Malware afetando navegador e rede

Question

Ontem quando entrei no navegador pelo PC ele redirecionava para uma p&aacute;gina falsa de atualiza&ccedil;&atilde;o do Chrome automaticamente, dizendo que o leitor de v&iacute;deo estava ultrapassado e baixava um arquivo exe de atualiza&ccedil;&atilde;o que o windows bloqueava por ser suspeito. Acontecia tanto pelo computador quanto pelo navegador do celular utilizando a wifi em qualquer outro navegador. Qualquer outro aplicativo funcionava normalmente, exceto o navegador. No 3g funcionava tudo normalmente. Resetei o roteador, mudei as senhas e o DNS para o p&uacute;blico do Google e voltou tudo ao normal.

Hoje quando voltei, apareceu um novo problema: o navegador apenas do PC estava muito lento pra abrir qualquer p&aacute;gina, abria somente uma parte da p&aacute;gina ou redirecionava pra uma p&aacute;gina 404 page not found. Desativei as configura&ccedil;&otilde;es autom&aacute;ticas do proxy e aparentemente voltou ao normal.

Pe&ccedil;o ajuda pra checarem meus logs e ver se tem algum malware instalado. Agrade&ccedil;o muito.

http://www.cjoint.com/c/GKxe20bZamD
http://www.cjoint.com/c/GKxe3Pjt5vD

Answer

/_ Boa Tarde! [COLOR=#0000b3]heitorrn[/COLOR] _\

> Nenhum malware foi encontrado em sua m&aacute;quina!
> Desinstale o[COLOR=#006666] Malwarebytes[/COLOR] e tamb&eacute;m seu antiv&iacute;rus! ([COLOR=#b30000] Avira[/COLOR] )

[COLOR=#b30000]Avira[/COLOR] (HKLM-x32\...\{1B48601D-0537-4589-9952-A8989BE8249A}) (Version: 1.2.96.16095 - Avira Operations GmbH & Co. KG) Hidden
[COLOR=#b30000]Avira[/COLOR] (HKLM-x32\...\{7c01a3b4-3454-446e-8473-8a245f962c28}) (Version: 1.2.96.16095 - Avira Operations GmbH & Co. KG)

> Copie estas informa&ccedil;&otilde;es que est&atilde;o no Spoiler,para o Bloco de Notas.
> Salve-as com o nome [COLOR=green]fixlist[/COLOR].  Salve-as ao desktop! ( &Aacute;rea de trabalho ... )

[spoiler=fixlist][COLOR=darkred]Start
CloseProcesses:
S2 Avira.ServiceHost; C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe [402768 2017-08-30] (Avira Operations GmbH & Co. KG)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6234056 2017-11-01] (Malwarebytes) 
R1 ESProtectionDriver; C:\WINDOWS\system32\drivers\mbae64.sys [77432 2017-11-01] () 
R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [193464 2017-11-23] (Malwarebytes) 
R3 MBAMFarflt; C:\WINDOWS\system32\DRIVERS\farflt.sys [110016 2017-11-23] (Malwarebytes) 
R3 MBAMProtection; C:\WINDOWS\system32\DRIVERS\mbam.sys [46008 2017-11-23] (Malwarebytes) 
R0 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [253880 2017-11-23] (Malwarebytes) 
R3 MBAMWebProtection; C:\WINDOWS\system32\DRIVERS\mwac.sys [94144 2017-11-23] (Malwarebytes) 
CustomCLSID: HKU\S-1-5-21-2307414559-411656042-2590689417-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\heito\AppData\Local\Microsoft\OneDrive\17.3.7076.1026\amd64\FileSyncShell64.dll => Nenhum Arquivo 
CustomCLSID: HKU\S-1-5-21-2307414559-411656042-2590689417-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\heito\AppData\Local\Microsoft\OneDrive\17.3.7076.1026\amd64\FileSyncShell64.dll => Nenhum Arquivo 
CustomCLSID: HKU\S-1-5-21-2307414559-411656042-2590689417-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\heito\AppData\Local\Microsoft\OneDrive\17.3.7076.1026\amd64\FileSyncShell64.dll => Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Nenhum Arquivo 
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Nenhum Arquivo 
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Nenhum Arquivo 
Task: {41895872-8E35-4930-9384-58E824619E88} - System32\Tasks\Avira SystrayStartTrigger => Avira.SystrayStartTrigger.exe 
Task: {42B9FB09-8878-4B8C-BCBC-23257CD5C198} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2017-09-27] (Adobe Systems Incorporated) 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => =Service 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => =Service 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => =Service 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => =Service 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => =Service
2017-11-23 01:21 - 2017-11-23 01:21 - 000193464 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamChameleon.sys 
2017-11-23 01:20 - 2017-11-23 01:31 - 000110016 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\farflt.sys 
2017-11-23 01:20 - 2017-11-23 01:31 - 000094144 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys 
2017-11-23 01:20 - 2017-11-23 01:31 - 000046008 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys 
2017-11-23 01:20 - 2017-11-23 01:20 - 000253880 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys 
2017-11-23 01:20 - 2017-11-23 01:20 - 000001912 _____ C:\Users\Public\Desktop\Malwarebytes.lnk 
2017-11-23 01:20 - 2017-11-23 01:20 - 000000000 ____D C:\Users\Todos os Usu&aacute;rios\Malwarebytes 
2017-11-23 01:20 - 2017-11-23 01:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes 
2017-11-23 01:20 - 2017-11-23 01:20 - 000000000 ____D C:\ProgramData\Malwarebytes 
2017-11-23 01:20 - 2017-11-23 01:20 - 000000000 ____D C:\Program Files\Malwarebytes 
2017-11-23 01:20 - 2017-11-01 08:54 - 000077432 _____ C:\WINDOWS\system32\Drivers\mbae64.sys 
2017-11-23 01:20 - 2017-11-01 08:54 - 002358736 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll 
2017-11-23 01:20 - 2017-11-01 08:55 - 002299344 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll 
2017-11-23 01:25 - 2017-11-23 01:25 - 000388608 _____ (Trend Micro Inc.) C:\Users\heito\Downloads\HijackThis.exe 
2017-11-23 01:02 - 2017-11-23 01:16 - 078346672 _____ (Malwarebytes ) C:\Users\heito\Documents\mb3-setup-consumer-3.3.1.2183.exe 
2017-11-21 22:10 - 2017-11-23 01:21 - 000000000 ____D C:\AdwCleaner 
2017-11-21 22:05 - 2017-11-21 22:05 - 008261584 _____ (Malwarebytes) C:\Users\heito\Downloads\adwcleaner-7-0-4-0.exe 
2017-11-21 22:05 - 2017-11-21 22:05 - 005659763 _____ (Swearware) C:\Users\heito\Downloads\ComboFix.exe 
2017-11-21 22:55 - 2017-03-08 03:27 - 000000000 ____D C:\Users\Todos os Usu&aacute;rios\McAfee 
2017-11-21 22:55 - 2017-03-08 03:27 - 000000000 ____D C:\ProgramData\McAfee 
FirewallRules: [{263CB1AD-31A7-4730-9311-7B3BBB02A3EC}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe 
FirewallRules: [{8C29B3ED-061C-4D96-B164-A389B46DF009}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe 
VirusTotal: C:\Users\Todos os Usu&aacute;rios\DP45977C.lfl 
CMD: ipconfig /flushdns
CMD: sfc /scannow
CreateRestorePoint:
RemoveProxy:
EmptyTemp:
Reboot:
end[/COLOR][/spoiler]

