[Resolvido] Removendo a versão Bagle com Rootkit - Versão 02.

[jgarcia 1]

Removendo a versão Bagle com Rootkit - Versão 02.

 

 

Sintomas da Infecção:

 

Esta praga faz o seguinte, dentre outras coisas:

 

I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;

 

II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.

 

Entradas presentes no HijackThis:

 

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe

PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.

 

IMPORTANTE: Os procedimentos que abaixo seguem somente devem ser executados caso as instruções contidas neste tutorial não surtam efeito.

 

 

Ferramentas necessárias à desinfecção:

 

a. Killbox.

 

Baixe, mas não execute ainda.

 

b. Ferramenta de correção da Symantec.

 

Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.

 

b. CCleaner.

 

Baixe, mas não execute ainda.

 

 

Instruções para remoção:

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\Documents and Settings\Administrador\Dados de aplicativos\m\flec006.exe

C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\hidr.exe

C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\m_hook.sys

C:\Documents and Settings\Administrador\Dados de aplicativos\hidires\srosa.sys

C:\Documents and Settings\Administrador\Dados de aplicativos\hidn\hidn2.exe

C:\WINDOWS\SYSTEM32\drivers\hidr.exe

C:\WINDOWS\SYSTEM32\drivers\srosa.sys

C:\WINDOWS\SYSTEM32\wintems.exe

C:\WINDOWS\SYSTEM32\hldrrr.exe

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

2ª Etapa

 

Reinicie o computador em Modo Normal.

 

Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.

 

Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

 

Navegue e delete as seguintes subchaves, se houver:

 

HKEY_CURRENT_USER\Software\FirstRRRun

HKEY_CURRENT_USER\Software\FIRSTRUXZX

 

Navegue até a seguinte subchave:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

No painel à direita, delete os seguintes valores, se houver:

 

"drvsyskit" = "%Userprofiles%\Application Data\m\flec006.exe"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\srosa.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"

"german.exe" = "%System%\wintems.exe"

"hldrrr" = "%System%\hldrrr.exe"

 

Navegue até a seguinte subchave:

 

HKEY_CURRENT_USER\Software\DateTime4

 

No painel à direita, restaure os seguintes valores originais, se necessário:

 

"port" = "0x5B7E"

"uid" = "[RANDOM]"

"wdrn" = "0x00000001"

 

Navegue até a seguinte subchave:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

 

Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.

 

Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.

 

No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.

 

Saia do Editor do Registro.

 

Localize e delete (talvez não hajam todas):

 

C:\Documents and Settings\%Userprofiles%\Application Data\hidires <- a pasta

C:\Documents and Settings\%Userprofiles%\Application Data\hidn <- a pasta

C:\Documents and Settings\%Userprofiles%\Application Data\m <- a pasta

C:\WINDOWS\system32\drivers\down <- a pasta

C:\WINDOWS\exefld <- a pasta

C:\WINDOWS\exefqd <- a pasta

 

:!: Atenção!

 

%Userprofiles% é a pasta relativa ao usuário com privilégios de Administrador, a qual varia de máquina para máquina, porém e com o intuito de facilitar o uso do Killbox, %Userprofiles% equivalerá a Administrador.

 

Application Data equivale a Dados de aplicativosç

 

Vá até a pasta C:\!Killbox e delete o conteúdo.

 

3ª Etapa

 

Reinicie em Modo Normal novamente.

 

Execute o CCleaner e clique em Executar Cleaner.

 

Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.

 

Obs.: Caso a máquina continue apresentando problemas, sugiro que o usuário poste um log do HijackThis em um tópico próprio na seção Segurança & Malwares.