Ir para conteúdo
Silas Pedro Alcantara

Computador Infectado, a procura da solução

Recommended Posts

Olá tudo bem? Necessito de auxílio para a solução de uma infecção por vírus.

 

Estava usando meu computador no dia anterior a infecção e quando retornei para utilizá-lo novamente o Avast Free Antivirus detectou e bloqueou uma ameaça "msfeedsync.exe" detectado por "módulo de comportamento", fui procurar na internet qual era esse arquivo infectado, pois de uma noite para outra não havia feito downloads suspeito, e descobri que se tratava de um processo do Internet Explorer 9. Fui recomendado por um site que imaginei que era confiável "https://www.solvusoft.com/pt-br/files/erro-remoção-do-vírus/exe/windows/microsoft/internet-explorer-9/msfeedssync-exe/" a utilizar um programa chamado "WinThruster" qual o site alegava que poderia resolver meu problema, já que não queria adicionar o erro do windows para o cofre de vírus do Avast. Quando terminei de baixar o arquivo o antivírus detectou o "WinThruster" como uma ameça, ignorei pensando que poderia ser uma falha já que o programa poderia mexer nos registros do meu Sistema (Windows 10, atualizado até a data do post). Após eu desistalar o "WinThruster" recebi outra notificação de ameaça "d88b6de.msi". Agora estou com dois arquivos no cofre de vírus "WinThruster.msi", "d88b6de.msi" e o "msfeedsync.exe" que não conseguiu ser movido para o cofre de vírus, ficou congelado em "movendo para o cofre de vírus" e reiniciei o computador.

 

OBS: o computador ficou ligado com o Google Chrome, com os seguintes links: "https://www.facebook.com/", "https://charges.uol.com.br/" e "https://www.youtube.com/". Os processos que ficaram abertos além dos naturais do sistema ou inicializados por ele, já conhecidos, são: Discord, Steam (estava fazendo atualização de meus jogos, "Player's Unknown Battleground", "Counter-Strike Global Offensive", "Dota 2" e "Payday 2".

FRST.txt: https://www.cjoint.com/c/HAraQgLydAF
Addition.txt: https://www.cjoint.com/c/HAraSwJXZxF
 

Cofre de Vírus.png

Envio Cofre de Vírus.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Bom Dia! Silas Pedro Alcantara _\

 

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto ou Unicode,caso solicite!
> Salve-as ao desktop! ( Área de trabalho ... )

 

start
CloseProcesses:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATENÇÃO 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-c64a8af2 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-c64a8af2 
HKU\S-1-5-21-3081689280-951527789-1851304269-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-c64a8af2 
HKU\S-1-5-21-3081689280-951527789-1851304269-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.acer15.msn.com/?pc=ACTE 
SearchScopes: HKLM -> DefaultScope {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKLM -> {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKLM-x32 -> DefaultScope {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKLM-x32 -> {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-3081689280-951527789-1851304269-1001 -> DefaultScope {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-3081689280-951527789-1851304269-1001 -> {6D54E672-804F-4267-AF36-864966A3F367} URL = hxxps://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-c64a8af2&q={searchTerms} 
SearchScopes: HKU\S-1-5-21-3081689280-951527789-1851304269-1001 -> {742D07C8-2B36-4100-9EFA-367D19F62BD8} URL = 
CHR DefaultSearchURL: Profile 1 -> hxxp://srchbar.com/?q={searchTerms} 
CHR DefaultSuggestURL: Profile 1 -> hxxp://srch.bar/?s={searchTerms} 
2018-01-12 17:46 - 2018-01-12 17:58 - 000000000 ____D C:\Users\Todos os Usuários\Solvusoft 
2018-01-12 17:46 - 2018-01-12 17:58 - 000000000 ____D C:\ProgramData\Solvusoft 
2018-01-16 07:22 - 2018-01-16 18:00 - 000000000 _____ () C:\Users\silas\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll 
2018-01-16 07:22 - 2018-01-16 18:00 - 000000017 _____ () C:\Users\silas\AppData\Local\Temp\16d4458e634c744f083498e7376dca8f.dll 
2018-01-16 22:23 - 2018-01-16 22:23 - 001864256 _____ (Oracle Corporation) C:\Users\silas\AppData\Local\Temp\jre-8u161-windows-au.exe 
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
Task: {6032447A-96FD-4929-A3C8-170B2C45AECE} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2017-09-27] (Adobe Systems Incorporated)
Task: {55030675-DC86-4A13-8E57-DF74B77A9460} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [2017-12-01] (Piriform Ltd)
ShortcutWithArgument: C:\Users\silas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
C:\Users\silas\AppData\Local\Temp\d3b07cac-38ef-47d7-ab2c-3ea9bd05f539\setup.exe
CreateRestorePoint:
EmptyTemp:
Reboot:
end

