Logo Hardware.com.br
jackiehentschel
jackiehentsc... Novo Membro Registrado
14 Mensagens 1 Curtida

[Resolvido] Notebook infectado [desconfio de infecção na rede]

#1 Por jackiehentsc... 11/09/2019 - 06:19
Bom dia,

Ao que parece, fui infectada pelo Conficker. Como? Só Jesus pra saber. Acredito que tenha vindo no meu último torrent, tinha uma gama de arquivos zip e, na pressa, não chequei.

O comportamento do vírus: não me permite abrir sites como MalwareBytes, AVG, Avast, Microsoft, etc. (comportamento que eu burlei ativando o VPN Windscribe); abre e fecha várias abas; mudou minha rede de privada para pública, assim como algumas outras configurações de rede; acredito que tenha captado meus dados, pois recebi sms de confirmação de login na minha conta TransferWise essa tarde; não sei se é relacionado, mas meu navegador Chrome parece estar levemente diferente do normal e leio "managed by your organisation" na aba de configuração; meu celular também apresenta os problemas se conectado à mesma rede wifi que o notebook.

O que eu fiz: ativei o VPN e fiz download do MalwareBytes, que localizou alguns malware, removeu, mas não resolveu o problema (relatório em anexo); resetei o modem (Arris TG1692A) que se configurou sozinho na mesma rede, mas o problema persiste; fiz o procedimento do post "Problemas com vírus?" e vou anexar o link aqui em baixo; fiz download do TrendMicro, que está rodando agora, mas ainda aguardo resultados. Estou usando VPN tanto no notebook quanto no celular e estou baixando o Combofix.

Pelo amor de tudo que é mais tecnológico, me dêem uma luz! Esse malware é mais velho que andar pra frente, mas parece superbactéria de tão resistente pra sair.

Desde já, grata!

Farbar:
https://www.cjoint.com/c/IIlizOHJwmD
https://www.cjoint.com/c/IIliAxGPfLD

Relatórios MalwareBytes:
https://www.cjoint.com/c/IIljqO7JiQD
https://www.cjoint.com/c/IIljrNIRxID
https://www.cjoint.com/c/IIljsjHKKXD

Edit: especificações da máquina -> Windows10 Home 2019, com a última atualização.
malware conficker malware-invasao bom notebook rede infectado desconfio comportamento dia
PH
PH Cyber Highlander Registrado
61.6K Mensagens 10.7K Curtidas
#2 Por PH
11/09/2019 - 07:08
Bom dia!

Seja bem-vindo(a) ao fórum.

Tente baixar o rkill, está com link direto para download, sendo assim não precisa entrar no site para baixar. A função do rkill é matar os processos de malwares e assim deixar executar os programas de proteção, poste o resultado.
Se não conseguir baixar a ferramenta ou as ferramentas indicadas tente em outro computador. Lembrando que deve executar em modo de segurança no qual poucos componentes do Windows são executados.

Depois baixe o AdwCleaner, também com link direto para download. A sua função: Ataca de forma agressiva adware, spyware, programas potencialmente indesejados (PUPs) e hijackers (sequestradores) de navegadores usando uma tecnologia especialmente desenvolvida para remover essas ameaças. Ele pode ser executado para liberar os browsers sequestrados pelos malwares.

Analisando seus logs já encontrei algumas coisas

Adware.DownloadAssistant.Generic, C:\USERS\HP\APPDATA\LOCAL\TEMP\RAR$EXA12572.40317\ADOBE-ACROBAT-READER-11-PRO-CRACK-VERSION-260C548375.EXE,


Não me admira está pegando vírus se está baixando produtos piratas e seus cracks que geralmente tem muito malwares embutidos.

C:\USERS\HP\DOWNLOADS\BAIXAKI_POPCORN TIME_1355093579.EXE, Quarentena, [454], [615405],1.0.12407


Não se deve baixar programas de sites de downloads, pois vem em sua maioria com esses instaladores próprios cheios de bloatwares. A prova esta ai no executável. Tem gente que indica baixar o malwaresbytes pelo site uptodown que é totalmente errado. Sempre vá para o site do fabricante.

Evite os cracks, pois por mais que tenha proteções em seu computador, você mesmo ao baixar cracks e ativadores está forçando a infecção no seu PC deixando mais difícil ainda a remoção, pois foi consentida!

Como está rodando o scan oo-line da Trend Micro aguarde o resultado e poste aqui.

Existem outros que podem ser usados como da Kaspersky, Eset...

Podem ser encontrados aqui.

Utilidade das varreduras on-line.

Esses também pode ser rodados de um pendrive com live linux, pois é até melhor em caso de malwares insistentes na memória alta. São os rescue disk

Os rescue disk são quando a coisa tá feia mesmo e não consegue tirar as pragas do PC/notebook, nessas horas melhor da boot por eles e fazer a varredura.

A importância de ter um Rescue Disk dos antivírus.
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
jackiehentschel
jackiehentsc... Novo Membro Registrado
14 Mensagens 1 Curtida
#3 Por jackiehentsc...
11/09/2019 - 23:31
PH disse:


PH, primeiramente, muito obrigada por ter tirado o tempo de me auxiliar.
Segundamente, você tem razão. Acredito que esse crack que tenha sido o causador da infecção. Infelizmente, a coisa tá feia e pagar pelo Pacote Adobe é impossível, na situaçao atual. Dessa vez, entretanto, eu vacilei de não pegar o programa de um site confiável, sei lá o que me deu na cabeça.

Rodei o TrendMicro, mas o relatório saiu em branco. Enquanto rodava, a maioria dos arquivos no OneDrive apareciam com "erro -94", também reparei que o OneDrive foi atualizado na MESMA hora que a infecção aconteceu.

RKill no modo de segurança com rede não detectou malware e o AdwCleaner fez uma varredura, mas o problema persiste, eu consigo ver o programa agindo e as páginas continuam bloqueadas, só funcionam quando uso VPN. Seguem os relatórios.

Peguei um pendrive e fiz o procedimento no Rufus, transformando ele numa imagem, vou tentar esse procedimento, mas não estou 100% certa do que fazer.

RKILL:
https://www.cjoint.com/c/IImcwnPt5hd

ADWCLEANER:
https://www.cjoint.com/c/IImcAh6OOId
https://www.cjoint.com/c/IImcBkMTsPd
https://www.cjoint.com/c/IImcB0UVnpd
https://www.cjoint.com/c/IImcCqudbOd
https://www.cjoint.com/c/IImcC28ZHBd
https://www.cjoint.com/c/IImcDudirCd
https://www.cjoint.com/c/IImcEiptYgd
https://www.cjoint.com/c/IImcEDvmY1d
https://www.cjoint.com/c/IImcE7gFwQd
https://www.cjoint.com/c/IImcFyRcTvd
PH
PH Cyber Highlander Registrado
61.6K Mensagens 10.7K Curtidas
#4 Por PH
12/09/2019 - 06:17
jackiehentschel disse:


Bom dia.

Os programas limpam o que encontram.

Pode informar qual a sua Internet? Como informou problemas até no celular por esse wi-fi. Ja testou esse notebook em outra rede para ver se apresenta os mesmo ptoblemas?

Não tentou usar nenhum dos programas para varredura on-line? se não tente um deles como kaspesky, eset...

Neste tópico expliquei como usar as duas ferranentas, kaspersky e eset

https://www.hardware.com.br/comunidade/analise-log/1509975/#post8241677

A mesma configuração pode ser usada no rescue disk.

Do jeito que a coisa está feia aconselho passar logo para o uso dos rescue disk, pois assim não vai carregar o Windows e vai rodar em um ambiente seguro.

Comece pelo kaspesky,
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
jackiehentschel
jackiehentsc... Novo Membro Registrado
14 Mensagens 1 Curtida
#5 Por jackiehentsc...
12/09/2019 - 14:25
PH disse:


Passei a ferramenta online. Usei o eset, mas não consegui postar o log aqui, pois o site acusa "operação suspeita" e me bloqueia. Mesmo com o eset removendo a ameaça, o problema persiste.

