Remoção: Rootkit Win32.Sinowal




Trata-se de um kernel rootkit, detectado atualmente no log (relatório) do Combofix.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A0DC988]<<> CLASSPNP.SYS @ 0xf764bfc3
\Driver\ACPI -> ACPI.sys @ 0xf7588cb8
\Driver\atapi -> 0x8a0dc988
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059e19a
ParseProcedure -> ntoskrnl.exe @ 0x8057c74d
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059e19a
ParseProcedure -> ntoskrnl.exe @ 0x8057c74d
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
O driver inicia-se automaticamente assim que o sistema operacional é iniciado, permitindo uma conexão remota (backdoor) para hackers.

Para a remoção do mesmo há duas formas:

a) Utilizando-se a ferramenta MBR:

*Baixe o MBR e salve-o em C:\
*Clique em Iniciar > Executar > digite (ou copie e cole esta linha em azul abaixo):

c:\mbr.exe -f

*Clique OK. Caso seja perguntado, permita que o programa seja executado. Ele abrirá e fechará rapidamente.
Este procedimento irá fixar a MBR.

Em seguida, iremos ler a MBR para ver se há ainda algo.

*Duplo clique em C:\mbr.exe
*O relatório será criado em C:\mbr.txt

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
b) Utilizando-se a ferramenta antiboot da Kaspersky.


*Baixe o antiboot e salve-o no desktop (área de trabalho).
*Extraia o seu conteúdo para C:\

*Clique em [Iniciar] > [Executar] > digite (ou copie e cole esta linha em azul abaixo):

C:\antiboot.exe -l sinowal.txt

*Clique OK
*Abaixo segue a tela informando que o PC está contaminado:
OBSERVAÇÃO: É SÓ CLICAR SOBRE AS IMAGENS QUE ELAS SERÃO MOSTRADAS EM TAMANHO MAIOR.


*Tecle Y e pressione a tecla Enter para realizar o processo de limpeza:


*A ferramenta informará que a MBR foi limpa.
*Tecle Y e pressione a tecla Enter para reiniciar o PC.

*Após a reinicialização, a ferramenta será executada automaticamente, informando não existir nenhuma contaminação:


*O relatório será criado em C:\sinowal.txt

Fonte: Fórum Guia do Hardware

Related Posts Plugin for WordPress, Blogger...
Feed Orkut Fórum Facebook Twitter
 

Copyright © Caixa de dicas | Política de Privacidade | Todos os direitos reservados |