Jump to content

Archived

This topic is now archived and is closed to further replies.

Sam Spade

Como remover o exmodul

Recommended Posts

Devido ao grande número de infecções, que estamos vendo nos fóruns especializados, pelo trojan backdoor IRCBot-FP, cuja principal característica é a criação de arquivos com o nome de *exmodul*.exe, fiz este pequeno tutorial para a remoção do malware.

 

O que este backdoor faz:

 

- desabilita anti vírus.

- acessa a internet para comunicar-se com um servidor remoto via HTTP.

- acessa sem autorização o computador infectado via IRC.

- roda processos ocultos.

 

Pode criar estes arquivos no diretório C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

 

*exmodul.*.exe

*exhdd.*.exe

*exssd.*.exe

*exinjs.*.exe

 

O símbolo * é uma seqüência randômica ou aleatória de números e letras.

 

Cria estes arquivos respectivamente nos diretórios System32 e System:

 

C:\WINDOWS\system32\nvsvcd.exe

 

C:\WINDOWS\system\smss.exe

Atenção, pois o smss.exe é um processo legítimo quando está no diretório System32.

 

Cria este serviço: Windows Log

 

 

============================================================

 

 

Método de remoção:

 

 

1 - Baixe as ferramentas a serem usadas:

 

KillBox

 

demonstkillboxfu3.jpg

 

 

CCleaner

 

ccleanerdemonstrd2.jpg

 

 

HijackThis

 

demonsththisxd8.jpg

 

 

2 - Rode o HijackThis e verifique se há no log estas duas entradas:

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

 

3 - Vá em Iniciar > Executar > digite: services.msc e clique em OK.

 

Procure o serviço Windows Log, clique em cima com o direito e depois em Propriedades.

 

Pare o serviço e coloque o Tipo de Inicialização como desativado.

 

 

4 - Abra o HijackThis e clique no botão Open the Misc Tools section e depois em Delete an NT service.

 

Coloque isto: Windows Log

 

Clique em OK. Não reinicie o PC ainda.

 

 

5 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

 

C:\WINDOWS\system\smss.exe

 

Clique no botão com o X. Responda Não à pergunta.

 

Coloque agora:

 

C:\WINDOWS\system32\nvsvcd.exe

 

Clique no botão com o X. Desta vez, responda Sim à pergunta.

 

 

6 - Ao fazer isso o PC vai reiniciar e então, fique apertando F8 intermitentemente. No menu escolha: modo seguro (ou modo de segurança).

 

 

7 - Faça um scan com o HijackThis, marque a entrada abaixo, se ainda a encontrar e clique em Fix checked:

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

 

8 - Feche o HijackThis e rode o CCleaner, para remover os arquivos temporários criados pelo malware.

 

Clique em Executar Cleaner. Aguarde o exame acabar.

 

 

9 - Reinicie o computador em modo normal. Rode o HijackThis e verifique se as duas entradas do malware não estão mais no log.

 

 

==============================================================

 

Seguindo corretamente estas instruções acima, o malware deverá ter sido removido.

 

OBSERVAÇÃO:

 

- Normalmente as 2 entradas estão no log, mas pode haver casos em que somente uma delas está presente. Nesse caso, só irá seguir as instruções, para remoção da que aparece.

 

 

***Se não conseguir resolver o problema seguindo este tutorial, peça ajuda no Fórum.***

Share this post


Link to post
Share on other sites

:clap: :clap: :D gostaria de parabeniza-lo pelo tópico ..ha mais de um mês eu buscava solução para esse problema e agora encontrei .. ja fiz os passos e parece que estou livre..parabens pela iniciativa e pela ajuda passo a passo ..vlw mesmo :D

Share this post


Link to post
Share on other sites

Por favor, quando entro no services.msc, não encontro o serviço WINDOWS LOG. Estou usando o Windows XP em português. Por acaso o nome desse serviço é diferente para essa versão do Windows?Obrigado

Share this post


Link to post
Share on other sites

Olá. O nome do serviço é sempre o mesmo. O nome Windows Log, é para confundir e fazer com que se pense que é algo do Windows, mas é falso.Veja a Observação no final do tutorial. Pode haver somente uma das entradas. Abraço.

Share this post


Link to post
Share on other sites

Muito bom seu tópico... Deu super certo aqui em casa.. Valeu mesmo.. ja estava de saco cheio dakeles malwares rodando aki... sou da area de engenharia de software e por isso nao entendo mt coisa da area de seguranca, seu artigo me serviu muito... flw.. ;p

Share this post


Link to post
Share on other sites

Oi! Obrigado pelo seu tutorial. Executei todos os passos. No entanto, quando volto a executar o HijackThis, no passo 9, ainda é detectada a entrada O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /wComo me poderei ver livre dela? Será que ainda apresenta alguma ameaça?

Share this post


Link to post
Share on other sites

ai Sam Spade eu tenho uma duvida no meu log so apareceu essa entrada HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w ai eu queria saber assim se pra remover eu tenho que começar do passo 5?????

é por que nao achei na parte dos serviços o Windows Log ai assim eu rodo o killbox e coloco Delete on Reboot em Full Path of File to Delete eu coloco esse C:\WINDOWS\system\smss.exe que é o que aparece no meu log?????

 

me ajuda ai por favor :thumbsup:

Share this post


Link to post
Share on other sites

Olá mexicanox! Exatamente. O serviço Windows Log não estando no log e também não o encontrando no services.msc, não existe e assim, siga somente as instruções relativas ao C:\WINDOWS\system\smss.exe.

 

Abraço.

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.