Eu uso NET (NET/CLARO), mas depois que resetei o modem, e depois de algumas das limpezas, o celular não apresenta mais o problema. Também instalei o Avast Premium no celular que escaneou a conexão wi-fi, mas não encontrou nada.

Não tentei usar o note em outra rede ainda, vou tentar usar ele no 4G do celular pra ver. Vou usar o rescue disk agora e ver no que dá também.

O eset localizou hacktool.crack.em em Adobe Acrobat em Win32, AdwareRevizer em Google Chrome, win32.dll na pasta Framework4Setup e TrojanDownloader.zurgop.da em uma pasta cheia de números.
PH
PH Cyber Highlander Registrado
61.6K Mensagens 10.7K Curtidas
#8 Por PH
12/09/2019 - 16:37
jackiehentschel disse:


hacktool.crack: foi o crack encontrado, já falei dos programas ilegais, antes, ai só desinstalado
Adware Revizer: perigoso, Hackers utilizam para controle remoto, esse ai pode modificar todo o seus sistema e te deixar seu computador como um zumbi para eles!

Mesmo depois que uma ferramenta limpar ele, verifique no registro do Windows a procura dele, procure por: JS/adware,revizer, JS/adware,revizer.e, adware,revizer. Procure por essas chaves e apague todas.

Tudo que o ESET encontrou pediu para limpar? Tudo isto que encontrou precisa se limpo ou no caso deletado caso não consiga limpar.

Execute o Rescue Disk e veja os resultados.
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
jackiehentschel
jackiehentsc... Novo Membro Registrado
14 Mensagens 1 Curtida
#9 Por jackiehentsc...
12/09/2019 - 17:42
Espírita disse:


Não. HD interno. Tô utilizando um pendrive de Reboot agora pra executar o rescue disk, mas sem sucesso.

PH disse:


Eu desinstalei os crackers, vou apagar todos os traços, ver se encontro algo a mais.

Certo, vou procurar.

Executei o rescue disk, encontrou vários objetos e deletou todos eles, mas o problema persiste. Vou remover todos os programas que eu conseguir e deixar só os arquivos principais, deletar os arquivos com aquele "AdwareRevizer" e rodar o rescue disk de novo. Eu vou postar o relatório depois, agora já estou a caminho da faculdade e não salvei o relatório pro celular, infelizmente. Muito obrigada por toda a ajuda!
jackiehentschel
jackiehentsc... Novo Membro Registrado
14 Mensagens 1 Curtida
#11 Por jackiehentsc...
12/09/2019 - 17:52
PH disse:


Usei Kaspersky, baixei direto do link que você enviou. Só estranhei que não apareceu a opção de "atualizar as definições". Marquei todas as opções, pra fazer a varredura completa.

ivoaudio disse:


Que bom que você sabe que não ajuda. Pra mim, no entanto, os valores não são acessíveis.

Ivo, você tem o nome do meu avô e parece ser um cara legal, mas o que não é legal é pisar em quem já está caído.
PH
PH Cyber Highlander Registrado
61.6K Mensagens 10.7K Curtidas
#12 Por PH
12/09/2019 - 17:55
jackiehentschel disse:
Eu desinstalei os crackers, vou apagar todos os traços, ver se encontro algo a mais.

Certo, vou procurar.

Executei o rescue disk, encontrou vários objetos e deletou todos eles, mas o problema persiste. Vou remover todos os programas que eu conseguir e deixar só os arquivos principais, deletar os arquivos com aquele "AdwareRevizer" e rodar o rescue disk de novo. Eu vou postar o relatório depois, agora já estou a caminho da faculdade e não salvei o relatório pro celular, infelizmente. Muito obrigada por toda a ajuda!


Mesmo desinstalando os cracks, a praga que foi executada com algum deles ja se espalhou, mesmo removendo, existem traços delas e uma infecção pode ter acionado outra que modifica o sistema para dar entrada para controle dos hackers.

jackiehentschel disse:


É automático, faz na hora que esta iniciando.
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
PH
PH Cyber Highlander Registrado
61.6K Mensagens 10.7K Curtidas
#14 Por PH
12/09/2019 - 18:35
Pode tentar em modo de rede e pelo rescue depois.

