Brunorondo · 14 de novembro de 2021

@Lusitano

A resposta ficou oculta.

scan mb.txt

Lusitano · 14 de novembro de 2021

@Brunorondo Olá,

Citação

Instrumentação do Windows (WMI): 0
(Nenhum item malicioso detectado)

Queria ver essa parte acima e nada encontrado, o que é bom

1. Execute novamente o Malwarebytes e marque para remover todas as entradas referentes a: Funmoods e BundleInstaller.

2. Vamos pequisar mais fundo para haver mais certezas quanto ao miner:

Faça o download de Farbar Recovery Scan Tool e salve no seu Desktop (Ambiente de Trabalho). <= Importante!

Nota: Deverá ser executada a versão compatível com o seu sistema. Se não tem a certeza de qual a versão se adequa ao seu sistema, faça o download de ambas e tente executá-las. Apenas conseguirá executar uma delas, que será a versão correta e compatível com o seu sistema.

Clique direito do mouse e executar como administrador. Quando a ferramenta abrir, clique em Sim para aceitar o aviso legal.
Pressione o botão Analisar.
Serão gerados resultados (logs) com o nome de FRST.txt e Addition.txt, que estarão localizados na mesma diretoria de onde a ferramenta foi executada.
Por favor anexe esses logs na sua próxima resposta ao tópico.

Abraço

Brunorondo · 14 de novembro de 2021

Aqui está.

Um esclarecimento que queria fazer, ele recebeu o computador no dia 11/11, e eu só recebi na tarde do dia 13/11, talvez isso ajude...

FRST.txt Addition.txt

Lusitano · 14 de novembro de 2021

@Brunorondo

Na verificação que fiz dos resultados das analises,vejo que você tem um programa que eu recomendo que você desinstale: BitTorrent
Contudo, a escolha é sua se o deseja manter, mas avise-me sobre qual é a sua decisão sobre isto.
Para ajudar na sua decisão, hoje em dia existe um grande problema com um tipo de malware que em grande percentagem não nos possibilita recuperar uma boa parte do seu computador. Você pode por exemplo ler um pouco mais sobre esse tipo de malware aqui
Quase sempre esse tipo de infeção vem da utilização de programas P2P (ex: utorrent) e na utilização de programas crakeados. Há um grande esforço de muita gente que possibilita que na atualidade existam programas gratuitos, que são uma excelente alternativa a programas pagos.
Feita esta explicação, decida se quer manter este tipo de programa. Caso contrário, você poderá desinstalar o mesmo via Painel de Controle > Adicionar/Remover Programas.

Quanto ao miner, eu o deteto nas regras da firewall e vamos desde já tratar disso, mas haverá mais a fazer quanto a isso

Instruções:

Temporariamente desative o seus programas de proteção (antivirus), para garantir que não interferem com a execução destes procedimentos
Clique direito do mouse no icone do FRST e selecione executar como administrador
Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado.Não é necessário colar a informação.A ferramenta FRST fará isso automáticamente.

Start::
CreateRestorePoint:
CloseProcesses:
FirewallRules: [TCP Query User{12DD3FAF-7C2B-40E9-9DFA-1778E19FB62B}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{AFB10339-6A8C-497B-A4A8-21CEB287CDA5}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\16.2\1.32a\lolminer.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{5D2AED70-F981-45DA-8CDF-79F52E755CF1}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{BA9BA710-9356-4E57-A707-1942132541AE}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\e7a58030-94eb-11ea-a64d-17be303ea466\bins\16.1\miner.exe => Nenhum Arquivo
FirewallRules: [TCP Query User{811F2AC2-0A24-4FBF-B288-199DECBB6BFF}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe => Nenhum Arquivo
FirewallRules: [UDP Query User{AE279953-36C3-4F3B-BDCB-D91ECD504A66}C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe] => (Allow) C:\users\pedro\appdata\local\programs\nicehash miner\miner_plugins\f25fee20-94eb-11ea-a64d-17be303ea466\bins\16.1\nanominer-windows-3.3.14-cuda11\nanominer.exe => Nenhum Arquivo

Reboot:
End::

ATENÇÃO: Este script foi especificamente elaborado para este PC. Executá-lo em outra máquina, poderá causar danos ao seu sistema operativo!

Clique em Corrigir.
Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Por favor anexe esse arquivo na sua próxima resposta e informe sobre a sua decisão sobre o Bitorrent.

Brunorondo · 14 de novembro de 2021

Quanto ao BitTorrent, desinstalei.

Fixlog.txt

Lusitano · 14 de novembro de 2021

@Brunorondo

Execute novamente a ferramenta FRST;

Na caixa "Pesquisar", digite; miner, depois no botão "Pesquisar Arquivos".

Aguarde que a ferramenta seja executada e no final será gerado um arquivo Search.txt. Anexe esse arquivo na próxima resposta.

