[jgarcia]

Removendo a versão Bagle com Rootkit - Versão 01.


Sintomas da Infecção:

Esta praga faz o seguinte, dentre outras coisas:

I. Desabilita os sistemas de proteção do usuário, tais como Anti-vírus e Antispy, impedindo a reinstalação dos mesmos;

II. Impede que a máquina seja reiniciada em Modo Seguro, pois exclui a pasta Safeboot do registro do Windows.

Entradas presentes no HijackThis:

Quote

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\hidr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidires\m_hook.sys
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\%Userprofiles%\Dados de aplicativos\hidn\hidn2.exe

PS.: Nem todas as entradas estarão presentes, aliás, talvez nenhuma delas apareça. Neste caso somente ferramentas específicas poderão detectar as entradas, tal como o BlackLight da F-Secure.


Ferramenta necessária à desinfecção:

a. EliBaglA


Instruções para remoção:

1. Execute a ferramenta EliBaglA. O exame pode levar um tempo para terminar. Seja paciente.

2. Quando o exame chegar ao fim será criado um relatório em C:\infoSat.txt.

3. Pronto. O seu sistema já deve estar livre do Bagle. Tente reinstalar os sistemas de proteção. Verifique se a máquina já reinicia em Modo Seguro.

Obs.: Caso a máquina continue apresentando problemas, sugiro que o documento citado na linha 2. seja aberto via Bloco de Notas e uma cópia de seu conteúdo seja postada em um tópico próprio na seção Segurança.


Créditos:

À SamSpade pela proposição do Fix original.