Deixa eu criar um cenário:

Executou e infectou.

Já usou várias ferramentas que limparam os arquivos maliciosos encontrados, mas lembres-se que essas pragas geraram configurações no seus sistema como já relatou desde o início e possivelmente até mesmo no roteador caso a infecção tenha aberto portas para um hacker ter invadido e feito tais modificações. Esses traços deixados que estamos atrás agora. Para você vê como a infecção foi forte ele sequestrou os browsers assim impedindo que pudesse baixar alguma ferramenta para tirá-los. Tanto é que precisou criar um tunelamento e mudar a rota e assim enganar a praga que já fez configurações no seu sistema em pro de sua atividade. Um vírus forte não se retem com um arquivo infectado. Esse arquivo infectado foi apenas o gatilho para abrir um leque de infecções partindo de vários lados e com várias ramificações e assim gerando uma grande caçada ao mesmo.

Faça alguns procedimentos como colocar os navegadores com as configurações de fábrica e veja se isso vai mudar a forma com que eles agem.

Por um outro PC mude todas suas senhas de e-mail e tudo que tiver. Ative a opção de duas etapas para aumentar a segurança.

Solução final, ainda não vamos utilizar: Windows em modo de fábrica!

Não vamos utilizar essa solução no momento, pois precisamos tentar o que for possível para recuperar seu sistema e, mesmo executando essa solução drástica o problema pode voltar e ai vamos ficar nesse loop de Windows modo de fábrica ou uma restauração de sistema. Esse tipo de solução é a última alternativa!

Vou explicar abaixo como a mesma seria feita e os passos para se proteger contra futuras infecções, mas no momento guarde para conhecimento.

Em último caso se tiver backup dos seus arquivos podemos partir para uma recuperação de sistema em modo de fábrica ou menos pesado uma restauração de sistema (caso tenha, antes de executar o crack), mas prefiro o modo de fábrica, pois como usa cracks, já poderia ter uma infecção rodando no seu note em baixa escala, mas piorou ao executar outro crack que gerou uma infecção maior.

Mas prefiro colocar em modo de fábrica, pois após fazer isso a primeira coisa que você fez é instalar uma ferramenta de segurança e configura-la para ação alta. Lembrando que você tem o Windows Defender, mas como expliquei antes é complicado qualquer proteção nativa barrar uma infecção executada pelo usuário.

Qual o antivírus nativo que tinha instalado no seu PC antes de ativar a infecção?

Como você utiliza crack acho necessária uma solução pesada de proteção como informei antes com tudo ativado no máximo. Vai ter problemas, pois ele pode detectar os cracks e barrar a instalação do mesmo.

Em relação aos programas que precisa utilizar e usa com crack em um outro tópico criado podemos discutir alternativas free para as soluções da adobe e outros que usa. Tem um pessoal bom aqui que vai te ajudar encontrar uma saída e viver sem os cracks.
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.

Mateus 10:33
Naldo Volpe
Naldo Volpe Cyber Highlander Registrado
20.8K Mensagens 3.5K Curtidas
#15 Por Naldo Volpe
12/09/2019 - 18:44
- Desculpe a intromissão, existe uma Ferramenta da AVG que talvez possa ajudar
- Salve o mesmo em sua Área de Trabalho e Execute o mesmo como Administrador : https://www.hardware.com.br/comunidade/attachments/avg_remover_downadup-exe.106629/?temp_hash=e3c94b34add1033bf1d6e9fbb99a21c8
- Veja se o mesmo detecta algo

Anexos

avg_remover_downadup.exe
Brazilian Game Player:| Brawl Stars BR |
- Atenção:Não seja um idiota, não saia de casa sem máscara.!.
- Continue utilizando máscara em ambientes abertos e fechados.!.
- A Pandemia não acabou, não faça festas / não faça aglomeração / 
não fique em lugares com muitas pessoas próximas /
Brasil: +22.590 novos casos. Situação atual. | Japão: +53.911 novos casos | Cachaceiro L detonando o Brasil |
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal