Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Silas Pedro Alcantara

[Arquivado] Computador Infectado, a procura da solução

Recommended Posts

Olá tudo bem? Necessito de auxílio para a solução de uma infecção por vírus.

 

Estava usando meu computador no dia anterior a infecção e quando retornei para utilizá-lo novamente o Avast Free Antivirus detectou e bloqueou uma ameaça "msfeedsync.exe" detectado por "módulo de comportamento", fui procurar na internet qual era esse arquivo infectado, pois de uma noite para outra não havia feito downloads suspeito, e descobri que se tratava de um processo do Internet Explorer 9. Fui recomendado por um site que imaginei que era confiável "https://www.solvusoft.com/pt-br/files/erro-remoção-do-vírus/exe/windows/microsoft/internet-explorer-9/msfeedssync-exe/" a utilizar um programa chamado "WinThruster" qual o site alegava que poderia resolver meu problema, já que não queria adicionar o erro do windows para o cofre de vírus do Avast. Quando terminei de baixar o arquivo o antivírus detectou o "WinThruster" como uma ameça, ignorei pensando que poderia ser uma falha já que o programa poderia mexer nos registros do meu Sistema (Windows 10, atualizado até a data do post). Após eu desistalar o "WinThruster" recebi outra notificação de ameaça "d88b6de.msi". Agora estou com dois arquivos no cofre de vírus "WinThruster.msi", "d88b6de.msi" e o "msfeedsync.exe" que não conseguiu ser movido para o cofre de vírus, ficou congelado em "movendo para o cofre de vírus" e reiniciei o computador.

 

OBS: o computador ficou ligado com o Google Chrome, com os seguintes links: "https://www.facebook.com/", "https://charges.uol.com.br/" e "https://www.youtube.com/". Os processos que ficaram abertos além dos naturais do sistema ou inicializados por ele, já conhecidos, são: Discord, Steam (estava fazendo atualização de meus jogos, "Player's Unknown Battleground", "Counter-Strike Global Offensive", "Dota 2" e "Payday 2".

FRST.txt: https://www.cjoint.com/c/HAraQgLydAF
Addition.txt: https://www.cjoint.com/c/HAraSwJXZxF
 

Cofre de Vírus.png

Envio Cofre de Vírus.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Bom Dia! Silas Pedro Alcantara _\

 

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

start
CloseProcesses:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATENÇÃO 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-c64a8af2 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-c64a8af2 
HKU\S-1-5-21-3081689280-951527789-1851304269-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-c64a8af2 
HKU\S-1-5-21-3081689280-951527789-1851304269-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.acer15.msn.com/?pc=ACTE 
SearchScopes: HKLM -> DefaultScope {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKLM -> {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKLM-x32 -> DefaultScope {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKLM-x32 -> {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-3081689280-951527789-1851304269-1001 -> DefaultScope {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-3081689280-951527789-1851304269-1001 -> {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-3081689280-951527789-1851304269-1001 -> {742D07C8-2B36-4100-9EFA-367D19F62BD8} URL = 
CHR DefaultSearchURL: Profile 1 -> hxxp://srchbar.com/?q={searchTerms} 
CHR DefaultSuggestURL: Profile 1 -> hxxp://srch.bar/?s={searchTerms} 
2018-01-12 17:46 - 2018-01-12 17:58 - 000000000 ____D C:\Users\Todos os Usuários\Solvusoft 
2018-01-12 17:46 - 2018-01-12 17:58 - 000000000 ____D C:\ProgramData\Solvusoft 
2018-01-16 07:22 - 2018-01-16 18:00 - 000000000 _____ () C:\Users\silas\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll 
2018-01-16 07:22 - 2018-01-16 18:00 - 000000017 _____ () C:\Users\silas\AppData\Local\Temp\16d4458e634c744f083498e7376dca8f.dll 
2018-01-16 22:23 - 2018-01-16 22:23 - 001864256 _____ (Oracle Corporation) C:\Users\silas\AppData\Local\Temp\jre-8u161-windows-au.exe 
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
Task: {6032447A-96FD-4929-A3C8-170B2C45AECE} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2017-09-27] (Adobe Systems Incorporated)
Task: {55030675-DC86-4A13-8E57-DF74B77A9460} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [2017-12-01] (Piriform Ltd)
ShortcutWithArgument: C:\Users\silas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
C:\Users\silas\AppData\Local\Temp\d3b07cac-38ef-47d7-ab2c-3ea9bd05f539\setup.exe
CreateRestorePoint:
EmptyTemp:
Reboot:
end

 

IsRtnte.jpg

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde! 
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool" (Fixlog.txt)
> Este e outros relatórios,podem ser encontrados na pasta: Disco Local (C) > FRST > Logs

 

434264.gif


< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[A+]

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Baixe: < ZHPCleaner > < 6LcRokv.jpg ... de Nicolas Coolman >

> Ou |Aqui!| << Mirror!


> Estando na página,clique 7ukwnm8.jpg

 

> Salve-a ao desktop! ( ZHPCleaner.exe )
> Desabilite seu antivírus e execute ZHPCleaner.exe <<

 

psizeTv.jpg

 

> Clique "Eu".

 

6MKUYyzn.jpg

 

> Clique Scanner.

 

ljOOETD.jpg

 

> Aguarde a conclusão!

 

9g2LW3p.jpg

 

> Ao concluir,clique Reparar.

 

CWxMrxRA.jpg

 

> Surgirão guias que estarão em vermelho,indicando problemas a serem reparados.
> Clique Reparar.

 

fN86PG8.jpg

 

> Ao concluir,clique Relatório!
> Poste o log de reparo: ~ Type : Reparo
 

[Abs]

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Tarde! Silas Pedro Alcantara _\

 

> Baixe: < SFT_Icon_zpsf8e1bf56.png SFTGC > ( ... de Pierre13 )

 

< Ou Aqui > << Link!

> Desabilite seu antivírus!
> Tendo dificuldades no download,utilize o navegador Internet Explorer.
> Para Windows 10,8.1 e 7,execute "SFTGC.exe" como administrador!

 

SFTGC_Go_zps151dad06.jpg

 

> Execute-o e clique "Go".
> Aguarde seu término,que é rápido.
> Poste o relatório! ( SFT.txt )
> Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

> Acesse,para esta tarefa! < Cjoint_Logo.jpg >


https://up.security-x.fr


> Ou aqui,em Up.Security-x.fr

 

[Abs]
 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, DigRam disse:

/_ Boa Tarde! Silas Pedro Alcantara _\

 

> Baixe: < SFT_Icon_zpsf8e1bf56.png SFTGC > ( ... de Pierre13 )

 

< Ou Aqui > << Link!

> Desabilite seu antivírus!
> Tendo dificuldades no download,utilize o navegador Internet Explorer.
> Para Windows 10,8.1 e 7,execute "SFTGC.exe" como administrador!

 

SFTGC_Go_zps151dad06.jpg

 

> Execute-o e clique "Go".
> Aguarde seu término,que é rápido.
> Poste o relatório! ( SFT.txt )
> Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

> Acesse,para esta tarefa! < Cjoint_Logo.jpg >

 


> Ou aqui,em Up.Security-x.fr

 

[Abs]
 

 

SFTGC.txt: https://www.cjoint.com/c/HAttQCfXF4f

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Bom Dia! Silas Pedro Alcantara _\

 

https://www.eset.com/int/home/online-scanner/

 

Acesse este link e realize verificação de diagnóstico com a Eset.

Comece clicando em SCAN NOW.

Ao concluir,poste o relatório!

 

[]s

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Tarde! Silas Pedro Alcantara _\

C:\Users\silas\Downloads\Baixaki_hwmonitor.exe	Win32/InstallCore.Gen.A potentially unwanted application	
C:\Users\silas\Downloads\uTorrent.exe	a variant of MSIL/WebCompanion.B potentially unwanted application,a variant of Win32/WebCompanion.B potentially unwanted application,a variant of MSIL/WebCompanion.A potentially unwanted application	

---

---

Baixaki_hwmonitor

uTorrent.exe

 

> Estas detecções da Eset são falso positivo,mas se você quiser deletá-las pode ir a pasta Downloads e removê-las.

