10.9.10

rootkit-agent.eu

Metodo simples e "podre" de remover este trojan (rootkit-agent.eu)
Ontem a noite faturei uma graninha removendo esse trojan de um micro. Delicia, fazia tempo que nao achava algo assim. Normalmente os antivirus dao conta do recado. Nesse caso, o AVG ficava relatando direto a existencia do arquivo mas nao fazia nada. E procuro na Internet, nenhum lugar tinha algo simples.

O melhor que achei foi o seguinte metodo (so para quem manja um pouco de informatica - nao me responsabilizo):

1- anotar a localizacao dos arquivos infectados. No caso, o cdrom.sys e cdrom.exe que estavam "disponiveis" no c:\windows\system32\drivers\cdrom.sys (a localizacao foi confirmada pela versao demo do Malwarebytes). O importante eh o AVG ou o Malwarebytes confirmar quais sao os arquivos e onde estao.

2- Boot no XP e F8 no inicio da inicializacao para escolher opcao "inicializacao segura", que dificulta o carregamento do trojan na memoria. Eu fui direto na opcao em que o XP inicializa na janela do DOS (alguem se lembra dela, se nao souber, vai atras).

3- Da o comando attrib cdrom.* no subdiretorio onde estiver o cdrom.sys e o cdrom.exe (apontados pelo antivirus).

4- O comando attrib (checa attrib /? se tiver duvida ou procura o tutorial) vai apontar uns arquivinhos com o atributo SHR, significando que ta invisivel e inapagavel.

5- Usa o comando attrib -shr cdrom.sys ou outro nome apontado pelo AVG. Renomeie o arquivo (comando REN) de cdrom.sys para cdrom.??? (por exemplo). Ou apaga logo.

6- Digita echo "vai pro inferno" > cdrom.sys

7- Usa o comando attrib para alterar os atributos do cdrom.sys para SHR

Reinicializa

Tem mais coisa para fazer, ta um tutorial Quick and Dirty
Trash. Mas eu tava cobrando por hora e aquilo funcionou. Ainda tem a janela do startup chamando os arquivos viroticos para rodar. Nao mexi nisso.

Se alguem quiser acrescentar alguma coisa ou tiver ideia melhor, manda email p. drrcunha@yahoo.com.br com subject rootkit. Sim, eu sei q tem tutoriais doc ou youtube ate ensinando mais facil mas na hora eu nao queria dar impressao que eu nao sabia fazer a coisa.

---------
PS Achei esta pagina de tutoriais.
http://dicasetutoriaisparapc.blogspot.com/2008/07/dicas-para-se-prevenir-e-eliminar-os.html

Recomendo esta ferramenta tambem
http://freedownloads2000.blogspot.com/2008/10/ccleaner-slim-212660.html

Tem esta pagina
http://g1.globo.com/Noticias/Tecnologia/0,,MUL1320716-6174,00-SAIBA+COMO+FUNCIONAM+OS+VIRUS+QUE+ROUBAM+SENHAS+DE+BANCO.html

Sem comentários:

Enviar um comentário