Assine:
Removendo A Versão Bagle Com Rootkit - Versão 02.
A praga que desabilita o anti-vírus.
Escrito por jgarcia em Segurança. Data: 12/09/2007
Licença: Alguns direitos reservados. Dar créditos ao autor e linkar este original
Removendo a versão Bagle com Rootkit - Versão 02.
Sintomas da Infecção:
Esta praga faz o seguinte, dentre outras coisas:
I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;
II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.
Entradas presentes no HijackThis:
PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.
IMPORTANTE: Os procedimentos que abaixo seguem somente devem ser executados caso as instruções contidas neste tutorial não surtam efeito.
Ferramentas necessárias à desinfecção:
a. Killbox.
Baixe, mas não execute ainda.
b. Ferramenta de correção da Symantec.
Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.
b. CCleaner.
Baixe, mas não execute ainda.
Instruções para remoção:
Habilite o Windows para mostrar todos os arquivos (até ocultos).
1ª Etapa
1. Execute o Killbox, clique em Delete on Reboot.
2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.
C:\Documents and Settings\Administrador\Dados de aplicativos\m\flec006.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\hidr.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\m_hook.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\srosa.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidn\hidn2.exe
C:\WINDOWS\SYSTEM32\drivers\hidr.exe
C:\WINDOWS\SYSTEM32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\wintems.exe
C:\WINDOWS\SYSTEM32\hldrrr.exe
3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.
4. Aperte em "X". Responda "não" à pergunta.
2ª Etapa
Reinicie o computador em Modo Normal.
Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.
Vá em Iniciar -> Executar -> digite regedit -> dê Ok.
Navegue e delete as seguintes subchaves, se houver:
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\FIRSTRUXZX
Navegue até a seguinte subchave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
No painel à direita, delete os seguintes valores, se houver:
"drvsyskit" = "%Userprofiles%\Application Data\m\flec006.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\srosa.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"
"german.exe" = "%System%\wintems.exe"
"hldrrr" = "%System%\hldrrr.exe"
Navegue até a seguinte subchave:
HKEY_CURRENT_USER\Software\DateTime4
No painel à direita, restaure os seguintes valores originais, se necessário:
"port" = "0x5B7E"
"uid" = "[RANDOM]"
"wdrn" = "0x00000001"
Navegue até a seguinte subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.
Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.
No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.
Saia do Editor do Registro.
Localize e delete (talvez não hajam todas):
C:\Documents and Settings\%Userprofiles%\Application Data\hidires <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\hidn <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\m <- a pasta
C:\WINDOWS\system32\drivers\down <- a pasta
C:\WINDOWS\exefld <- a pasta
C:\WINDOWS\exefqd <- a pasta
:!: Atenção!
%Userprofiles% é a pasta relativa ao usuário com privilégios de Administrador, a qual varia de máquina para máquina, porém e com o intuito de facilitar o uso do Killbox, %Userprofiles% equivalerá a Administrador.
Application Data equivale a Dados de aplicativosç
Vá até a pasta C:\!Killbox e delete o conteúdo.
3ª Etapa
Reinicie em Modo Normal novamente.
Execute o CCleaner e clique em Executar Cleaner.
Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.
Obs.: Caso a máquina continue apresentando problemas, sugiro que o usuário poste um log do HijackThis em um tópico próprio na seção Segurança.
Sintomas da Infecção:
Esta praga faz o seguinte, dentre outras coisas:
I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;
II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.
Entradas presentes no HijackThis:
QUOTE
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe
PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.
IMPORTANTE: Os procedimentos que abaixo seguem somente devem ser executados caso as instruções contidas neste tutorial não surtam efeito.
Ferramentas necessárias à desinfecção:
a. Killbox.
Baixe, mas não execute ainda.
b. Ferramenta de correção da Symantec.
Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.
b. CCleaner.
Baixe, mas não execute ainda.
Instruções para remoção:
Habilite o Windows para mostrar todos os arquivos (até ocultos).