Brunorondo · 14 de novembro de 2021

Pronto.

Search.txt

Lusitano · 14 de novembro de 2021

@Brunorondo

Estamos quase, apenas falta removermos algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no seu uso regular do PC e verificar se tudo está mesmo ok:

Faça o download de KpRm e salve no seu desktop.

Clique direito em kprm_(versão).exe e selecione executar como Administrador.
Leia e aceite o Aviso Legal.
Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
Quando completar, clique em OK
Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt).
Copie e cole esse conteúdo na sua próxima resposta.

Eu gostaria que nos certificássemos que nada resta no seu PC. Para isso:
    Faça o download ESET Online Scanner e salve no seu Desktop
    Clique direito em esetonlinescanner_enu.exe e execute como administrador
    Clique em Computer Scan
    Clique em Full scan
   Selecione Enable ESET to detect and quarantine potentially unwanted applications
    Clique em Start scan
    Quando terminar, salve o resultado no seu desktop como ESETScan.txt
    Cllique Continue e depois em Close
   Anexe o arquivo ESETScan.txt

Brunorondo · 15 de novembro de 2021

Tenho um HD muito cheio, por isso a demora.

kprm-20211114155433.txt ESETScan.txt

Lusitano · 15 de novembro de 2021

@Brunorondo

Prezado, o seu computador contém programas que violam as regras!

Citação

2 - Conteúdos relacionados à pirataria ou que violem, de qualquer forma, direitos autorais, contratuais e/ou de propriedade intelectual/industrial. É expressamente proibida a discussão e/ou criação de tópicos relacionados a torrents, P2P e programas similares para o compartilhamento de arquivos ou streaming, independentemente da forma de expressão utilizada.

Nomeadamente este software KMSpico, que poderá ler mais sobre ele aqui, e que não era mostrado anteriormente pois ele se encontra em outro drive (E:).

Sugiro que esse programa seja removido, mas a decisão é sua.

Se optar por remover, poderemos dar continuidade a este tópico. Se optar por manter esse software, teremos de dar por encerrado este tópico.

Fico aguardando que me informe sobre qual a sua decisão e lembre-se que eu tenho forma de verificar se de fato esse software foi removido

Abraço

Brunorondo · 15 de novembro de 2021

Então, antes esse HD era o meu principal, e foi instalado por um tècnico também, mas, quando botei o SSD eu mesmo instalei o Windows, por isso não contém esse programa. Acredito que ele já está desativado inclusive, mas não sei como remover todos os arquivos do sistema.

Como posso remove-lo por completo? Uma análise do Malwarebytes basta?

Lusitano · 15 de novembro de 2021

@Brunorondo

Olá, em bom rigor o eset já everá ter removido esses programas. Enquanto eu ainda o questiono, as companhias AV vão logo direto ao assunto e como se trata de programas ilegais, pura e simplesmente removem!

Nota ainda algo de estranho com o seu PC?

É que os procedimentos que fizemos até agora já corrigiram a parte referente aos malwares.

abraço

Brunorondo · 15 de novembro de 2021

Entendi, vou remover a pasta dele também que ficou sobrando. Quanto ao PC acho que está tudo ok, achei estranho apenas não ter achado nenhum arquivo do "TrojanGeneric.KD.....".

Lusitano · 15 de novembro de 2021

17 minutos atrás, Brunorondo disse:

achei estranho apenas não ter achado nenhum arquivo do "TrojanGeneric.KD.....".

@Brunorondo

A referência "Generic" indica que algo genérico foi encontrado e geralmente elas estão muito associadas a programas crackeados. Os programas antivirus funcionam por análise heurística.

Citação

generic detection has identified a program or file that has code or behavior

No seu caso, foram encontrados diversas coisas relacionadas a malware e foram resolvidas.

Limpe os arquivos temporários e elimine os programas que não necessita. As ferramentas que utilizámos nestes procedimentos já deverão ter sido removidas, pois eu lhe passei instruções para isso.

SE, não nota mais nada de anormal ou se não necessita da continuação do meu auxílio, avise para fecharmos este tópico.

Mantenha o seu PC seguro, mantendo os seus softwares atualizados, fazendo uma utilização responsável e não abrindo nem baixando programas duvidosos e faça backup's regulares e mantenha-os em um disco externo e/ou em cloud.<= SUPER importante isto!

Abraço

Brunorondo · 15 de novembro de 2021

Certo, pode fechar o tópico. Agradeço por tudo, de verdade, me salvou da dor de cabeça que ia passar com esses malwares no meu PC.

Lusitano · 15 de novembro de 2021

@Brunorondo Nada a agrader. Mantenha o seu PC seguro. Caso necessite, cá estaremos para ajudar no que pudermos.

Abraço

Lusitano · 15 de novembro de 2021

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.