MariaCristina

Especialista
  • Total de itens

    3.462
  • Registro em

  • Última visita

  • Days Won

    14

MariaCristina last won the day on 6 de fevereiro 2016

MariaCristina had the most liked content!

Reputação

28 Excellent

Sobre MariaCristina

  • Rank
    Especialista
  • Data de Nascimento 25-12-1969

Contact Methods

  • Website URL
    http://mcristinna.wordpress.com
  • ICQ
    0

Profile Information

  • Sexo
    Feminino
  • Local
    Curitiba-PR
  • Interesses
    Informática em geral, música, seriados policiais.

Últimos Visitantes

1.444 visualizações
  1. ssvc.exe

    File: FGTS-ContaInativa-SeuSaldo-22-02-2017.exe Size: 1329664 MD5: E3C12CF98707A173339B58840B909691 OBS: Todos os arquivos criados pelo trojan são uma cópia renomeada dele mesmo, conservando o mesmo tamanho e MD5. File: ssvc.exe Size: 1329664 MD5: E3C12CF98707A173339B58840B909691 File: c3390ae1a5da7c212578a91b7bd16db9.exe Size: 1329664 MD5: E3C12CF98707A173339B58840B909691 https://www.virustotal.com/pt/file/4efe6260569068689cf5c68c0c4038c33d822b19f9706725b75b00d8ce797538/analysis/1488334177/ O4 - HKLM..\Run: [c3390ae1a5da7c212578a91b7bd16db9] C:\Documents and Settings\Administrador\Dados de aplicativos\ssvc.exe () O4 - HKCU..\Run: [c3390ae1a5da7c212578a91b7bd16db9] C:\Documents and Settings\Administrador\Dados de aplicativos\ssvc.exe () O4 - Startup: C:\Documents and Settings\Administrador\Menu Iniciar\Programas\Inicializar\c3390ae1a5da7c212578a91b7bd16db9.exe () [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Administrador\Dados de aplicativos\ssvc.exe" = C:\Documents and Settings\Administrador\Dados de aplicativos\ssvc.exe:*:Enabled:ssvc.exe -- () HKEY_USERS\S-1-5-21-789336058-813497703-854245398-500\Environment (+)(REG VAL) SEE_MASK_NOZONECHECKS = REG_SZ, "1" Bankerfix: removerá os arquivos após a próxima atualização das vacinas.
  2. Tente este fix: http://www.thewindowsclub.com/fix-unable-to-open-exe-lnk-files-windows-7
  3. Foram estas instruções que você seguiu? https://support.microsoft.com/en-us/kb/2688326 Se sim, observe que o Editor do Registro do Windows (regedit) tem uma sintaxe apropriada. Isto é: se você digitar um espaço onde não deve, os dados não serão reconhecidos. Você tem certeza de que os dados foram digitados corretamente? Por via das dúvidas, execute o fix indicado naquele link logo acima (site da Microsoft) e poste aqui se deu certo.
  4. Olá, Morfeu 777. Bem-vindo à Linha Defensiva. Qual é o seu Sistema Operacional? Este problema ocorre somente com o BankerFix ou com qualquer arquivo com extensão .exe?
  5. Olá, flaviokopp Vá até a pasta C:\windows\system32 e verifique se o arquivo cmd.exe está presente.
  6. *Arquivo: File: VOICE646-821-0089_pdf.exe Size: 23040 MD5: 2FD8ECAF45247ED529BD645688690DEB Resultado Scan VirusTotal/Jotti https://www.virustotal.com/pt/file/16059ea13dfca66db623af09f53f80cc5aa553888e600f35408412cebc3016bf/analysis/1419828136/ *Arquivos/ chaves geradas na infecção: C:\WINDOWS\AnURPLiWQpijewq.exe File: AnURPLiWQpijewq.exe Size: 462848 MD5: DB51948FECF9421EE581623FC60033B5 C:\WINDOWS\AnURPLiWQpijewq.INI C:\WINDOWS\nmhry.INI 0 Kb HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\googleupdate "Type" = 16 "Start" = 2 "ErrorControl" = 1 "ImagePath" = C:\WINDOWS\AnURPLiWQpijewq.exe "DisplayName" = Google Update Service "ObjectName" = LocalSystem HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders "AppData" = C:\WINDOWS\system32\config\systemprofile\Dados de aplicativos "Cookies" = C:\WINDOWS\system32\config\systemprofile\Cookies "Cache" = C:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files "History" = C:\WINDOWS\system32\config\systemprofile\Configurações locais\Histórico * Fontes/ Links para serem reportados: * Link informado no tópico: [URL=http://www.linhadefensiva.org/safe-link.php?url=http%3A%2F%2Fthelearninglounge.com.au%2Fdropbox%2Fvoicemail.php]http://thelearninglounge.com.au/dropbox/voicemail.php[/URL] * Direcionamento para * Downloader baixa executável(is) do endereço: [URL=http://www.linhadefensiva.org/safe-link.php?url=http%3A%2F%2F94.23.62.185%3A34083%2F0611uk1%2FMICRO%2F0%2F51-SP3%2F0%2F]http://94.23.62.185:34083/0611uk1/MICRO/0/51-SP3/0/[/URL] [URL=http://www.linhadefensiva.org/safe-link.php?url=http%3A%2F%2Fartgallant.com%2Fmaillist%2Fhelp%2Fthreeuk1.pdf]http://artgallant.com/maillist/help/threeuk1.pdf[/URL] [URL=http://www.linhadefensiva.org/safe-link.php?url=http%3A%2F%2F40391.sites.myregisteredsite.com%2Fpdf%2Flettres%2Fthreeuk1.pdf]http://40391.sites.myregisteredsite.com/pdf/lettres/threeuk1.pdf[/URL] * Bankerfix: Arquivos não removidos. Reportado. - Fim da análise -
  7. Eu não usaria de forma alguma e sempre sugiro (mas não removo) a sua desinstalação, porque ele usa um método agressivo de instalação e também exibe propagandas pra outros softwares. São duas características inapropriadas para um software de proteção idôneo. Por método agressivo de instalação, eu me refiro ao fato de sua instalação ser oferecida durante a instalação de outro software, na maioria das vezes não relacionado à segurança, e com a caixinha já marcada por padrão. É como se eles estivessem se aproveitando da pressa e distração das pessoas. Essa é minha opinião pessoal e não necessariamente reflete a opinião da Linha Defensiva.
  8. JuanHB Se quiser conferir a nossa análise: http://www.linhadefensiva.org/forum/topic/152965-c8l-5216b347344ae/ Sempre que você receber um e-mail suspeito, por favor, encaminhe para o ARIS-LD.
  9. * Arquivo: File: install_flashplayer11x32_aih_wxn0813.exe Size: 512000 MD5: FFBEB24F4C47C5EE689522F968097D32 Resultado Scan VirusTotal/Jotti 21/46 Análise das Strings de Memória: http://200.253.183.141/package/eln.php bancodobrasil.com.br www.bradesco.com.br bradescoprime.com.br www.caixa.gov.br www.banese.com.br www.serasa.com.br *itauuniclass.* *caixa.com.br* *linhadef* JSProxy cef.com.br *aapj.bb.com* aapj.bb.com itauuniclass. itau.com.br hsbc.com.br bb.com.br *Arquivos/ chaves geradas na infecção:No Windows XP: O4 - HKCU\..\Policies\Explorer\Run: [securityWIN64] Wscript.exe "C:\Documents and Settings\Administrador\Dados de aplicativos\windows.vbs" C:\Documents and Settings\All Users\pckt.tmp No Windows 7 x86: FF - prefs.js..network.proxy.autoconfig_url: "file:///C:\ProgramData\ppctrl.dat" FF - prefs.js..network.proxy.type: 2 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = file://C:\ProgramData\ppctrl.dat [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3B402532-030E-4C1C-BF4F-2AAAB7180F47}] "Path" = \Tasker "Hash" = 46 90 A4 34 38 EC 89 85 51 66 31 38 67 86 46 2E A6 55 C0 D4 B5 CA D2 37 B1 51 F0 CC 0E B7 F3 27 [binary data] "Triggers" = [binary data over 100 bytes] "DynamicInfo" = 03 00 00 00 70 14 85 EC BB A1 CE 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 [binary data] [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Tasker] "Id" = {3B402532-030E-4C1C-BF4F-2AAAB7180F47} "Index" = 2 [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Connection Settings" = 1 C:\ProgramData\pckt.tmp File: pckt.tmp Size: 23261 MD5: 3CA5EEA80E360634A1870F9EC7B3FCE1 ** Cópia do arquivo windows.vbs ** C:\ProgramData\98 File: 98 Size: 4 MD5: 6FA15CB635D61101C5C1FD0D3DA7BCBE C:\ProgramData\0 0 bytes C:\ProgramData\ppctrl.dat File: ppctrl.dat Size: 2006 MD5: 417F0D3923E397BBB5089EFB7DF9E793 VT: 1/46 %appdata%\windows.vbs File: windows.vbs Size: 23261 MD5: 3CA5EEA80E360634A1870F9EC7B3FCE1 VT: 4/40 C:\Windows\System32\Tasks\Tasker File: windows.vbs Size: 23261 MD5: 3CA5EEA80E360634A1870F9EC7B3FCE1 *Detalhes da infecção: Configura os navegadores para usarem um script de proxy, que está no arquivo