1ª Etapa
1. Execute o Killbox, clique em Delete on Reboot.
2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.
C:\Documents and Settings\Administrador\Dados de aplicativos\m\flec006.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\hidr.exe
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\m_hook.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\srosa.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\hidn\hidn2.exe
C:\WINDOWS\SYSTEM32\drivers\hidr.exe
C:\WINDOWS\SYSTEM32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\wintems.exe
C:\WINDOWS\SYSTEM32\hldrrr.exe
3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.
4. Aperte em "X". Responda "não" à pergunta.
2ª Etapa
Reinicie o computador em Modo Normal.
Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.
Vá em Iniciar -> Executar -> digite regedit -> dê Ok.
Navegue e delete as seguintes subchaves, se houver:
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\FIRSTRUXZX
Navegue até a seguinte subchave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
No painel à direita, delete os seguintes valores, se houver:
"drvsyskit" = "%Userprofiles%\Application Data\m\flec006.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidires\srosa.sys"
"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"
"german.exe" = "%System%\wintems.exe"
"hldrrr" = "%System%\hldrrr.exe"
Navegue até a seguinte subchave:
HKEY_CURRENT_USER\Software\DateTime4
No painel à direita, restaure os seguintes valores originais, se necessário:
"port" = "0x5B7E"
"uid" = "[RANDOM]"
"wdrn" = "0x00000001"
Navegue até a seguinte subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.
Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.
No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.
Saia do Editor do Registro.
Localize e delete (talvez não hajam todas):
C:\Documents and Settings\%Userprofiles%\Application Data\hidires <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\hidn <- a pasta
C:\Documents and Settings\%Userprofiles%\Application Data\m <- a pasta
C:\WINDOWS\system32\drivers\down <- a pasta
C:\WINDOWS\exefld <- a pasta
C:\WINDOWS\exefqd <- a pasta
:!: Atenção!
%Userprofiles% é a pasta relativa ao usuário com privilégios de Administrador, a qual varia de máquina para máquina, porém e com o intuito de facilitar o uso do Killbox, %Userprofiles% equivalerá a Administrador.
Application Data equivale a Dados de aplicativosç
Vá até a pasta C:\!Killbox e delete o conteúdo.
3ª Etapa
Reinicie em Modo Normal novamente.
Execute o CCleaner e clique em Executar Cleaner.
Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.
Obs.: Caso a máquina continue apresentando problemas, sugiro que o usuário poste um log do HijackThis em um tópico próprio na seção Segurança.
Mais recentes em Segurança
- Seu micro seguro em quatro lições
- Por Lucasbr - Todos os dias surgem novas formas de ataques por meio...
- Removendo a versão bagle com rootkit - versão
- Por jgarcia - A praga que desabilita o anti-vírus....
- Qual anti-virus usar?
- Por Muleke - De tantos que existem.....
- Cartilha de segurança para internet
- Por DudS - Olá pessoal, - como o título já diz, trata-se da cartilha...
- Conheça extensões de arquivo perigosas
- Por jgarcia - Conheça extensões de arquivo perigosas e evite baixá-las...
Ver mais Artigos de Segurança.
Ver e retirar outras dúvidas no fórum Webly.
Alguns Direitos Reservados | RSS | O Fórum
Webly Portal e Fóruns - Internet + Humana | Design by ArthurHenrique.com
Comentários:
kmargos disse:
Muitissimo obrigado!!!!!!Agora, como será que peguei isso ?
Quais sao as fontes de infecçao para que possa evita-las ?
Mais uma vez obrigado!!!!
kmargos disse:
Nao tenho duas contas e entro no administrador mesmo.
Abraços!!!
jgarcia disse:
Nao tenho duas contas e entro no administrador mesmo.
Abraços!!!
Crie um tópico na seção Segurança, a fim de que a situação possa ser melhor analisada.
Ver o restante dos comentários no fórum (e aproveitar pra comentar também !).