[Resolvido] Como remover o Trojan Mitglieder

[Silas Martins 0]

Descoberto: 8 de Janeiro de 2004

Atualizado: 13 de Fevereiro de 2007 12:19:13 PM

Tipo: Cavalo de Tróia

Extensão da infecção: 9.216 bytes

Sistemas afetados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

 

 

As instruções a seguir aplicam-se a todos os produtos antivírus da Symantec atuais e recentes, incluindo as linhas de produtos Symantec AntiVirus e Norton AntiVirus.

 

Desative a Restauração do Sistema (Windows Me/XP).

Atualize as definições de vírus.

Proceda de uma das seguintes maneiras:

Windows 95/98/Me: reinicie o computador em Modo de Segurança.

Windows NT/2000/XP: finalize o processo malicioso.

Execute uma verificação completa do sistema e exclua todos os arquivos detectados como Trojan.Mitglieder.

Reverta as alterações feitas no Registro.

 

Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

 

1. Desativando a Restauração do Sistema (Windows Me/XP)

Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso Restauração do Sistema. Este recurso, ativado por padrão, é utilizado pelo Windows ME/XP para restaurar os arquivos do sistema no computador quando estes são danificados. Quando um computador é infectado por um vírus, worm ou cavalo de Tróia é possível que arquivos infectados sejam recuperados pela Restauração do Sistema.

 

Por padrão, o Windows evita que os arquivos criados e mantidos pela Restauração do Sistema sejam alterados por programas externos, inclusive programas anti-vírus. Dessa forma, os arquivos criados por este recurso que tenha sido infectados não poderão ser corrigidos. Assim, ao utilizar este recurso mais tarde, é possível que você restaure em seu sistema um arquivo infectado ou que verificadores on-line detectem uma ameaça na pasta onde esses arquivos são armazenados.

 

Para instruções sobre como desativar a Restauração do Sistema, consulte a seção abaixo referente ao seu sistema operacional.

 

Desativando a Restauração do Sistema no Windows Me

Clique em Iniciar > Configurações > Painel de controle.

Clique duas vezes em Sistema.

 

--------------------------------------------------------------------------------

Nota: se o ícone Sistema não for visível, clique em Exibir todas as opções do Painel de controle.

--------------------------------------------------------------------------------

 

Clique na guia Desempenho > Sistema de arquivos.

Clique na guia Solução de problemas e selecione Desativar Restauração do Sistema.

Clique em OK.

Clique em Fechar.

Clique em Sim quando for solicitado a reinicializar o Windows.

 

 

Desativando a Restauração do Sistema no Windows XP

 

--------------------------------------------------------------------------------

Notas:

Você deve fazer o login como Administrador para fazer isso. Se não fizer o login como Administrador, a guia do recurso de restauração do sistema não será exibida. Se não souber como fazer o login como Administrador, entre em contato com o Administrador de Sistemas (se estiver em rede) ou consulte a documentação do seu sistema operacional.

A desativação do recurso de restauração eliminará todos os pontos prévios de restauração.

 

--------------------------------------------------------------------------------

 

 

Clique em Iniciar > Programas > Acessórios > Windows Explorer.

Clique com o botão direito em Meu computador > Propriedades.

Clique na guia Restauração do Sistema.

Selecione Desativar Restauração do Sistema ou Desativar Restauração do Sistema em todas as unidades.

Clique em Aplicar > OK.

Clique em Sim para confirmar a eliminação dos pontos prévios de restauração.

Clique em OK.

 

 

Para instruções detalhadas sobre como configurar a Restauração do Sistema, consulte um dos documentos abaixo:

 

Como ativar ou desativar o recurso de Restauração do Sistema no Windows Me

Como ativar ou desativar o recurso de Restauração do Sistema no Windows XP

 

Para mais informações e para uma solução que não envolve desativar a restauração do sistema, consulte o seguinte artigo da Base de Conhecimento da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder, ID do artigo: Q263455.

 

 

2. Atualizando as definições de vírus

O Symantec Security Response efetua testes completos em todas as definições de vírus para garantir sua qualidade antes de disponibilizá-las em nossos servidores. Existem duas formas de se obter as definições de vírus mais recentes:

 

Executando o LiveUpdate: essa é a maneira mais fácil de se obter as definições de vírus. Estas definições são disponibilizadas nos servidores do LiveUpdate semanalmente (normalmente às quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se as definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento. Para mais informações sobre como executar o LiveUpdate, consulte o documento Executando o LiveUpdate.

 

Fazendo o donwload das definições de vírus usando o Intelligent Updater: as definições de vírus do Intelligent Updater são disponibilizadas nos Estados Unidos nos dias úteis (de segunda até sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste documento. Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater, clique aqui.

 

Reconfigurando o Norton AntiVirus

Se utilizar uma solução anti-vírus doméstica como o Norton AntiVirus, siga as etapas abaixo para reconfigurá-lo. Se for usuário de um produto corporativo, vá para a próxima seção.

 

Inicie o Norton AntiVirus

Clique em Opções > Norton AntiVirus.

Clique em Verificação Manual.

No painel esquerdo, clique em BloodHound.

Selecione Nível mais alto de proteção.

Clique em Exclusões.

No painel direito, selecione cada uma das extensões listadas e clique em Remover.

No painel esquerdo, clique em Categorias de Ameaça.

Clique em Exclusões.

No painel direito, selecione cada uma das extensões listadas e clique em Remover.

Clique em OK.

 

 

--------------------------------------------------------------------------------

Nota: quando concluir o processo de remoção e estiver seguro de que a ameaça foi removida, reative a Restauração do Sistema seguindo as instruções dos documentos mencionados anteriormente.

--------------------------------------------------------------------------------

 

 

3. Reiniciando o computador em Modo de Segurança ou finalizando o processo malicioso

Windows 95/98/Me

Desligue o computador. Aguarde pelo menos 30 segundos e reinicie o computador em Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador em Modo de Segurança.

 

Windows NT/2000/XP

Para finalizar o processo malicioso:

Pressione Ctrl+Alt+Delete uma vez.

Clique em Gerenciador de tarefas.

Clique na guia Processos.

Clique duas vezes sobre a coluna Nome da imagem para ordenar os processos em ordem alfabética.

Role pela lista e procure por ibot4.exe.

 

 

--------------------------------------------------------------------------------

Nota: não confunda com o processo "System", que não tem a extensão .exe.

--------------------------------------------------------------------------------

 

 

Se o arquivo for encontrado, clique sobre ele e clique em Finalizar processo.

Feche o Gerenciador de tarefas.

 

4. Verificando e excluindo os arquivos infectados

Inicie o produto antivírus da Symantec e certifique-se de que esteja configurado para verificar todos os arquivos.

Para produtos domésticos: consulte o documento Configurando o Norton AntiVirus para verificar todos os arquivos.

Para produtos corporativos: consulte o documento Verificando se um produto antivírus corporativo da Symantec está configurado para verificar todos os arquivos."

Execute uma verificação completa do sistema.

Se algum arquivo for detectado como infectado pelo Trojan.Mitglieder, clique em Delete.

 

5. Revertendo as alterações feitas no Registro

 

 

--------------------------------------------------------------------------------

AVISO: a Symantec recomenda fazer um backup do registro antes de fazer quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows para mais informações.

--------------------------------------------------------------------------------

 

Clique em Iniciar > Executar. A caixa de diálogo Executar será exibida.

Digite regedit

Clique em OK.

O Editor do Registro será aberto.

Navegue até a chave:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

 

No painel direito, apague o valor:

 

"ssgrate.exe"="%System%\system.exe"

 

 

Navegue até uma das chaves:

 

Windows 95/98/Me:

 

HKEY_USERS/.DEFAULT/Software/DateTime

 

 

Windows NT/2000/XP:

 

HKEY_CURRENT_USER/Software/DateTime

 

 

No painel direito, apague o valor:

 

"pid"= <Process ID>

"uid"= <Random value>

"port"=<Listening Proxy Port>

 

 

Saia do Editor do Registro.

 

 

Se reiniciou o computador em Modo de Segurança, reinicie-o em Modo Normal. Para mais informações, consulte o documento Iniciando o computador em Modo de Segurança.

 

 

 

 

Elaborado por: Eric Chien