Como remover o exmodul

[Sam Spade 2]

Devido ao grande número de infecções, que estamos vendo nos fóruns especializados, pelo trojan backdoor IRCBot-FP, cuja principal característica é a criação de arquivos com o nome de *exmodul*.exe, fiz este pequeno tutorial para a remoção do malware.

 

O que este backdoor faz:

 

- desabilita anti vírus.

- acessa a internet para comunicar-se com um servidor remoto via HTTP.

- acessa sem autorização o computador infectado via IRC.

- roda processos ocultos.

 

Pode criar estes arquivos no diretório C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

 

*exmodul.*.exe

*exhdd.*.exe

*exssd.*.exe

*exinjs.*.exe

 

O símbolo * é uma seqüência randômica ou aleatória de números e letras.

 

Cria estes arquivos respectivamente nos diretórios System32 e System:

 

C:\WINDOWS\system32\nvsvcd.exe

 

C:\WINDOWS\system\smss.exe

Atenção, pois o smss.exe é um processo legítimo quando está no diretório System32.

 

Cria este serviço: Windows Log

 

 

============================================================

 

 

Método de remoção:

 

 

1 - Baixe as ferramentas a serem usadas:

 

KillBox

 

 

 

CCleaner

 

 

 

HijackThis

 

 

 

2 - Rode o HijackThis e verifique se há no log estas duas entradas:

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

 

3 - Vá em Iniciar > Executar > digite: services.msc e clique em OK.

 

Procure o serviço Windows Log, clique em cima com o direito e depois em Propriedades.

 

Pare o serviço e coloque o Tipo de Inicialização como desativado.

 

 

4 - Abra o HijackThis e clique no botão Open the Misc Tools section e depois em Delete an NT service.

 

Coloque isto: Windows Log

 

Clique em OK. Não reinicie o PC ainda.

 

 

5 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

 

C:\WINDOWS\system\smss.exe

 

Clique no botão com o X. Responda Não à pergunta.

 

Coloque agora:

 

C:\WINDOWS\system32\nvsvcd.exe

 

Clique no botão com o X. Desta vez, responda Sim à pergunta.

 

 

6 - Ao fazer isso o PC vai reiniciar e então, fique apertando F8 intermitentemente. No menu escolha: modo seguro (ou modo de segurança).

 

 

7 - Faça um scan com o HijackThis, marque a entrada abaixo, se ainda a encontrar e clique em Fix checked:

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

 

8 - Feche o HijackThis e rode o CCleaner, para remover os arquivos temporários criados pelo malware.

 

Clique em Executar Cleaner. Aguarde o exame acabar.

 

 

9 - Reinicie o computador em modo normal. Rode o HijackThis e verifique se as duas entradas do malware não estão mais no log.

 

 

==============================================================

 

Seguindo corretamente estas instruções acima, o malware deverá ter sido removido.

 

OBSERVAÇÃO:

 

- Normalmente as 2 entradas estão no log, mas pode haver casos em que somente uma delas está presente. Nesse caso, só irá seguir as instruções, para remoção da que aparece.

 

 

***Se não conseguir resolver o problema seguindo este tutorial, peça ajuda no Fórum.***

[viniciusmn 0]

:clap: :clap: :D gostaria de parabeniza-lo pelo tópico ..ha mais de um mês eu buscava solução para esse problema e agora encontrei .. ja fiz os passos e parece que estou livre..parabens pela iniciativa e pela ajuda passo a passo ..vlw mesmo :D

[luizoj 0]

Por favor, quando entro no services.msc, não encontro o serviço WINDOWS LOG. Estou usando o Windows XP em português. Por acaso o nome desse serviço é diferente para essa versão do Windows?Obrigado

[Sam Spade 2]

Olá. O nome do serviço é sempre o mesmo. O nome Windows Log, é para confundir e fazer com que se pense que é algo do Windows, mas é falso.Veja a Observação no final do tutorial. Pode haver somente uma das entradas. Abraço.

[thiagoh_ 0]

Muito bom seu tópico... Deu super certo aqui em casa.. Valeu mesmo.. ja estava de saco cheio dakeles malwares rodando aki... sou da area de engenharia de software e por isso nao entendo mt coisa da area de seguranca, seu artigo me serviu muito... flw.. ;p

[Mimarg 0]

Oi! Obrigado pelo seu tutorial. Executei todos os passos. No entanto, quando volto a executar o HijackThis, no passo 9, ainda é detectada a entrada O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /wComo me poderei ver livre dela? Será que ainda apresenta alguma ameaça?

[Sam Spade 2]

Olá Mimarg! Abra um tópico em Segurança & Malwares para ver o que está acontecendo.

 

Abraço.

[mexicanox 7]

ai Sam Spade eu tenho uma duvida no meu log so apareceu essa entrada HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w ai eu queria saber assim se pra remover eu tenho que começar do passo 5?????

é por que nao achei na parte dos serviços o Windows Log ai assim eu rodo o killbox e coloco Delete on Reboot em Full Path of File to Delete eu coloco esse C:\WINDOWS\system\smss.exe que é o que aparece no meu log?????

 

me ajuda ai por favor :thumbsup:

[Sam Spade 2]

Olá mexicanox! Exatamente. O serviço Windows Log não estando no log e também não o encontrando no services.msc, não existe e assim, siga somente as instruções relativas ao C:\WINDOWS\system\smss.exe.

 

Abraço.

[mexicanox 7]

brigadao pela ajuda !!!!!!!!!!!!!!!! :joia:

[crivellari.marcelo 0]

Ow, muito obrigado mesmo.

[Ricardo Carvalho 0]

VOu criar um novo topico !

Agora aprendi!