Logo Hardware.com.br
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas

Trojan:JS/Medfos.B !!!

#1 Por TmfeijoMMonr... 16/06/2014 - 21:24
Boa noite !


Quando pensamos que estamos limpos; após meses ser infectado com baidu ( que para mim já chegou nos patamares dos piores trojans que são os rootkits; já reportei em outro tópico )e já removido aí veem as consequências :

Em um post bem antigo; afirmei que a arquitetura rootkit do baidu possa ter infectado o malwarebytes .
https://www.hardware.com.br/comunidade/problemas-malwarebytes/1341959/


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.4 (04.06.2014:1)
OS: Windows 7 Home Basic x86
Ran by EDSON on 16/06/2014 at 20:56:31,78
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Start Page
Suspicious HKLM\..\Run entries found. Trojan:JS/Medfos.B?

Value Name Type Value Data
========================================================================================

Suspicious HKCU\..\Run entries found. Trojan:JS/Medfos.B?

Value Name Type Value Data
========================================================================================




~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 16/06/2014 at 21:02:54,60
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://cjoint.com/data3/3FrcVQhioTw.htm


Resolvi rodar o emsisoft anti-malwares e já pegou 3 vermelhos :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1009AM.png.html?sort=3&o=0


http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at0933AM.png.html?sort=3&o=0


Embora constou rootkits; talvez possa ser estratégia para comprar a licença do programa acima rsrsrsrs :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at0953AM.png.html?sort=3&o=0

Porém dos 3 arquivos infectados o software removeu 2; só não excluiu o outro; pois justamente se tratar de rootkit :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at0958AM.png.html?sort=3&o=0



Emsisoft Anti-Malware Anti-Malware - Versão 9.0
Última atualização 19/06/2014 09:05:25
User account name: EDSON-PC\EDSON

Configuração do exame:

Tipo de exame: Exame Inteligente
arquivos: Rootkits, Memória, Rastros, C:\Windows\, C:\Program Files\

Detect Potentially Unwanted Programs: Ligado
Análise de arquivos: Desligado
Análise de ADS: Ligado
Extensão de arquivo: Desligado
Caching avançado: Ligado
Acesso direto ao disco: Desligado

Início do exame: 19/06/2014 09:21:47
Value: HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR detectados: Setting.DisableTaskMgr (A)
Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS detectados: Setting.DisableRegistryTools (A)
Value: HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS detectados: Setting.DisableRegistryTools (A)

Analisados: 133966
Achado 3

Fim do exame: 19/06/2014 09:48:10
Duração do exame: 0:26:23

Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS Em quarentena Setting.DisableRegistryTools (A)
Value: HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR Em quarentena Setting.DisableTaskMgr (A)

Em quarentena 2


Pois inclusive em um novo scan e rápido; removeu o rootkit :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1016AM.png.html?sort=3&o=0

Emsisoft Anti-Malware Anti-Malware - Versão 9.0
Última atualização 19/06/2014 09:05:25
User account name: EDSON-PC\EDSON

Configuração do exame:

Tipo de exame: Exame Rápido
arquivos: Rootkits, Memória, Rastros

Detect Potentially Unwanted Programs: Ligado
Análise de arquivos: Desligado
Análise de ADS: Ligado
Extensão de arquivo: Desligado
Caching avançado: Ligado
Acesso direto ao disco: Desligado

Início do exame: 19/06/2014 10:09:39
Value: HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS detectados: Setting.DisableRegistryTools (A)

Analisados: 57388
Achado 1

Fim do exame: 19/06/2014 10:10:38
Duração do exame: 0:00:59


Emsisoft Anti-Malware Anti-Malware - Versão 9.0
Última atualização 19/06/2014 09:05:25
User account name: EDSON-PC\EDSON

Configuração do exame:

Tipo de exame: Exame Rápido
arquivos: Rootkits, Memória, Rastros

Detect Potentially Unwanted Programs: Ligado
Análise de arquivos: Desligado
Análise de ADS: Ligado
Extensão de arquivo: Desligado
Caching avançado: Ligado
Acesso direto ao disco: Desligado

Início do exame: 19/06/2014 10:09:39
Value: HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS detectados: Setting.DisableRegistryTools (A)

Analisados: 57388
Achado 1

Fim do exame: 19/06/2014 10:10:38
Duração do exame: 0:00:59

Value: HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS Em quarentena Setting.DisableRegistryTools (A)

Em quarentena 1


E não acho que seja o rootkit mesmo; pois nas abas quarentena e logs constava 2 e 3 respectivamente malwares detectados :


http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1009AM.png.html?sort=3&o=1


Após o novo scan e rápido ; agora constam 3 na quarentena e 4 no log :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1107AM.png.html?sort=3&o=0


Entretanto confirmando via regedit; parecem ser os mesmos valores das chaves; removidos :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1049AM.png.html?sort=3&o=0


E mais um scan novo e profundo; nada encontrado :


http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1101AM.png.html?sort=3&o=0

Emsisoft Anti-Malware Anti-Malware - Versão 9.0
Última atualização 19/06/2014 09:05:25
User account name: EDSON-PC\EDSON

Configuração do exame:

Tipo de exame: Exame Profundo
arquivos: Rootkits, Memória, Rastros, C:\

Detect Potentially Unwanted Programs: Ligado
Análise de arquivos: Ligado
Análise de ADS: Ligado
Extensão de arquivo: Desligado
Caching avançado: Ligado
Acesso direto ao disco: Desligado

Início do exame: 19/06/2014 10:26:47

Analisados: 141812
Achado 0

Fim do exame: 19/06/2014 11:02:18
Duração do exame: 0:35:31


Ratificando; em um novo scan inteligente; limpo perante o emsisoft Anti-Malware Anti-Malware :

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1112AM.png.html?sort=3&o=0

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1137AM.png.html?sort=3&o=0

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at1139AM.png.html?sort=3&o=0


Emsisoft Anti-Malware Anti-Malware - Versão 9.0
Última atualização 19/06/2014 11:06:03
User account name: EDSON-PC\EDSON

Configuração do exame:

Tipo de exame: Exame Inteligente
arquivos: Rootkits, Memória, Rastros, C:\Windows\, C:\Program Files\

Detect Potentially Unwanted Programs: Ligado
Análise de arquivos: Desligado
Análise de ADS: Ligado
Extensão de arquivo: Desligado
Caching avançado: Ligado
Acesso direto ao disco: Desligado

Início do exame: 19/06/2014 11:07:59

Analisados: 133994
Achado 0

Fim do exame: 19/06/2014 11:35:07
Duração do exame: 0:27:08


Porém contudo farbar ainda não abre :

https://www.hardware.com.br/comunidade/problemas-malwarebytes/1341959/

http://s1062.photobucket.com/user/Edson_Melo/media/ScreenShot06-19-14at0906PM.png.html?sort=3&o=0


Do nada abriu novamente :

http://cjoint.com/data3/3FvcCyY6osV.htm

http://cjoint.com/data3/3FvcGA0ylSg.htm


Abraços
boa infectado js trojan pensamos rootkits noite baidu medfos
A ignorância é a pior inimiga do homem . Não tenho medo de nada; apenas da inveja . E o mundo cada vez melhor !!
Palavras sábias de um hiper profissional do judiciário; perito digital e em psicologia jurídica .
A sua inveja é a velocidade de meu sucesso .
Um coração medroso congela o trabalho . Um coração temerário incendeia qualquer serviço ; arrasando - o .
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal