Como remover uma infecção passando pelo HijackThis
A opção delete an NT service permite que você exclua os serviços visíveis nas linhas O23 de um relatório HijackThis, depois de serem parados ou desativados antes.Para isso, acesse o menu Iniciar > Executar, digite
services.msce valide com o Ok.
Na janela seguinte, buscar o(s) serviço(s) que devem ser parados.
Exemplo para excluir o serviço: Boonty Games
Clicar nele com o bbotão direito do mouse > parar > e proprieades : tipo de arranque, botar em desativado e validar.
Você também pode parar um serviço na linha de comando:
Iniciar ou finalizar um serviço em linha de comando
Depois executar o HijackThis.
Linhe HijackThis correspondante a este serviço:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Escolher a seção open misc tools section.
Opção delete an NT service.
Entrar o nome exato do serviço a ser excluído! No nosso caso: BOONTY Games
Atenção ! Depois de excluído, será impossível restaurar um serviço. Se você não estiver seguro da legitimidade de um serviço, basta desativá-lo!
Remoção em linha de comando
Você também pode excluir um serviço na linha de comando diretamente; para isso:Ir em Iniciar
Módulo Executar, e digitar: cmd e validar com o OK.
Na janela DOS seguinte, digitar cada um desses comandos, seguido do nome do serviço a ser excluído em estrita conformidade com a sintaxe e confirmar com o [Enter] após cada linha.
Exemplo de linha de comando para entrar para parar e remover dois serviços infectados, ou seja, os serviços ezntsvc e scagent:
sc stop ezntsvc [Enter]
sc config ezntsvc start= disabled > e validar com o OK
sc delete ezntsvc [Enter]
sc stop scagent [Enter]
sc config scagent start= disabled > e validar com o OK
sc delete scagent [Enter]
exit [Enter]
Observações importantes :
1) Para remover um serviço com nome composto por várias palavras, tais como a seguinte linha HijackThis:
O23 - Service: Serviço Bom dia (Bom dia Service) - Apple Inc. - C:\Program Files\ Bom dia\ mDNSResponder.exe </ital >
Digitar o nome completo delimitado por parenteses , ou seja, entrar os comandos assim:
sc stop "Bom dia Serviço"
sc delete " Bom dia Serviço"
2) O nome do serviço a ser removido será aquele entre parênteses, isto é, no nosso exemplo "Serviço Bom dia", como mencionado anteriormente na linha HijackThis em negrito, e não aquele anterior, Serviço Bom dia, que é apenas uma descrição e não o nome "reconhecido" pelo sistema. Se a linha O23 do relatório HijackThis não tem nome entre parênteses, como foi o caso desta linha:
<ital>O23 - Service: Boonty Games - BOONTY - C:\Program Files\Arquivos comuns\BOONTY Shared\Service\Boonty.exe
Então, o nome do serviço a ser excluído será o nome logo depois de "Serviço".
3) Estes dois métodos de remoção podem ser aplicados a serviços chamados "básicos", mas não funcionarão obrigatoriamente em serviços de rootkits, muito mais complexos a serem detectados e, consequentemente, removidos.
Remoção passando pelo OTM
Para remover o serviço, você deve saber o nome do serviço. Este nome é o texto entre parênteses. Se o nome de exibição é idêntico ao nome do serviço, o nome do serviço não aparecerá na lista.Exemplo :
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Arquivos comuns\BOONTY Shared\Service\Boonty.exe
Se o nome de exibição é diferente do nome do serviço, o nome do serviço aparecerá entre parênteses.
Exemplo:
O23 - Service: Bom dia Serviço (Bom dia Serviço) - Apple Inc. - C:\Program Files\Bom dia\mDNSResponder.exe
Para excluir um serviço com OTM, é preciso fazer um script. O comando: service seguido do nome do serviço abaixo, para remover o serviço desejado. : commands seguido por [reboot] é usado para reiniciar o PC.
Veja um exemplo de script para remover o serviço Boonty Games.
Baixar o OTM (OldTimer) no desktop.
Clicar duas vezes no OTM.exe para executá-lo.
(No Vista, clicar com o botão direito do mouse em OTM e selecionar Executar como administrador)
Copiar (Ctrl+C) o texto abaixo:
:services Boonty Games :commands [reboot]
Colar (Ctrl+V) o texto copiado anteriormente no quadro Paste Instructions for Items to be Moved.
Agora, clicar no botão MoveIt! e fechar o OTM. Se um arquivo ou pasta não puder ser removido imediatamente, o software pedirá para você reinicializar. Aceite clicando no YES.
Depois da reinicialização, será apresentado um relatório mostrando se a manipulação funcionou, ou não. Se a manipulação foi bem-sucedida, você deverá ver uma parte assim:
========== SERVICES/DRIVERS ========== Service Boonty Games stopped successfully. Service Boonty Games deleted successfully.
Fonte: http://br.ccm.net/faq/
Nenhum comentário:
Postar um comentário