Como remover o exmodul

Devido ao grande número de infecções, que estamos vendo nos fóruns especializados, pelo trojan backdoor IRCBot-FP, cuja principal característica é a criação de arquivos com o nome de ***exmodul*.exe**, fiz este pequeno tutorial para a remoção do malware.

O que este backdoor faz:

- desabilita anti vírus.

- acessa a internet para comunicar-se com um servidor remoto via HTTP.

- acessa sem autorização o computador infectado via IRC.

- roda processos ocultos.

Pode criar estes arquivos no diretório C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

***exmodul.*.exe**

***exhdd.*.exe**

***exssd.*.exe**

***exinjs.*.exe**

O símbolo * é uma seqüência randômica ou aleatória de números e letras.

Cria estes arquivos respectivamente nos diretórios System32 e System:

C:\WINDOWS\system32\nvsvcd.exe 

C:\WINDOWS\system\smss.exe

Atenção, pois o smss.exe é um processo legítimo quando está no diretório System32.

Cria este serviço: Windows Log

============================================================

Método de remoção:

1 - Baixe as ferramentas a serem usadas:

KillBox

/applications/core/interface/imageproxy/imageproxy.php?img=http://img158.imageshack.us/img158/106/demonstkillboxfu3.jpg&key=a624d1256d449f73fed9fa8738cd33c1f133203814c2c14c74b13c0f15350b26" alt="demonstkillboxfu3.jpg" />

CCleaner

/applications/core/interface/imageproxy/imageproxy.php?img=http://img241.imageshack.us/img241/9346/ccleanerdemonstrd2.jpg&key=7e49af78a77a48dc55ce44ff896b8ea9f30d01350433d9c338a43e3322211abb" alt="ccleanerdemonstrd2.jpg" />

HijackThis

/applications/core/interface/imageproxy/imageproxy.php?img=http://img245.imageshack.us/img245/7459/demonsththisxd8.jpg&key=db579f88c658f5c5ddffadb5a6918712b89bf05847d53d74bcebc521e5b706c6" alt="demonsththisxd8.jpg" />

2 - Rode o HijackThis e verifique se há no log estas duas entradas:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w 

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

3 - Vá em Iniciar > Executar > digite: services.msc e clique em OK.

Procure o serviço Windows Log, clique em cima com o direito e depois em Propriedades.

Pare o serviço e coloque o Tipo de Inicialização como desativado.

4 - Abra o HijackThis e clique no botão Open the Misc Tools section e depois em Delete an NT service.

Coloque isto: Windows Log

Clique em OK. Não reinicie o PC ainda.

5 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

C:\WINDOWS\system\smss.exe

Clique no botão com o X. Responda Não à pergunta.

Coloque agora:

C:\WINDOWS\system32\nvsvcd.exe

Clique no botão com o X. Desta vez, responda Sim à pergunta.

6 - Ao fazer isso o PC vai reiniciar e então, fique apertando F8 intermitentemente. No menu escolha: modo seguro (ou modo de segurança).

7 - Faça um scan com o HijackThis, marque a entrada abaixo, se ainda a encontrar e clique em Fix checked:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

8 - Feche o HijackThis e rode o CCleaner, para remover os arquivos temporários criados pelo malware.

Clique em Executar Cleaner. Aguarde o exame acabar.

9 - Reinicie o computador em modo normal. Rode o HijackThis e verifique se as duas entradas do malware não estão mais no log.

==============================================================

Seguindo corretamente estas instruções acima, o malware deverá ter sido removido.

OBSERVAÇÃO:

• Normalmente as 2 entradas estão no log, mas pode haver casos em que somente uma delas está presente. Nesse caso, só irá seguir as instruções, para remoção da que aparece.

***Se não conseguir resolver o problema seguindo este tutorial, peça ajuda no Fórum.***