1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Isto é um rootkit? Como poderia eu tê-lo removido?

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Kayvlim, 17 de Novembro de 2006. (Respostas: 6; Visualizações: 1266)

  1. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Hey! Tudo bem?
    Não encontrei um melhor título para esta thread :-\ espero que esteja bom... ^^'

    A história: Ontem fui a casa dum amigo, para tocar umas guitarradas e tal :-D e o pc dele tinha, no tray (ao lado do relógio), um icone igual ao do windows updates, mas que dum momento para o outro passou a alternar a imagem, ora o tal mundo com o símbolo MS (windows updates), ora era um triângulo amarelo com um ponto de exclamação. Deixando o rato por cima, dizia "Critical system errors"; e estava constantemente a mostrar balões a dizer para clicar para fazer um scan online e etc...

    Eu achei que era apenas um malware como qualquer um. Ad-aware, spybot, etc... removeram centenas (sem exageros) de malware que havia no pc. No entanto, curiosamente, aquele nem era detectado nem desaparecia.

    Entrei em modo de segurança, removi tudo o que me pareceu estar a mais. Reboot, e o problema continua.
    Safe mode, removi TUDO (deixei uma cópia da chave num ficheiro .REG). Pasta do arranque no menu iniciar, apaguei tudo; Admin e no utilizador em questão. NADA disto resultou.

    Task manager. Não havia nenhum programa duvidoso. Todos os que lá havia, eu já conhecia. E estavam todos a correr como system, excepto o explorer.exe e o taskmgr.exe (como seria de esperar).


    Acredito que o problema estava no próprio windows. No kernel.
    Decidi "reparar" o windows usando o CD de instalação. Grande erro! Após reinicializar o computador, passou a dar ecrãs azuis. Nunca mais deu, fizessemos fosse o que fosse.

    Como terminou: reinstalamos o windows. Ele perdeu os programas, mas não os documentos (movemo-los :P )


    A pergunta: o que era isto? De acordo com aquilo que eu sei de segurança, penso que seja um rootkit que se instala a nível do kernel. Principalmente porque, ora o programa não constava do task manager (das duas uma: ou interceptou a "procura" e escondeu-se, ou simplesmente está "dentro" de uma das aplicações do windows, e portanto, é indistinguível), e depois, ao modificar certos ficheiros aquando da reparação, o windows não voltou a arrancar normalmente - incompatibilidades entre DLL's reparados e DLL's infectados?

    O computador tinha dois users: o admin e o do meu amigo. Ambos tinham privilégios de admin.

    Dei aqui todas as informações que sei. O windows foi reinstalado, e portanto agora é impossível eu dar mais informações do que estas. Espero que cheguem.

    No futuro, como é que posso remover isto sem ter de reinstalar o windows?

    Obrigado por lerem este "testamento".. mas esta é a primeira vez que eu não consigo remover malware sem ter de reinstalar o windows.... esta era uma ameaça muito invulgar, portanto gostaria que me dissessem como deveria eu ter agido nesta situação.

    Cumprimentos [[[[[[[[[[]]]]]]]]]]
    angelofwisdom
     
    Última edição: 17 de Novembro de 2006
  2. vortex69

    vortex69 Power Member

    se é o que eu penso, desculpa dizer-te mas...há coisas chatas que não são spyware (pelo menos daquele que é dificil de remover...), se não me engano, esse que estás a falar até tem uma entrada no "adicionar/remover programas" :P
    aliás se não me engano isso quando instala até te diz que se quiseres remover é só ir ao "adicionar/remover programas" e desinstalar :lol:
     
  3. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Não.... por acaso verifiquei o Add/Remove programs, e os únicos programas que lá estavam eram de confiança. Eu conhecia-os a todos.

    Para além disso, da forma que aquele programa se "espetou" no SO, achas que poderia ser removido a partir dali? :-D aquilo era de certeza absoluta malware. Até porque o site que ele dizia ser da M$, com o aspecto da M$, não era da M$. Até dizia "scan now", e quando eu cliquei lá, ele não pediu para instalar nenhum controlo ActiveX, como eu esperava; ele ia começar a fazer download dum executável. Consideras isto um "online scan"? :)
     
  4. frank

    frank Banido

    apanhei essa praga esta semana, mas nao formatei, mas tem varias raizes manhosas espalhadas.

    realmente fica no adicionar-remover programas" mas nao deixa desinstalar, também não consegui fazer fix com o HijackThis.

    mas nem todos os Anti-Malware são eficazes, o mais eficaz foi o AVG Anti-Spyware, muito bom,depois de uma boa limpeza corri o Spybot actualizado e scan com o kaspersky por precaução, , HijackThis para confirmar e ficou como novo.

    cpmts.
     
  5. JPgod

    JPgod Moderador
    Staff Member

    jezz isso é um vírus com raízes :wow:

    como se chama esta praga?
     
  6. frank

    frank Banido


    lol, raizes foi forma de dizer, não sei como se chama, mais foi infectado por um suposto codec video manhoso, agora não lembro o nome.

    cpmts
     
  7. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Are we talking about the same threat? 8| Eu não o vi no add/remove programs...

    O mais estranho disto tudo, é que eu não vi mais nada em nenhum ponto do arranque. Nem no registry (local machine e current user), nem no start menu (arranque do all users, e arranque do utilizador actual).... não sei é ver os serviços; pode ter sido lá que o programa se "enfiou".

    O meu amigo tinha o AVG, que detectou tudo menos a praga em questão. O spybot... não tinhamos. Usamos o ad-aware, que também detectou muita m***a.

    O problema foi, depois da reparação, não voltou a funcionar. BSoD's a cada vez que arrancavamos o windows.
    Como eu já não sabia fazer nada em relação a isso... tive de formatar o pc.

    Que tipo de coisa é esta? Se isto começa a ser comum, quero ser capaz de o remover....

    Obrigado pelo contributo :)

    Abraços [[[[[[]]]]]]
    angelofwisdom
     

Partilhar esta Página