C:\ProgramData\ppctrl.dat: O script está obfuscado com CharCode, mas depois de traduzido percebem-se URLs de bancos brasileiros e o direcionamento de qualquer URL que contenha "linhadef" para 127.0.0.1: Deleta tarefas agendadas do Windows Defender e cria uma nova tarefa agendada chamada Tasker, apontando para o instalador do proxy: O instalador do proxy é um script localizado em %appdata%\windows.vbs: * Fontes/ Links para serem reportados: * Link informado no tópico: https://imo.im/fd/G/OB19g6s6ne/install_flashplayer11x32_aih_wxn0813.exe * Downloader baixa executável(is) do endereço: http://www.suburgatorybr.com/bisdtpck.txt http://www.suburgatorybr.com/bit/a.php?a=check http://www.suburgatorybr.com/bisupdpck.txt Tabela de infects: http://200.253.183.141/comphp.php?tipo=alivei&cliente * Bankerfix: Removerá os arquivos após a próxima atualização. - Fim da análise -
  10. Já recebemos sim e agradecemos pela sua colaboração!
  11. Olá, JuanHB. Bem-vindo à Linha Defensiva. Você ainda tem o instalador desse banker ou sabe a URL da onde ele foi baixado? Gostaria que você o enviasse para o ARIS-LD: avs@linhadefensiva.org No campo "assunto" do e-mail, coloque a ID deste tópico : 152800 Siga também as instruções do Breaker. Obrigada!
  12. Sim, bem lembrado. Enquanto o processo malicioso estiver residente na memória, qualquer alteração feita nas Opções de Pasta ou nos atributos das pastas/arquivos será desfeita pelo malware em seguida. Malwares mais avançados escalam privilégios para conseguirem permissões de administrador. A boa notícia é que eles são minoria, portanto ainda vale muito a pena usar uma conta de usuário limitado no dia a dia, protegendo todas as contas com uma senha forte e diferentes umas das outras. Vale ressaltar que ainda assim o sistema pode ser infectado, porém a infecção ficaria restrita àquela conta. Nesses casos, para remover o malware basta criar outra conta e remover a conta problemática (sem fazer backup de arquivos e configurações).
  13. * Arquivo: File: 75a47.js Size: 47170 MD5: 05541FE2BD9C592843BA55AF617578FC Resultado Scan VirusTotal/Jotti 9/46 Análise das Strings de Memória: MuTexXx @gmail.com Senha Cartao Senha de Acesso Senha Eletrônica Senha do Auto-Atendimento Senha de 4 Digitos senha de oito Senha da internet Cartão de Débito gsmtp185.google.com Internet Banking Feito Para Você mercantildobrasil.com.br bancobrasil.com itau.com.br unibanco.com bancoreal.com.br caixa.gov.br Banco Real Caixa Econômica sicredi.com.br internetcaixa bb.com.br unibanco realinternet UNIBANCO.COM BB.COM.BR real.com.br Santander Chave de Segurança Senha de 6 dígitos Assinatura eletrônica Tabela de Senhas Titular conta Senha da Conta Senha 4 dig Senha da Central de Atendimento BB Conta CAIXA F numeroContratoOrigem dependenciaOrigem senhaInternet Senha Conta iToken dados de sua conta senhaConta Cooperativa SICREDI Superlinha Sicredi Total Internet Campo assinatura deve ter 6 Senha de Auto-Atendimento bntlimpa_onclick 0800 286 1199 www.bvleo.blogger.com.br/logs/atuando.php www.bvleo.blogger.com.br/logs/info.php www.bvleo.blogger.com.br/logs/ok.php Banco Santander Empresarial Teclado virtual identificação do usuário banese: 0800 284 3218|15 x-coder-x@hotmail.com *Arquivos/ chaves geradas na infecção:O4 - HKCU..