Controle da minha rede local, PC e acesso remoto.

Question

Preciso da ajuda de voc&ecirc;s para entender os eventos sucessivos . Li o http://excript.com/blog/como-fazer-perguntas-inteligentes.html

Eu percebi quando recebi um email informando uma troca de email de login meu que pra trocar precisaria dados meus que ficam na nuvem. 
Eu uso um MB Huananzing f8 com xhipset intel C912ou910 com um Xeon 2696 2x 16gbddr4 nvmem2 1tb ambos netac e uma rtx3050. 
w10pro chave oem comprada por 40 usd. Usava torrent sites de cursos piratas que apareciam v&aacute;rios links de ads com certeza maliciosos e usava ms 365 com kaspersky total security original. O ms 365 era de 18 meses e o antiv&iacute;rus 12 meses. fiquei 3 meses sem antiv&iacute;rus ou com o original do windows. Sabendo disso demorei um m&ecirc;s pra voltar ao trabalho pois fiquei na uti e quando voltei comprei um kaspersky premium e formatei o hd instalando o w11 PRO, achando que teria um S.o mais moderno, seguro e que estava resolvido. Essa novela j&aacute; tem 4 meses.
Percebi que meu browser estava como parte de uma organiza&ccedil;&atilde;o. O kaspersky passou a informar que uma porta SSH 20 ou22 do roteador estava aberta e pass&iacute;vel de ciberataque, mas eu n&atilde;o tinha nem acessado o modem ainda pra trocar senha de wifi. Verifiquei acessos remotos no modem e desativei. Apesar disso h&aacute; varias aplica&ccedil;&otilde;es que n&atilde;o consigo executar com adm e fechar aplicativos que n&atilde;o preciso.
Estou enviando o relat&oacute;rio frst do PC formatado ontem com firewall  e Windows defender. apenas mozilla e esses softwares de detec&ccedil;&atilde;o de malwares instalados al&eacute;m de um removedor de ransomware da kaspersky que n&atilde;o tem permiss&atilde;o de executar.
Agradeco qualquer orienta&ccedil;&atilde;o

Answer

/!\ Boa Noite! [color=#1e40af]Arapuca [/color]/!\

> Desinstale o [color=#854d0e]Malwarebytes[/color], caso j&aacute; n&atilde;o o tenha feito.

> Copie estas informa&ccedil;&otilde;es que est&atilde;o em vermelho,para o Bloco de Notas.
> Salve-as com o nome [color=green]fixlist[/color].  Salve-as ao desktop! ( &Aacute;rea de trabalho ... )

[color=darkred]Start::
CloseProcesses:
Task: {073AB9C2-1CB6-422F-A50F-2BDDA5477A12} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe  do-task 308046B0AF4A39CB (Nenhum Arquivo)
2023-12-15 05:12 - 2023-12-15 05:12 - 001790180 _____ C:\Users\Zed\Downloads\Help! infected with windows command processor_perfstringbackup.ini trojan - Resolved Malware Removal Logs - Malwarebytes Forums.pdf
2023-12-13 22:28 - 2023-12-13 22:28 - 000000000 ____D C:\Users\Zed\AppData\Local\mbam
2023-12-13 22:26 - 2023-12-13 22:28 - 000000000 ____D C:\AdwCleaner
2023-12-13 22:22 - 2023-12-13 22:22 - 002606880 _____ (Malwarebytes) C:\Users\Zed\Downloads\MBSetup.exe
2023-12-13 22:21 - 2023-12-13 22:21 - 008791352 _____ (Malwarebytes) C:\Users\Zed\Downloads\adwcleaner.exe
2023-12-13 22:15 - 2023-12-13 23:19 - 000000000 ____D C:\Users\Zed\AppData\Roaming\ZHP
2023-12-13 22:15 - 2023-12-13 22:15 - 000000000 ____D C:\Users\Zed\AppData\Local\ZHP
2023-12-13 22:14 - 2023-12-13 22:14 - 003362976 _____ (Nicolas Coolman) C:\Users\Zed\Downloads\ZHPCleaner.exe
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Nenhum Arquivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Nenhum Arquivo
CMD: ipconfig /flushdns
StartPowershell:
sfc /scannow
EndPowershell:
CreateRestorePoint:
RemoveProxy:
EmptyTemp:
Reboot:
Hosts:
End::[/color]

https://imgur.com/IsRtnte.jpg

> Execute FRST/FRST64 >> Clique Corrigir  Poste o relat&oacute;rio [color=darkred]Resultado da Corre&ccedil;&atilde;o pela Farbar Recovery Scan Tool[/color]. ([color=green]Fixlog.txt[/color])

< [color=red]Pe&ccedil;o aos visitantes que n&atilde;o utilizem este script em outros computadores,sob risco de danos aos mesmos![/color] >

A+

Answer

Desculpe mas utilizando rootkits e mudando registro para eleminar usuarios eu estraguei o windows e reinstalei.
Pe&ccedil;o desculpa pelo seu trabalho de ajuda, mas creio que o mesmo log nao funcionaria pois mudei o nome de usuario. segue em anexo um novo log. fst

Answer

/!\ Bom Dia![color=#1e40af] Arapuca[/color] /!\

> O script ficou singelo ,e sem entradas potencialmente perigosas.

> Copie estas informa&ccedil;&otilde;es que est&atilde;o no Spoiler,para o Bloco de Notas.
> Salve-as com o nome [color=green]fixlist[/color].  Salve-as ao desktop! ( &Aacute;rea de trabalho ... )

[spoiler=fixlist][color=darkred]Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restri&Atilde;&sect;&Atilde;&pound;o  C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [154920 2023-12-23] (Google Inc -> Google LLC)
Task: {B5E845E5-60D4-4D48-A680-79D46DD657B2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [154920 2023-12-23] (Google Inc -> Google LLC)
2023-12-23 01:26 - 2023-12-23 01:26 - 000000000 ____D C:\ProgramData\AVG
2023-12-23 01:09 - 2023-12-31 01:29 - 000000000 ____D C:\ProgramData\Avast Software
CreateRestorePoint:
EmptyTemp:
Reboot:
End::[/color][/spoiler]

https://imgur.com/IsRtnte.jpg

> Execute FRST/FRST64 >> Clique Corrigir  Poste o relat&oacute;rio [color=darkred]Resultado da Corre&ccedil;&atilde;o pela Farbar Recovery Scan Tool[/color]. ([color=green]Fixlog.txt[/color])

< [color=red]Pe&ccedil;o aos visitantes que n&atilde;o utilizem este script em outros computadores,sob risco de danos aos mesmos![/color] >

[]s

Ferramentas

Mover Tópico