Assine:
Removendo A Versão Bagle Com Rootkit - Versão 01.
Praga que desabilita o anti-vírus.
Escrito por jgarcia em Segurança. Data: 25/02/2007
Licença: Alguns direitos reservados. Dar créditos ao autor e linkar este original
Removendo a versão Bagle com Rootkit - Versão 01.
Sintomas da Infecção:
Esta praga faz o seguinte, dentre outras coisas:
I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;
II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.
Entradas presentes no HijackThis:
PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.
Ferramenta necessária à desinfecção:
a. EliBaglA
Instruções para remoção:
1. Execute a ferramenta EliBaglA. O exame pode levar um tempo para terminar. Seja paciente.
2. Quando o exame chegar ao fim será criado um relatório em C:\infoSat.txt.
3. Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.
Obs.: Caso a máquina continue apresentando problemas, sugiro que o documento citado na linha 2. seja aberto via Bloco de Notas e uma cópia de seu conteúdo seja postada em um tópico próprio na seção Segurança.
Créditos:
À SamSpade pela proposição do Fix original.
Sintomas da Infecção:
Esta praga faz o seguinte, dentre outras coisas:
I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;
II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.
Entradas presentes no HijackThis:
QUOTE
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe
PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.
Ferramenta necessária à desinfecção:
a. EliBaglA
Instruções para remoção:
1. Execute a ferramenta EliBaglA. O exame pode levar um tempo para terminar. Seja paciente.
2. Quando o exame chegar ao fim será criado um relatório em C:\infoSat.txt.
3. Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.
Obs.: Caso a máquina continue apresentando problemas, sugiro que o documento citado na linha 2. seja aberto via Bloco de Notas e uma cópia de seu conteúdo seja postada em um tópico próprio na seção Segurança.
Créditos:
À SamSpade pela proposição do Fix original.
Mais recentes em Segurança
- Seu micro seguro em quatro lições
- Por Lucasbr - Todos os dias surgem novas formas de ataques por meio...
- Removendo a versão bagle com rootkit - versão
- Por jgarcia - A praga que desabilita o anti-vírus....
- Qual anti-virus usar?
- Por Muleke - De tantos que existem.....
- Cartilha de segurança para internet
- Por DudS - Olá pessoal, - como o título já diz, trata-se da cartilha...
- Conheça extensões de arquivo perigosas
- Por jgarcia - Conheça extensões de arquivo perigosas e evite baixá-las...
Ver mais Artigos de Segurança.
Ver e retirar outras dúvidas no fórum Webly.
Alguns Direitos Reservados | RSS | O Fórum
Webly Portal e Fóruns - Internet + Humana | Design by ArthurHenrique.com