 

IsRtnte.jpg

 

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde! 
> Poste o relatório "Resultado da Correção pela Farbar Recovery Scan Tool" (Fixlog.txt)
> Este e outros relatórios,podem ser encontrados na pasta: Disco Local (C) > FRST > Logs

 

434264.gif


< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

 

[A+]

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Baixe: < ZHPCleaner > < 6LcRokv.jpg ... de Nicolas Coolman >

> Ou |Aqui!| << Mirror!


> Estando na página,clique 7ukwnm8.jpg

 

> Salve-a ao desktop! ( ZHPCleaner.exe )
> Desabilite seu antivírus e execute ZHPCleaner.exe <<

 

psizeTv.jpg

 

> Clique "Eu".

 

6MKUYyzn.jpg

 

> Clique Scanner.

 

ljOOETD.jpg

 

> Aguarde a conclusão!

 

9g2LW3p.jpg

 

> Ao concluir,clique Reparar.

 

CWxMrxRA.jpg

 

> Surgirão guias que estarão em vermelho,indicando problemas a serem reparados.
> Clique Reparar.

 

fN86PG8.jpg

 

> Ao concluir,clique Relatório!
> Poste o log de reparo: ~ Type : Reparo
 

[Abs]

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Tarde! Silas Pedro Alcantara _\

 

> Baixe: < SFT_Icon_zpsf8e1bf56.png SFTGC > ( ... de Pierre13 )

 

< Ou Aqui > << Link!

> Desabilite seu antivírus!
> Tendo dificuldades no download,utilize o navegador Internet Explorer.
> Para Windows 10,8.1 e 7,execute "SFTGC.exe" como administrador!

 

SFTGC_Go_zps151dad06.jpg

 

> Execute-o e clique "Go".
> Aguarde seu término,que é rápido.
> Poste o relatório! ( SFT.txt )
> Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

> Acesse,para esta tarefa! < Cjoint_Logo.jpg >


https://up.security-x.fr


> Ou aqui,em Up.Security-x.fr

 

[Abs]
 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, DigRam disse:

/_ Boa Tarde! Silas Pedro Alcantara _\

 

> Baixe: < SFT_Icon_zpsf8e1bf56.png SFTGC > ( ... de Pierre13 )

 

< Ou Aqui > << Link!

> Desabilite seu antivírus!
> Tendo dificuldades no download,utilize o navegador Internet Explorer.
> Para Windows 10,8.1 e 7,execute "SFTGC.exe" como administrador!

 

SFTGC_Go_zps151dad06.jpg

 

> Execute-o e clique "Go".
> Aguarde seu término,que é rápido.
> Poste o relatório! ( SFT.txt )
> Ps: De acordo com o tamanho do relatório,não poste-o diretamente!

> Acesse,para esta tarefa! < Cjoint_Logo.jpg >

 


> Ou aqui,em Up.Security-x.fr

 

[Abs]
 

 

SFTGC.txt: https://www.cjoint.com/c/HAttQCfXF4f

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Bom Dia! Silas Pedro Alcantara _\

 

https://www.eset.com/int/home/online-scanner/

 

Acesse este link e realize verificação de diagnóstico com a Eset.

Comece clicando em SCAN NOW.

Ao concluir,poste o relatório!

 

[]s

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Tarde! Silas Pedro Alcantara _\

C:\Users\silas\Downloads\Baixaki_hwmonitor.exe	Win32/InstallCore.Gen.A potentially unwanted application	
C:\Users\silas\Downloads\uTorrent.exe	a variant of MSIL/WebCompanion.B potentially unwanted application,a variant of Win32/WebCompanion.B potentially unwanted application,a variant of MSIL/WebCompanion.A potentially unwanted application	

---

---

Baixaki_hwmonitor

uTorrent.exe

 

> Estas detecções da Eset são falso positivo,mas se você quiser deletá-las pode ir a pasta Downloads e removê-las.

