Removendo o NinjaSpy

[The Darkness 0]

Removendo o NinjaSpy.

 

SINTOMAS:

- Consumo extra de memória RAM;

- O computador fica impedido de ser desligado, reiniciado ou de efetuar o logoff.

 

CONSEQUÊNCIAS:

- Controle da “máquina” por terceiros (Remote Control - por hackers).

 

O Kernel32.bat faz parte de um Trojan chamado NinjaSpy.

 

Para removê-lo precisaremos seguir os passos abaixo:

 

- Retirara a máquina da rede (se estiver conectada a rede é claro!);

- Desabilitar a Restauração do Sistema;

- Entrar em modo de segurança como Administrador do sistema ou seja se entrar em modo-seguro com uma conta de "convidado" talvez os resultados obtidos não sejam os esperados;

- Habilitar o Windows para Mostrar Todos os Arquivos.

 

Prossigamos então:

 

1° Faça o download do KillBox (Clique aqui pra faze o download).

 

Descompacte execute marque a opção Delete on Reboot em Full Path of file to delete digite o diretório dos seguintes arquivos (obs: faça um arquivo por vez):

Exemplo

 

C:\WINDOWS\System32\Kernel32.bat

C:\WINDOWS\System32\Shell32.sys

C:\WINDOWS\System32\Explorer.dll

Depois de fazer como mostrado no exemplo, clique no "X" vermelho que está destacado. Responda "Sim" à primeira pergunta responda e "Não" à segunda.

 

Faça o download do Hijackthis:(Clique aqui para download)

 

Deixe em um local de fácil acesso reinicie o computador em Modo de Segurança (WIN 9X) ou Modo Seguro (XP) - (Reinicie apertando a tecla F8 até aparecer uma tela preta em DOS com as opções e escolha MODO DE SEGURANÇA ou MODO SEGURO) é importante que você imprima esta página ou a copiei em algum arquivo de texto e deixe em local de fácil acesso, pois o Modo Seguro não permite o acesso à internet.

 

Após iniciar em Modo Seguro execute o Hijackthis, clique em Do a System Scan Only, se encontrar as seguintes entradas marque-as e clique em Fix Checked:

 

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\Explorer.dll

F3 - REG:win.ini: run=C:\WINDOWS\System32\Shell32.sys

O4 - HKLM\..\Run: [Microsoft Windows] C:\WINDOWS\Kernel32.bat

Exemplo (Nãa marque a entrada mostrada abaixo na imagen de exemplo, pois ela é apenas ilustrativa. Marque somente as entradas citadas anteriormente):

Ao clicar em Fix Checked abrir-se-á uma janela como mostrado no exemplo. Clique SIM.

 

Eliminando tais entradas o Windows ele não ira procurar os arquivos maliciosos em sua inicialização, evitando assim mensagens de erro.

 

Autor: The Darkness.

[Guilherme Strich 0]

Esse problema acontece muitas em meu PC de casa e quase nunca sei como resolver ele direito, sempre formato o PC daí, dá próxima vez que acontecer (espero que demore...hehe) vou recorrer a este tutorial e tentar arrumar.Vlw Darkness

[Bucketheadkrz 0]

Opa, Só lembrando que o problema pode ser por outro malware, sem ser especificamente outro. É recomendado seguir estes passos caso o seu antivírus detecte o NinjaSpy (ou seu outro nome, dependendo da empresa de antivírus) e ele não conseguir eliminar.

[The Darkness 0]

Exato, ou poste um log do hijackthis pra confirmar melhor ainda hehehehe