Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

wings

[Resolvido] Remoção: Rootkit Win32.Sinowal

Por , em Artigos, Tutoriais e Matérias (Seguranca & Malwares)

Recommended Posts

wings    22

wings
Postado

Trata-se de um kernel rootkit, detectado agora no log do combofix.

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A0DC988]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf764bfc3

\Driver\ACPI -> ACPI.sys @ 0xf7588cb8

\Driver\atapi -> 0x8a0dc988

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059e19a

ParseProcedure -> ntoskrnl.exe @ 0x8057c74d

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059e19a

ParseProcedure -> ntoskrnl.exe @ 0x8057c74d

NDIS: -> SendCompleteHandler -> 0x0

PacketIndicateHandler -> 0x0

SendHandler -> 0x0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

O driver inicia-se automaticamente assim que o SO é iniciado, permitindo uma conexão remota (backdoor) para hackers.

 

Para a remoção do mesmo há duas formas:

 

a) Utilizando a ferramenta MBR

 

*Baixe o MBR e salve-o em C:\

*Clique em Iniciar > Executar > digite: c:\mbr.exe -f

*Clique OK. Caso seja perguntado, permita que o programa seja executado. Ele abrirá e fechará rapidamente.

Este procedimento irá fixar a MBR.

 

Em seguida, iremos ler a MBR para ver se há ainda algo.

 

*Duplo clique em C:\mbr.exe

*O relatório será criado em C:\mbr.txt

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

B) Utilizando a ferramenta antiboot da Kaspersky.

 

 

*Baixe o antiboot e salve-o no desktop

*Extraia o seu conteúdo para C:\

 

*Clique em [iniciar] > [Executar] > digite: C:\antiboot.exe -l sinowal.txt

*Clique OK

*Abaixo segue a tela informando que o PC está contaminado

 

antiboot_1.jpg

 

*Tecle Y para realizar o processo de limpeza.

 

antiboot_2.jpg

 

*A ferramenta informará que a MBR foi limpa.

*Tecle Y > ENTER para reiniciar o PC.

 

*Após a reinicialização, a ferramenta será executada automaticamente, informando não existir nenhuma contaminação.

 

antiboot_3.jpg

 

*O relatório será criado em C:\sinowal.txt

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Artigos, Tutoriais e Matérias (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito