Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

daniel.moura

[Arquivado] Me infectei com backdoor.bot no explore.exe

Recommended Posts

Pessoal, acho que ou o malwerebytes ou o bankerfix conseguiu remover. Depois de três tentativas o malware sumiu. No quarto scan nenhum dos dois detectou mais...

 

Olá, como o título do tópico já diz, o arquivo explore.exe se encontra infectado com o backdoor.bot. 

Quem detectou a princípio foi o Malwarebytes, que pediu para reiniciar o computador e supostamente enviou para a quarentena, mas ao reiniciar a varredura, encontra o backdoor novamente. Vou colocar o relatório aqui... Também baixar o HijackThis.exe, será o segundo relatório postado aqui e para finalizar executei também o Banckerfix, será o terceiro relatório. 

Não consigo remover e peço a ajuda de vocês. Uso o windows 10 e quase todos os softwares usados em outros tópicos é incompatível.

Citar

Malwarebytes
www.malwarebytes.com

-Detalhes de registro-
Data da análise: 24/08/17
Hora da análise: 13:20
Arquivo de registro: relatorio malwarebytes.txt
Administrador: Sim

-Informação do software-
Versão: 3.0.6.1469
Versão de componentes: 1.0.75
Versão do pacote de definições: 1.0.2652
Licença: Premium

-Informação do sistema-
Sistema operacional: Windows 10
CPU: x64
Sistema de arquivos: NTFS
Usuário: DESKTOP-FDJJHF1\Daniel Moura

-Resumo da análise-
Tipo de análise: Análise de Ameaças
Resultado: Concluído
Objetos verificados: 375277
Tempo decorrido: 5 min, 2 seg

-Opções da análise-
Memória: Habilitado
Inicialização: Habilitado
Sistema de arquivos: Habilitado
Arquivos compactados: Habilitado
Rootkits: Habilitado
Heurística: Habilitado
PUP: Habilitado
PUM: Habilitado

-Detalhes da análise-
Processo: 3
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\DOWNLOADS\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE\u00c2\u00a0, Quarentena, [700], [77941],1.0.2652
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\DOWNLOADS\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE, Quarentena, [700], [77941],1.0.2652
Backdoor.Agent.Generic, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Quarentena, [638], [355551],1.0.2652

Módulo: 3
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\DOWNLOADS\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE\u00c2\u00a0, Quarentena, [700], [77941],1.0.2652
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\DOWNLOADS\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE, Quarentena, [700], [77941],1.0.2652
Backdoor.Agent.Generic, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Quarentena, [638], [355551],1.0.2652

Chave de registro: 4
Backdoor.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE, Quarentena, [638], [355551],1.0.2652
Backdoor.Agent.Generic, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE, Quarentena, [638], [355551],1.0.2652
Backdoor.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SPOOLSV.EXE, Quarentena, [638], [355551],1.0.2652
Backdoor.Agent.Generic, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SPOOLSV.EXE, Quarentena, [638], [355551],1.0.2652

Valor de registro: 0
(Nenhum item malicioso detectado)

Dados de registro: 0
(Nenhum item malicioso detectado)

Fluxo de dados: 0
(Nenhum item malicioso detectado)

Pasta: 0
(Nenhum item malicioso detectado)