> Execute FRST/FRST64.exe >> Clique Corrigir  Poste o relat&oacute;rio [COLOR=darkred]Resultado da Corre&ccedil;&atilde;o pela Farbar Recovery Scan Tool[/COLOR]. ([COLOR=green]Fixlog.txt[/COLOR])
> Este e outros relat&oacute;rios,podem ser encontrados na pasta: Disco Local (C) > FRST > Logs

https://www.hardware.com.br/static/c/m/bda2ffa2e92f7f2a44c02bfd0ae2986b
< [COLOR=red]Pe&ccedil;o aos visitantes que n&atilde;o utilizem este script em outros computadores,sob risco de danos aos mesmos![/COLOR] >

[Abs]

Answer

Boa tarde dileto regente autor   !

Por desencargo de consci&ecirc;ncia; rode o combofix; pois de modo que; talvez um caso equiparado ao seu fato:

https://www.hardware.com.br/comunidade/windows-abre/1468841/1.html
https://www.hardware.com.br/comunidade/windows-abre/1468841/1.html#post7897483

https://www.bleepingcomputer.com/download/combofix/

Abra&ccedil;os

[QUOTE=heitorrn, post: 7892361, member: 1178309]Ontem quando entrei no navegador pelo PC ele redirecionava para uma p&aacute;gina falsa de atualiza&ccedil;&atilde;o do Chrome automaticamente, dizendo que o leitor de v&iacute;deo estava ultrapassado e baixava um arquivo exe de atualiza&ccedil;&atilde;o que o windows bloqueava por ser suspeito. Acontecia tanto pelo computador quanto pelo navegador do celular utilizando a wifi em qualquer outro navegador. Qualquer outro aplicativo funcionava normalmente, exceto o navegador. No 3g funcionava tudo normalmente. Resetei o roteador, mudei as senhas e o DNS para o p&uacute;blico do Google e voltou tudo ao normal.

Hoje quando voltei, apareceu um novo problema: o navegador apenas do PC estava muito lento pra abrir qualquer p&aacute;gina, abria somente uma parte da p&aacute;gina ou redirecionava pra uma p&aacute;gina 404 page not found. Desativei as configura&ccedil;&otilde;es autom&aacute;ticas do proxy e aparentemente voltou ao normal.

Pe&ccedil;o ajuda pra checarem meus logs e ver se tem algum malware instalado. Agrade&ccedil;o muito.

http://www.cjoint.com/c/GKxe20bZamD
http://www.cjoint.com/c/GKxe3Pjt5vD[/QUOTE]

Ferramentas

Mover Tópico