Jump to content


Photo

Removendo A Versão Bagle Com Rootkit - Versão 01.


  • Faça o login para participar
Nenhuma resposta neste tópico

#1 Mr. Xerife

Mr. Xerife

    12 Horas

  • Usuários
  • 135 posts
  • Sexo:Masculino

Posted 25/05/2008, 15:35

Removendo a versão Bagle com Rootkit - Versão 01.

Sintomas da Infecção:

Esta praga faz o seguinte, dentre outras coisas:

I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;

II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.

Entradas presentes no HijackThis:

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe


PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.

Ferramenta necessária à desinfecção:

a. EliBaglA

Instruções para remoção:


1. Execute a ferramenta EliBaglA. O exame pode levar um tempo para terminar. Seja paciente.

2. Quando o exame chegar ao fim será criado um relatório em C:\infoSat.txt.

3. Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.

Obs.: Caso a máquina continue apresentando problemas, sugiro que poste seu LOG na área de remoção de malware

--------------

Removendo a versão Bagle com Rootkit - Versão 02

Sintomas da Infecção:

Esta praga faz o seguinte, dentre outras coisas:

I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;

II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.

Entradas presentes no HijackThis:

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe


PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.

IMPORTANTE: Os procedimentos que abaixo seguem somente devem ser executados caso o 1 passo não surti efeito.

Ferramentas necessárias à desinfecção:


a.  â€¢ Killbox

Baixe, mas não execute ainda.

b. Ferramenta de correção da Symantec.

Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.

b.   â€¢ CCleaner

Baixe, mas não execute ainda.

Instruções para remoção:

Habilite o Windows para mostrar todos os arquivos (até ocultos).

1ª Etapa

1. Execute o Killbox, clique em Delete on Reboot.

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

C:\Documents and Settings\Administrador\Dados de aplicativos\m\flec006.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\hidr.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\m_hook.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\srosa.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidn\hidn2.exe
C:\WINDOWS\SYSTEM32\drivers\hidr.exe
C:\WINDOWS\SYSTEM32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\wintems.exe
C:\WINDOWS\SYSTEM32\hldrrr.exe


3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

4. Aperte em "X". Responda "não" à pergunta.

2ª Etapa

Reinicie o computador em Modo Normal.

Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.

Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

Navegue e delete as seguintes subchaves, se houver:

HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\FIRSTRUXZX


Navegue até a seguinte subchave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

No painel à direita, delete os seguintes valores, se houver:

"drvsyskit" = "%Userprofiles%\Application Data\m\flec006.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\srosa.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"
"german.exe" = "%System%\wintems.exe"
"hldrrr" = "%System%\hldrrr.exe"


Navegue até a seguinte subchave:

HKEY_CURRENT_USER\Software\DateTime4

No painel à direita, restaure os seguintes valores originais, se necessário:

"port" = "0x5B7E"
"uid" = "[RANDOM]"
"wdrn" = "0x00000001"


Navegue até a seguinte subchave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.

Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.

No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.

Saia do Editor do Registro.

Localize e delete (talvez não hajam todas):

C:\Documents and Settings\%Userprofiles%\Application Data\hidires <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\hidn <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\m <- a pasta
C:\WINDOWS\exefld <- a pasta
C:\WINDOWS\exefqd <- a pasta

:!: Atenção!

%Userprofiles% é a pasta relativa ao usuário com privilégios de Administrador, a qual varia de máquina para máquina, porém e com o intuito de facilitar o uso do Killbox, %Userprofiles% equivalerá a Administrador.

Application Data equivale a Dados de aplicativos

Vá até a pasta C:\!Killbox e delete o conteúdo.

3ª Etapa

Reinicie em Modo Normal novamente.

Execute o CCleaner e clique em Executar Cleaner.

Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.

Obs.: Caso a máquina continue apresentando problemas, sugiro que o usuário poste um log do HijackThis em um tópico próprio na seção Remoção de Malwares.

Todos Os Creditos são para o Famoso Jgarica

Edição feita por: Mr. Xerife, 25/05/2008, 15:41.





0 user(s) are reading this topic

0 membro(s), 0 visitante(s) e 0 membros anônimo(s)

IPB Skin By Virteq