 

WinThruster.msi

d88b6de.msi

msfeedsync.exe

 

> Seu Avast ainda detecta estes ficheiros? (2 do Microsoft Installer e o executável do IE)

 

[Abs]

Compartilhar este post


Link para o post
Compartilhar em outros sites
4 horas atrás, DigRam disse:

/_ Boa Tarde! Silas Pedro Alcantara _\


C:\Users\silas\Downloads\Baixaki_hwmonitor.exe	Win32/InstallCore.Gen.A potentially unwanted application	
C:\Users\silas\Downloads\uTorrent.exe	a variant of MSIL/WebCompanion.B potentially unwanted application,a variant of Win32/WebCompanion.B potentially unwanted application,a variant of MSIL/WebCompanion.A potentially unwanted application	

---

---

Baixaki_hwmonitor

uTorrent.exe

 

> Estas detecções da Eset são falso positivo,mas se você quiser deletá-las pode ir a pasta Downloads e removê-las.

 

WinThruster.msi

d88b6de.msi

msfeedsync.exe

 

> Seu Avast ainda detecta estes ficheiros? (2 do Microsoft Installer e o executável do IE)

 

[Abs]

 

Ainda estão em quarentena: 
5a6399d4c73e3_CofredeVrus2.thumb.png.1afa6c7e4b7358617587c6f445788025.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Delete os objetos .msi que estão na quarentena do Avast.

> Restaure o do IE ao seu local de origem(msfeedssync.exe),mas não o delete e envie-o ao VT.

 

> Acesse este site: < Virus Total >


> Faça a análise deste arquivo: C:\WINDOWS\System32\msfeedssync.exe

 

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalisar"

 

VKUtfNx.jpg

 

> Selecione o arquivo em seu PC e clique "Analise!"
> Ao concluir,copie e poste o
link ao relatório!
> Ps: O mesmo encontra-se na barra de endereços de seu navegador,quando abre o resultado da verificação.

 

[Abs]

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, DigRam disse:

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Delete os objetos .msi que estão na quarentena do Avast.

> Restaure o do IE ao seu local de origem(msfeedssync.exe),mas não o delete e envie-o ao VT.

 

> Acesse este site: < Virus Total >


> Faça a análise deste arquivo: C:\WINDOWS\System32\msfeedssync.exe

 

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalisar"

 

VKUtfNx.jpg

 

> Selecione o arquivo em seu PC e clique "Analise!"
> Ao concluir,copie e poste o
link ao relatório!
> Ps: O mesmo encontra-se na barra de endereços de seu navegador,quando abre o resultado da verificação.

 

[Abs]

 

Deletei os arquivos ".msi" que estavam na quarentena, mas não consegui localizar o ""msfeedssync.exe" para restauração de seu lugar de origem, pesquisei pelos arquivos do computador e encontrei ele em outras diretórias.

msfeedssync.thumb.png.086afb05c897252e5b72861f85ed973d.png

Compartilhar este post


Link para o post
Compartilhar em outros sites

/_ Boa Noite! Silas Pedro Alcantara _\

 

O Avast o deletou?

Se o arquivo apresentava alguma alteração,foi removido pelo mesmo.

 

https://imgur.com/hrYlsQ7

 

Busque efetuar cópia desta localização, para a pasta System32.

Escolha,segundo a imagem,arquivos localizados na x86_microsoft-windows-ie....

Basta uma cópia!

 

[]s

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
19 horas atrás, DigRam disse:

/_ Boa Noite! Silas Pedro Alcantara _\

 

> Delete os objetos .msi que estão na quarentena do Avast.

> Restaure o do IE ao seu local de origem(msfeedssync.exe),mas não o delete e envie-o ao VT.

 

> Acesse este site: < Virus Total >


> Faça a análise deste arquivo: C:\WINDOWS\System32\msfeedssync.exe

 

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalisar"

 

VKUtfNx.jpg

 

> Selecione o arquivo em seu PC e clique "Analise!"
> Ao concluir,copie e poste o
link ao relatório!
> Ps: O mesmo encontra-se na barra de endereços de seu navegador,quando abre o resultado da verificação.

 

[Abs]


Copiei o arquivo mais antigo, conforme pedido, para a pasta System32 e analizei ele pelo VirusTotal, https://www.virustotal.com/#/file/17463211ad0f053091eacbd2ce5c36a30bd141fb827fd2ea2806beae5be2ce54/detection

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora


×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

Este projeto é mantido e patrocinado pelas empresas:
Hospedado por: