Sintomas da Infecção:
Esta praga faz o seguinte, dentre outras coisas:
I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;
II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.
Entradas presentes no HijackThis:
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe
PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.
Ferramenta necessária à desinfecção:
a. EliBaglA
Instruções para remoção:
1. Execute a ferramenta EliBaglA. O exame pode levar um tempo para terminar. Seja paciente.
2. Quando o exame chegar ao fim será criado um relatório em C:\infoSat.txt.
3. Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.
Obs.: Caso a máquina continue apresentando problemas, sugiro que poste seu LOG na área de remoção de malware
--------------
Removendo a versão Bagle com Rootkit - Versão 02
Sintomas da Infecção:
Esta praga faz o seguinte, dentre outras coisas:
I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;
II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.
Entradas presentes no HijackThis:
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe
PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.
IMPORTANTE: Os procedimentos que abaixo seguem somente devem ser executados caso o 1 passo não surti efeito.
Ferramentas necessárias à desinfecção:
a. • Killbox
Baixe, mas não execute ainda.
b. Ferramenta de correção da Symantec.
Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.
b. • CCleaner
Baixe, mas não execute ainda.
Instruções para remoção:
Habilite o Windows para mostrar todos os arquivos (até ocultos).
1ª Etapa
1. Execute o Killbox, clique em Delete on Reboot.
2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.
C:\Documents and Settings\Administrador\Dados de aplicativos\m\flec006.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\hidr.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\m_hook.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\srosa.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidn\hidn2.exe
C:\WINDOWS\SYSTEM32\drivers\hidr.exe
C:\WINDOWS\SYSTEM32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\wintems.exe
C:\WINDOWS\SYSTEM32\hldrrr.exe
3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.
4. Aperte em "X". Responda "não" à pergunta.
2ª Etapa
Reinicie o computador em Modo Normal.
Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.
Vá em Iniciar -> Executar -> digite regedit -> dê Ok.
Navegue e delete as seguintes subchaves, se houver:
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\FIRSTRUXZX
Navegue até a seguinte subchave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
No painel à direita, delete os seguintes valores, se houver:
"drvsyskit" = "%Userprofiles%\Application Data\m\flec006.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\srosa.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"
"german.exe" = "%System%\wintems.exe"
"hldrrr" = "%System%\hldrrr.exe"
Navegue até a seguinte subchave:
HKEY_CURRENT_USER\Software\DateTime4
No painel à direita, restaure os seguintes valores originais, se necessário:
"port" = "0x5B7E"
"uid" = "[RANDOM]"
"wdrn" = "0x00000001"
Navegue até a seguinte subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.
Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.
No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.
Saia do Editor do Registro.
Localize e delete (talvez não hajam todas):
C:\Documents and Settings\%Userprofiles%\Application Data\hidires <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\hidn <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\m <- a pasta
C:\WINDOWS\exefld <- a pasta
C:\WINDOWS\exefqd <- a pasta
:!: Atenção!
%Userprofiles% é a pasta relativa ao usuário com privilégios de Administrador, a qual varia de máquina para máquina, porém e com o intuito de facilitar o uso do Killbox, %Userprofiles% equivalerá a Administrador.
Application Data equivale a Dados de aplicativos
Vá até a pasta C:\!Killbox e delete o conteúdo.
3ª Etapa
Reinicie em Modo Normal novamente.
Execute o CCleaner e clique em Executar Cleaner.
Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.
Obs.: Caso a máquina continue apresentando problemas, sugiro que o usuário poste um log do HijackThis em um tópico próprio na seção Remoção de Malwares.
Todos Os Creditos são para o Famoso Jgarica
Edição feita por: Mr. Xerife, 25/05/2008, 15:41.