Arquivo: 20
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\DOWNLOADS\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE\u00c2\u00a0, Quarentena, [700], [77941],1.0.2652
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\DOWNLOADS\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE, Quarentena, [700], [77941],1.0.2652
Backdoor.Agent.Generic, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Falha ao remover, [638], [355551],1.0.2652
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\TEMP\RAR$DRA0.812\MALWAREBYTES.PREMIUM.V3\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE\u00c2\u00a0, Quarentena, [700], [77941],1.0.2652
RiskWare.DontStealOurSoftware, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\TEMP\RAR$DRA0.812\MALWAREBYTES.PREMIUM.V3\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET\MALWAREBYTES_ANTI-MALWARE_KEYGEN_V1.5_URET.EXE, Quarentena, [700], [77941],1.0.2652
Backdoor.Agent.Generic, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\ICSYS.ICN.EXE, Quarentena, [638], [355551],1.0.2652
Backdoor.Agent.Generic, C:\WINDOWS\SYSTEM\SPOOLSV.EXE, Falha ao remover, [638], [355551],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_filmfanatic2.dl.tb.ask.com_0.localstorage, Quarentena, [259], [240306],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_filmfanatic2.dl.tb.ask.com_0.localstorage-journal, Quarentena, [259], [240306],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_gamingwonderland.dl.tb.ask.com_0.localstorage, Quarentena, [259], [240306],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_filmfanatic2.dl.myway.com_0.localstorage, Quarentena, [259], [240305],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_filmfanatic2.dl.myway.com_0.localstorage-journal, Quarentena, [259], [240305],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_radiorage.dl.tb.ask.com_0.localstorage, Quarentena, [259], [240306],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_radiorage.dl.tb.ask.com_0.localstorage-journal, Quarentena, [259], [240306],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_gamingwonderland.dl.myway.com_0.localstorage, Quarentena, [259], [240305],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_radiorage.dl.myway.com_0.localstorage, Quarentena, [259], [240305],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_radiorage.dl.myway.com_0.localstorage-journal, Quarentena, [259], [240305],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_translationbuddy.dl.myway.com_0.localstorage, Quarentena, [259], [240305],1.0.2652
PUP.Optional.CrossRider, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_d19tqk5t6qcjac.cloudfront.net_0.localstorage, Quarentena, [219], [256629],1.0.2652
PUP.Optional.MindSpark, C:\USERS\DANIEL MOURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_free.gamingwonderland.com_0.localstorage, Quarentena, [259], [370343],1.0.2652

Setor físico: 0
(Nenhum item malicioso detectado)


(end)

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não consegui colocar a citação do hijackthis, acho que ficou longo...

 

Citar

BankerFix 3.5 VALKYRIE - Removedor de Bankers
Linha Defensiva | http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
-------------------------------------------------------
Data: 2017-08-30 - 22:10
-------------------------------------------------------
Lista de Definição: 2014-01-18-1 | CORE: 2012-08-22-6
=======================================================

Arquivo infectado detectado: C:\Windows\System32\explorer.exe
O arquivo só será removido quando o sistema for reiniciado


----- Fim -------------------------
 

hijackthis.log

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Bom Dia! daniel.moura _\

 

Backdoor.Agent.Generic, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Quarentena, [638], [355551],1.0.2652

---

---

O arquivo detectado pelo MBAM foi quarentenado,onde ao acessá-la você pode dispor do mesmo e enviá-lo ao Virus Total,para análise.

 

C:\WINDOWS\EXPLORER.EXE << Diretório correto ao arquivo!

 

Acredito ser malware já que o diretório ( System ),está incorreto ao explorer.exe.

Quanto ao BankerFix,leia abaixo o falso positivo ao explorer.exe,detectado na pasta System 32.

 

Para Windows 64 bits, Observação importantíssima!



Após baixar o BankerFix,não execute-o na primeira em que aparecer na tela. Feche a janela e abra-a,novamente,à partir do arquivo "Iniciar-BankerFix.vbs" que fica na pasta LinhaDefensiva,normalmente localizada na raiz de C:\.

Se você não fizer isso, o BankerFix irá detectar um vírus no arquivo Explorer.exe que na verdade não está no seu computador.

Você também não deve executar o BankerFix ,novamente,a partir do arquivo .exe que você baixou da internet. Use APENAS o Iniciar-Bankerfix.vbs.

 

Detalhes do problema


Os Windows em 64 bits têm um ambiente "falso" (virtualizado) para que programas 32 bits funcionem. O BankerFix não é um programa nem em 32 bits nem em 64 bits. Ele é compilado no run-time, por meio do Windows Scripting Host (WSH). Em outras palavras, o BankerFix é executado nativamente em 64 bits sem problema algum.

O instalador do BankerFix, no entanto, é um programa em 32 bits. Isso significa que o BankerFix, quando executado a partir do Instalador, será tratado como um software de 32 bits pelo Windows, o que fará com que ele não detecte as pragas corretamente em seu sistema.

O sintoma principal é a detecção do arquivo c:\Windows\system32\explorer.exe como vírus. Em um sistema que não está infectado, esse arquivo não existe. O BankerFix irá detectá-lo mesmo assim. Isso acontece porque o BankerFix na verdade estará lendo a pasta SysWOW64, onde esse arquivo existe. No entanto, o BankerFix não sabe disso, porque o ambiente, como já dito, é "virtualizado" para o programa.

Executar o BankerFix a partir do Iniciar-BankerFix, pelo Windows Explorer - que é um programa nativo, 64 bits - fará com que o BankerFix seja tratado como um programa 64 bits também e tudo deve funcionar normalmente.

Fonte: Altieres Rohr Para Windows 64 bits, Observação importantíssima!


[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

  • Conteúdo Similar

    • Por André Severino
      Olá boa tarde a todos,
       
      No ano passado (jun/21) a Anatel publicou uma nota dizendo que alguns analistas encontraram um malware em um aparelho IPTV, o aparelho em questão é o HTV.
       
      Em abril/21 eu comprei um de presente para meus pais e recentemente troquei meu roteador e ele começou a bloquear o aparelho porque ele está fazendo ataques DDOS de dentro da rede. (foi quando descobri esse artigo da anatel)
       
      Atualmente deixei o aparelho um roteador exclusivo para ele com outra faixa de IP na rede, para tentar evitar a captura dos dados do roteador principal, será que isso é suficiente ou não tem nada haver? 
       
      Enfim alguém sabe como faço para descobrir essa porta que ele usa ? Como posso bloquear isso ?
       
      Obs.: não sou a favor da pirataria muito pelo contrário, mas meu pai já usava um aparelho via satélite com o uso de duas antenas, só melhorei o equipamento dele por gratidão :D 
    • Por RUY
      A maquina está lenta  ao usar o anti virus foram detectados 4 trojan( imagem) usei as ferramentas do modelo
      FRST https://www.cjoint.com/c/LHjcUPvaR3o
      Addition https://www.cjoint.com/c/LHjcVYEMlJo


    • Por Annluciap
      Boa noite!
       
      Estava trabalhando em um arquivo de um pendrive e ele ficou inacessível. Quando abri o pendrive vi que esse arquivo e outros estavam com datas de criação último acesso de 2030, 2040, entre outras. Outros arquivos ficaram corrompidos. Fiz uma varredura no pendrive e no computador e nada foi detectado. Será que há algum malware não detectado pelo Win Defender?
       
      Seguem abaixo os logs da FRST:
       
      https://www.cjoint.com/c/KBCxH5n7VaZ
      https://www.cjoint.com/c/KBCxJaDfAGZ
       
      Muito obrigada!
       
      Obs.: O mesmo tópico foi possivelmente criado em local errado, peço que seja deletado.
    • Por cristiano kunz nadler
      Olá Srs, e Obrigado pela oportunidade.
       
      Não consigo baixar o FRST porque não consigo navegar, o navegador fica aumentando o zoom e diminuindo sozinho, o cursor anda sozinho, clica em diversas coisas e um risco fica subindo e descendo na tela. Não consigo acessar nenhuma página por ele.
      Não consigo baixar nada e nem rodar o FRST.
      Estou postando aqui, pois acredito que o outro post foi em um subfórum errado.
      Conseguem me ajudar? Obrigado
       
    • Por 1sefirot1
      Bem, sao dois problemas, o primeiro é o do malware no google chrome, que mal instalei e ja pegou alguma ferramenta maliciosa. Seguem os relatorios:
       
      Adittion.txt:
      https://www.cjoint.com/c/IJhcd2nBPRB
       
      FRST.txt:
      https://www.cjoint.com/c/IJhchjGcRMB

      E gostaria de saber se é possivel saber o motivo de uma tela azul q deu no meu note ontem, quando eu tentava atualizar um drive atravez da ferramenta dell update.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.