\Run: [9a72] C:\Documents and Settings\Administrador\Dados de aplicativos\8c64\9a72.js () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NofolderOptions = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=1 "AntiVirusOverride"=1 "FirewallDisableNotify"=1 "FirewallOverride"=1 "UpdatesDisableNotify"=1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusDisableNotify"=1 "FirewallDisableNotify"=1 "FirewallOverride"=1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] "DisableCMD"=1 "DisableRegistryTools"=1 "DisableTaskMgr"=1 "NoDispCPL"=1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] "SystemRestoreDisableSR"=1 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=1 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT] "DontReportInfectionInformation"=1 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "HideFileExt"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "MigrateProxy"=0 "ProxyEnable"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoControlPanel"=1 "NofolderOptions"=1 "NoWindowsUpdate"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "ParseAutoexec"=0 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=1 Pastas cujo conteúdo são vários arquivos sem extensão: C:\8d9f C:\Arquivos de programas\936 C:\Documents and Settings\Administrador\Dados de aplicativos\8c64\9a72.js **Cópia do downloader** *Detalhes da infecção: Oculta o conteúdo de mídias removíveis e cria atalhos com os mesmos nomes. Os atalhos apontam para um arquivo JS oculto na mídia: Exemplo retirado de um dos atalhos criados pela infecção: C:\WINDOWS\system32\cmd.exe /c start wscript.exe 8c64\9a72.js &Start Explorer.exe "**nome-de-uma-pasta-pessoal-no-pendrive**" * Fontes/ Links para serem reportados: * Downloader baixa executável(is) do endereço: http://etpsoprc.ru/a/ http://etpsoprc.ru/u/ http://etpsoprc.ru/k/ Faz um post em: http://www.google.com/loc/json {"version":"1.1.0","request_address":true} - Fim da análise -
  14. 1 - Esse tipo de rootkit não está associado a worms (tipo de malware que infecta pendrives, etc, etc). E se acontecer de você infectar o pendrive com algum worm, a remoção é bem mais simples e podemos fazer isso depois, se for o caso. 2 - Não. Se o SO for danificado, dificilmente haverá chances de recuperá-lo. Você precisará formatar e reinstalar o SO (por isso avisei sobre os backups). Eu mesma nunca lidei com um caso assim. A grande maioria das pessoas prefere formatar, quando eu informo sobre a infecção. Conheço o procedimento porque o método para remoção desse rootkit é muito debatido dentro da comunidade de analistas. Eu só lidei com ele em máquinas virtuais, laboratórios para testes, etc. Nos meus testes, sempre correu tudo certinho e não tive problemas. Porém, por conhecer o passo a passo, eu realizei tudo corretamente. Uma pessoa inexperiente pode ter dúvidas e acabar não acertando fazer. Esse sim, é o maior risco.
  15. Olá, SERPA Para finalizar: Selecione estas linhas em vermelho, clique com o direito sobre a seleção e escolha a opção copiar: :Commands [clearallrestorepoints] [emptytemp] [emptyflash] Execute o OTL.exe ** Usuários do Windows Vista e Windows 7: Clique com o direito sobre o arquivo, depois clique em Executar como administrador Clique com o direito em qualquer parte branca, da sessão Exames Personalizados/Correções e escolha a opção colar Feche TODAS as janelas (exceto o próprio OTL). Clique no botão O programa executará o script e reiniciará o seu computador. Quando o Windows for carregado, o OTL será executado automaticamente. Permita a sua execução. Um bloco de notas será aberto, contendo algumas informações. Feche o bloco de notas e OTL. Execute o OTL.exe novamente. Clique no botão . Permita que seu computador seja reiniciado. Atualize o Java. Versões antigas têm vunerabilidades que alguns malwares podem usar para infectar seu sistema.Faça download da última versão do Java SE Runtime Environment (JRE) 7u25 Acesse esta página: http://java.com/pt_BR/download/manual.jsp Clique em Windows Off-line (32bits) depois clique em um dos links para download. Se o seu Windows for 64 bits, baixe os dois. Salve no seu desktop. Feche qualquer programa que esteja executando, especialmente navegadores. Vá em Iniciar > Painel de Controle duplo clique em Adicionar ou Remover Programas e remova todas as versões antigas do Java. Exemplos de versões antigas