 

WinThruster.msi

d88b6de.msi

msfeedsync.exe

 

> Seu Avast ainda detecta estes ficheiros? (2 do Microsoft Installer e o executável do IE)

 

[Abs]

Compartilhar este post


Link para o post
Compartilhar em outros sites
4 horas atrás, DigRam disse:

/_ Boa Tarde! Silas Pedro Alcantara _\


C:\Users\silas\Downloads\Baixaki_hwmonitor.exe	Win32/InstallCore.Gen.A potentially unwanted application	
C:\Users\silas\Downloads\uTorrent.exe	a variant of MSIL/WebCompanion.B potentially unwanted application,a variant of Win32/WebCompanion.B potentially unwanted application,a variant of MSIL/WebCompanion.A potentially unwanted application	

---

---

Baixaki_hwmonitor

uTorrent.exe

 

> Estas detecções da Eset são falso positivo,mas se você quiser deletá-las pode ir a pasta Downloads e removê-las.

 

WinThruster.msi

d88b6de.msi

msfeedsync.exe

 

> Seu Avast ainda detecta estes ficheiros? (2 do Microsoft Installer e o executável do IE)

 

[Abs]

 

Ainda estão em quarentena: 
5a6399d4c73e3_CofredeVrus2.thumb.png.1afa6c7e4b7358617587c6f445788025.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Delete os objetos .msi que estão na quarentena do Avast.

> Restaure o do IE ao seu local de origem(msfeedssync.exe),mas não o delete e envie-o ao VT.

 

> Acesse este site: < Virus Total >


> Faça a análise deste arquivo: C:\WINDOWS\System32\msfeedssync.exe

 

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalisar"

 

VKUtfNx.jpg

 

> Selecione o arquivo em seu PC e clique "Analise!"
> Ao concluir,copie e poste o
link ao relatório!
> Ps: O mesmo encontra-se na barra de endereços de seu navegador,quando abre o resultado da verificação.

 

[Abs]

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, DigRam disse:

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Delete os objetos .msi que estão na quarentena do Avast.

> Restaure o do IE ao seu local de origem(msfeedssync.exe),mas não o delete e envie-o ao VT.

 

> Acesse este site: < Virus Total >


> Faça a análise deste arquivo: C:\WINDOWS\System32\msfeedssync.exe

 

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalisar"

 

VKUtfNx.jpg

 

> Selecione o arquivo em seu PC e clique "Analise!"
> Ao concluir,copie e poste o
link ao relatório!
> Ps: O mesmo encontra-se na barra de endereços de seu navegador,quando abre o resultado da verificação.

 

[Abs]

 

Deletei os arquivos ".msi" que estavam na quarentena, mas não consegui localizar o ""msfeedssync.exe" para restauração de seu lugar de origem, pesquisei pelos arquivos do computador e encontrei ele em outras diretórias.

msfeedssync.thumb.png.086afb05c897252e5b72861f85ed973d.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Silas Pedro Alcantara _\

 

O Avast o deletou?

Se o arquivo apresentava alguma alteração,foi removido pelo mesmo.

 

https://imgur.com/hrYlsQ7

 

Busque efetuar cópia desta localização, para a pasta System32.

Escolha,segundo a imagem,arquivos localizados na x86_microsoft-windows-ie....

Basta uma cópia!

 

[]s

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
19 horas atrás, DigRam disse:

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Delete os objetos .msi que estão na quarentena do Avast.

> Restaure o do IE ao seu local de origem(msfeedssync.exe),mas não o delete e envie-o ao VT.

 

> Acesse este site: < Virus Total >


> Faça a análise deste arquivo: C:\WINDOWS\System32\msfeedssync.exe

 

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalisar"

 

VKUtfNx.jpg

 

> Selecione o arquivo em seu PC e clique "Analise!"
> Ao concluir,copie e poste o
link ao relatório!
> Ps: O mesmo encontra-se na barra de endereços de seu navegador,quando abre o resultado da verificação.

 

[Abs]


Copiei o arquivo mais antigo, conforme pedido, para a pasta System32 e analizei ele pelo VirusTotal, https://www.virustotal.com/#/file/17463211ad0f053091eacbd2ce5c36a30bd141fb827fd2ea2806beae5be2ce54/detection

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Tarde! Silas Pedro Alcantara _\

 

> A verificação online indicou estar limpo,inclusive pelo Avast.

 

wPCg2WF.jpg

 

> Mas também apontou que o mesmo não está assinado ou nos padrões exigidos.

> Talvez seja isto que o Avast detectou,onde para o msfeedssync.exe você deve estabelecer  regra de exclusão ao seu antivírus.

> Ps: Em nova verificação com seu antivírus,ele ainda o detecta?

 

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado Como o autor não respondeu por mais de 10 dias, o tópico foi arquivado. Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.