Logo Hardware.com.br
mvsimao
mvsimao Membro Junior Registrado
61 Mensagens 4 Curtidas

Computador possivelmente com ransomware, extensão ".lalo" e tb "start page" abrindo várias abas .

#1 Por mvsimao 17/04/2020 - 21:15
Boa noite, pessoal.

Meu computador aparentemente foi infectado com um ramsoware que adiciona extensão ".lalo" e criptografa todos os arquivos que ele "contamina" de acordo com o que li no Google. Além disso tem umas "start pages" abrindo várias abas automaticamente no Internet Explorer, o link que aparece é o "thebestofferintheweb.com", elas se acumulam, sobrepostas e são muitas páginas que vão abrindo, tornando impossível trabalhar no PC. Eu já tentei alguns procedimentos como a restauração do sistema, fiz a mesma até em modo de segurança mas nem mesmo assim a restauração obteve êxito pois deu mensagem informando que a mesma não foi concluída devido a interferência de um antivírus, mas não tem nenhum.

Seguem abaixo os links do "Farbar Recovery Tool Scan" que geraram os logs:

- https://www.cjoint.com/c/JDsagEOo3Hl

- https://www.cjoint.com/c/JDsaiEasGKl

Desta maneira, peço humildemente a ajuda de vcs para poder executar uma limpeza no PC e remover estes problemas, pois não consigo fazer nada, não estou conseguindo utilizar a máquina para trabalhar na mesma.

Desde já agradeço por toda ajuda recebida.

Grato,

mvsimao.
virus lalo ramsoware start-pages thebestoffersintheweb-org computador start abrindo extensao page possivelmente ransomware lalo
Responder
PH
PH Cyber Highlander Registrado
61K Mensagens 10.6K Curtidas
#2 Por PH
18/04/2020 - 06:36
mvsimao disse:
Boa noite, pessoal.

Meu computador aparentemente foi infectado com um ramsoware que adiciona extensão ".lalo" e criptografa todos os arquivos que ele "contamina" de acordo com o que li no Google. Além disso tem umas "start pages" abrindo várias abas automaticamente no Internet Explorer, o link que aparece é o "thebestofferintheweb.com", elas se acumulam, sobrepostas e são muitas páginas que vão abrindo, tornando impossível trabalhar no PC. Eu já tentei alguns procedimentos como a restauração do sistema, fiz a mesma até em modo de segurança mas nem mesmo assim a restauração obteve êxito pois deu mensagem informando que a mesma não foi concluída devido a interferência de um antivírus, mas não tem nenhum.

Seguem abaixo os links do "Farbar Recovery Tool Scan" que geraram os logs:

- https://www.cjoint.com/c/JDsagEOo3Hl

- https://www.cjoint.com/c/JDsaiEasGKl

Desta maneira, peço humildemente a ajuda de vcs para poder executar uma limpeza no PC e remover estes problemas, pois não consigo fazer nada, não estou conseguindo utilizar a máquina para trabalhar na mesma.

Desde já agradeço por toda ajuda recebida.

Grato,

mvsimao.


Bom dia!

Bom, não usa antivírus, abriu suas portas para ser infectado! Se bem que tem o Windows Defender, mas mas não vai adiantar nada ter instalado no PC um antivírus se você mesmo executa as infecções no computador.
E esse McAfee Security Scan, usou?

Vejo que já usou o MalwareBytes AdwCleaner, o que ele encontrou na varredura?

O vírus bloqueou vários arquivos executáveis também

C:\Users\ADAPEC - AP5916\Downloads\tdsskiller.exe.lalo
C:\Users\ADAPEC - AP5916\Downloads\rkill.exe.lalo
C:\Users\ADAPEC - AP5916\Downloads\JRT.exe.lalo


Eu até ia perguntar o que poderia ter feito para pegar essas pragas, mas já disse que não tem antivírus, fica usando programas piratas e nesses ativadores que vem as pragas.

C:\Users\ADAPEC - AP5916\Downloads\IDM 6.36 Build 7 + ATIVADOR - MestreTM
C:\Users\ADAPEC - AP5916\Downloads\mini-KMS_Activator_v1.053.rar.lalo


Está com a conta Administrador mestre ativada, espero que com senha!

Administrador (S-1-5-21-634166579-3770762101-2746173547-500 - Administrator - Enabled)


Bom, nesse momento eu aconselho a passar um antivírus on-line, mas do jeito que a infecção está criptografando os arquivos executáveis, pode danificar os arquivos do antivírus on-line.

Dessa forma por um outro computador é melhor fazer uma varredura fora do ambiente Windows, pois assim qualquer praga que seja carregada na memória vai ficar isolado no disco.