Java 2 Runtime Environment, SE v1.4.2 J2SE Runtime Environment 5.0 J2SE Runtime Environment 5.0 Update 6 Selecione qualquer item com nome Java Runtime Environment (JRE ou J2SE). Clique no botão Remover ou Alterar/Remover. Repita quantas vezes for necessária para remover cada versão do Java. Reincie seu computador uma vez que todas as versões do Java tenham sido removidas. Agora vá no seu desktop e execute o arquivo que você acabou de baixar. Basta seguir os prompts. . Atualize o Adobe Reader. Versões antigas têm vulnerabilidades que são exploradas por malwares. Clique aqui e instale a mais nova versão. Mantenha o Flash Player atualizado. Versões antigas também têm vulnerabilidades que são exploradas por malwares. Clique aqui e instale a mais nova versão. Worms USB: Este tipo de malware explora um recurso nativo do Windows chamado Autorun, ou Autoplay (é aquele assistente que aparece quando você insere um cd ou pendrive, perguntando com qual programa você deseja abri-lo). O Autoplay precisa de um arquivo chamado autorun.inf para funcionar. Há duas coisas que você pode fazer para diminuir o risco de ter o seu computador infectado por esse tipo de malware: 1 - Desabilite o Autorun: Windows XP: http://www.microsoft.com/downloads/details.aspx?FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74&displayLang=pt-br Windows Vista e 7: Painel de Controle > Hardware e Sons > Reprodução Automática > No alto da janela, desmarque a opção Usar Reprodução Automática em todas as mídias e dispositivos. Clique no botão Salvar, localizado no rodapé da janela. 2 - Mantenha um cópia limpa e protegida do arquivo autorun.inf em todos os dispositivos removíveis e em todas as unidades do sistema. Deste modo, se acaso você plugar o seu pendrive em algum pc infectado, o malware não vai conseguir sobreescrever o arquivo pré-existente. Mas ainda assim ele poderá copiar seus executáveis maliciosos para o pendrive, tais como .EXE, .SCR, .CMD, .PIF, .BAT, .COM. Se você plugar este pendrive em uma máquina limpa e executar algum desses arquivos maliciosos, esse sistema será infectado da mesma forma. Portanto, tenha cuidado e use o bom senso. Para criar um arquivo autorun.inf protegido no Windows XP: Faça o download do Flash_Disinfector.exe e salve na sua área de trabalho. Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário, EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar" Execute o Flash_Disinfector.exe. Vá seguindo os prompts que poderão aparecer. Espere até que o programa conclua a busca e depois saia do programa.Para Windows Vista e 7: http://research.pandasecurity.com/panda-usb-and-autorun-vaccine/ Para manutenção de sistema, remoção de arquivos temporários e inválidos, baixe TFC, by OldTimer. Feche TODOS os programas e execute o TFC. Clique no botão Start e aguarde. Sua área de trabalho irá desaparecer, não se preocupe, isso faz parte do processo. Tenha paciência, conforme a quantidade de dados a serem excluídos, o processo pode demorar mais de 2 minutos. Quando terminar, você será solicitado a reiniciar seu computador. REINICIE. Caso não lhe seja solicitado, reinicie manualmente. Visite o Windows Update regularmente e verifique por atualizações. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado. Aprenda alguns cuidados e dicas para manter seu computador limpo. Leia o artigo Proteja seu pc: http://linhadefensiva.org/artigos/proteja-seu-pc/ Se não há mais nenhum problema relacionado a malwares, clique no botão e peça para fecharem seu tópico. Se você tiver alguma dúvida relacionada a informática e tecnologia e/ou quiser ajudar outros usuários, sinta-se à vontade para postar em qualquer área do forum Linha Defensiva, exceto na área Remoção de Malware. Se você quiser aprender a analisar logs, clique aqui e veja como se inscrever no Grupo de Aprendizes.