Jump to content

Archived

This topic is now archived and is closed to further replies.

jgarcia

[Resolvido] Removendo a versão Bagle com Rootkit - Versão 01.

Recommended Posts

Removendo a versão Bagle com Rootkit - Versão 01.

 

 

Sintomas da Infecção:

 

Esta praga faz o seguinte, dentre outras coisas:

 

I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;

 

II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.

 

Entradas presentes no HijackThis:

 

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe

PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.

 

 

Ferramenta necessária à desinfecção:

 

a. EliBaglA

 

 

Instruções para remoção:

 

1. Execute a ferramenta EliBaglA. O exame pode levar um tempo para terminar. Seja paciente.

 

2. Quando o exame chegar ao fim será criado um relatório em C:\infoSat.txt.

 

3. Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.

 

Obs.: Caso a máquina continue apresentando problemas, sugiro que o documento citado na linha 2. seja aberto via Bloco de Notas e uma cópia de seu conteúdo seja postada em um tópico próprio na seção Segurança & Malwares.

 

 

Créditos:

 

À SamSpade pela proposição do Fix original.

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.