Então vamos usar um antivírus on-line em um Rescue Disk

Faça o download do Kaspersky Rescue Disk e nesse outro link as instruções para gravá-lo em um pendrive: http://support.kaspersky.com/8092

Você vai dar boot na máquina pelo pendrive, escolha o idioma e deixa ele iniciar em um ambiente Linux. Ele vai executar o KRRT (Kaspersky Virus Removal Tool).

Neste link a seguir, tem um pequeno tutorial de como usar o KVRT : https://www.hardware.com.br/comunidade/v-t/1510949/#post8249043

A varredura completa pode demorar horas, nos informe o resultado da varredura para dar continuidade.

Temos um tópico que informa sobre o Rescue Disk

A importância de ter um Rescue Disk dos antivírus.
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
andremachado
andremachado Highlander Registrado
3.3K Mensagens 2K Curtidas
#3 Por andremachado
18/04/2020 - 10:11
Pois é, amigo, não dá pra ajudar muito se você próprio não se ajuda. No momento em que você coloca cracks e ativadores no seu computador, está comprometendo a estabilidade e a segurança do seu equipamento, permitindo que episódios como esse aconteçam. Veja esse vídeo:



O melhor a fazer agora é pegar um backup dos arquivos afetados e reinstalar uma versão original do Windows e dos programas que você utiliza. Caso você não tenha uma versão original ou não consiga adquirir uma, o mais recomendado é mudar de plataforma (ex: Linux), pois de outra forma o pessoal do fórum vai se esforçar para limpar essa infecção e você vai infectar seu computador de novo.

Lembre-se: software é apenas ferramenta, o profissional é você.
56 6F 63 EA 20 E9 20 6D 75 69 74 6F 20 63 75 72 69 6F 73 6F 2E 2E 2E
----------------------------------------
Acer Aspire E5-471-30DG (Casa)
Samsung Book 550XDA-K07 (Trabalho)
TRONNER
TRONNER Cyber Highlander Registrado
32.2K Mensagens 7.3K Curtidas
#4 Por TRONNER
18/04/2020 - 11:41
De verdade, se tiver backup significa que a maneira mais confiável de ter seu ambiente restaurado é apagar tudo e reinstalar novamente, ransonware é como receita de bolo que cada um faz de um jeito, por isso não existe uma ferramenta universal de reparo, somente a sorte do computador infectado ter uma versão que já exista descriptografadores (eita neologismo safado) ..
cool.png**Quando pensar ser um Golias, cuidado para não encontrar algum Davi**
veja.png Conheça os Poderosos e Gratuitos [ Iperius Backup ] e [ Iperius Remote ]
veja.png Todo dia um software novo e grátis [ clicando aqui ]
boa.gif Faça valer a sua voz com o Mudamos+ { https://www.mudamos.org }
mvsimao
mvsimao Membro Junior Registrado
61 Mensagens 4 Curtidas
#5 Por mvsimao
18/04/2020 - 20:00
Boa noite, amigos.

Agradeço por toda a ajuda recebida, foram ensinamentos válidos. De todos os três colegas.

Eu realizei alguns procedimentos utilizando alguns programas no site da Bleeping Computer (ComboFix, AdwCleaner, RKill, Junkware Removal Tool, TDSSKiller), também usei o Malwarebytes e o HitmanPro para tentar realizar a limpeza aqui.

Após esses procedimentos concluídos, seguem abaixo os logs do Farbar Recovery Tool:

- https://www.cjoint.com/c/JDswLnHCEAj

- https://www.cjoint.com/c/JDswLBueLTj

Não tenho plena certeza se consegui realizar uma limpeza completa mas o computador não está mais apresentando sinais de ransomware, gostaria que os amigos analisassem os logs e me dissessem se o PC está "limpo" realmente.

A boa notícia é que eu também consegui recuperar os arquivos criptografados usando o ShadowExplorer para restaurar os arquivos que foram criptografados pelo ransomware. E o uso do Shadow deu certo, recuperei os arquivos.

Sem mais para o momento, fico no aguardo.

Grato,

- mvsimao. cool.png
:nao_sei_de_nada: "urbana legio omnia vincit, simão omnia vincit"cap_hmm.png
PH
PH Cyber Highlander Registrado
61K Mensagens 10.6K Curtidas
#6 Por PH
19/04/2020 - 08:05
mvsimao disse:
Boa noite, amigos.

Agradeço por toda a ajuda recebida, foram ensinamentos válidos. De todos os três colegas.

Eu realizei alguns procedimentos utilizando alguns programas no site da Bleeping Computer (ComboFix, AdwCleaner, RKill, Junkware Removal Tool, TDSSKiller), também usei o Malwarebytes e o HitmanPro para tentar realizar a limpeza aqui.

Após esses procedimentos concluídos, seguem abaixo os logs do Farbar Recovery Tool:

- https://www.cjoint.com/c/JDswLnHCEAj

- https://www.cjoint.com/c/JDswLBueLTj

Não tenho plena certeza se consegui realizar uma limpeza completa mas o computador não está mais apresentando sinais de ransomware, gostaria que os amigos analisassem os logs e me dissessem se o PC está "limpo" realmente.

A boa notícia é que eu também consegui recuperar os arquivos criptografados usando o ShadowExplorer para restaurar os arquivos que foram criptografados pelo ransomware. E o uso do Shadow deu certo, recuperei os arquivos.

Sem mais para o momento, fico no aguardo.

Grato,

- mvsimao. cool.png


Bom dia

Que bom que tenha conseguido recuperar os arquivos criptografados.

Ainda existem arquivos temporários do Word criptografados. Se tem o original, deve eliminá-los pois ao abrir o arquivo original ele pode querer recuperar esse e assim bagunçar de novo.

Você usou um coquetel de programas, mas usou um atrás do outro ou usou um de cada vez e foi verificar o resultado?

C:\Users\ADAPEC - AP5916\Desktop\~$RASCUNHO VEGETAL.xlsx.lalo
C:\Users\ADAPEC - AP5916\Documents\~$CUMENTOS NECESSÁRIOS NA FISCALIZAÇÃO VEGETAL.docx.lalo
C:\Users\ADAPEC - AP5916\Desktop\~$. TERMO DE NOTIFICAÇÃO.doc.lalo
C:\Users\ADAPEC - AP5916\Desktop\~WRL0005.tmp.lalo
C:\Users\ADAPEC - AP5916\Desktop\~$médios naturais para os nervos.docx.lalo
C:\Users\ADAPEC - AP5916\Desktop\~$SCRIÇÕES.docx.lalo
C:\Users\ADAPEC - AP5916\Desktop\~WRL3451.tmp.lalo
C:\Users\ADAPEC - AP5916\Documents\Thumbs.db.lalo
C:\Users\ADAPEC - AP5916\Documents\~$Então.docx.lalo
C:\Users\ADAPEC - AP5916\Downloads\~$NTROLE.docx.lalo
C:\Users\ADAPEC - AP5916\Desktop\~$LATÓRIO DO TRÂNSITO DE VEGETAIS.doc.lalo
C:\Users\ADAPEC - AP5916\Desktop\~$BOLÃO CHAMPIONS LEAGUE.xlsx.lalo
C:\Users\ADAPEC - AP5916\Downloads\~$calculo_restituicao_financiamento_veiculo_nov2017.xlsb.lalo


A pasta abaixo, contem arquivos em quarentena, se não me engano do Avast.

C:\$AV_ASW
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
Komm
Komm Cyber Highlander Registrado
12.8K Mensagens 2.7K Curtidas
#7 Por Komm
24/04/2020 - 04:23
Informação sobre o ransomware STOP (DJVU) corrente no computador, já que a extensão gerada é a .lalo.
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/

Tem mais de um sintoma de malware no micro. Use o ZHPCleaner.
https://nicolascoolman.eu/en/download/telechargez-zhpcleaner-gratuit/

Mande estes arquivos para análise no VirusTotal:
C:\Users\ADAPEC - AP5916\AppData\Roaming\50bkhkw4lqt\ikmjlcorpst.exe
C:\Users\ADAPEC - AP5916\AppData\Roaming\djdylfm3hsi\0fxfbvno4eg.exe
C:\Users\ADAPEC - AP5916\AppData\Roaming\juxjmy5ce5r\psd5tfz2zmt.exe
C:\Users\ADAPEC - AP5916\AppData\Roaming\kgplohe1cyv\hiem4ulkq5i.exe
C:\Users\ADAPEC - AP5916\AppData\Roaming\lssi0pijtr0\xslp3rlcw1h.exe
C:\Users\ADAPEC - AP5916\AppData\Roaming\omjue2brsnb\ss2sdzrdrai.exe
C:\Users\ADAPEC - AP5916\AppData\Roaming\omk2asofb5t\r1ie1tmh22u.exe
C:\Program Files (x86)\rygdfv\460650216.exe

https://www.virustotal.com/gui/

[]s.
Legal mesmo é a cara do cachorro quando a bicicleta para! mostrando_dentes.png
Responder Tópico
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal