Remover: Worm sys32.exe

[Kratos]

Olá,

Emprestei meu PenDrive para um colega, quando ele devolveu, voltou com um virus... ?

Primeiro eu pensei em apelar para Ant-Virus's, mas resolvi estuda-lo e retirá-lo na unha.  ?

Não sei nada, apenas sou um curioso !!!! 

Tudo que ia descobrindo, eu ia anotando, então lá vai:

Descobri este malware do tipo worm em: 14/05/2008.

O que ele faz:

No dispositivo infectado, contem dois arquivos do malware: "autorun.inf" e a pasta "RECYCLER" do sistema NT.

Quando conecta o PenDrive, ele exibe uma opção na lista de opções: "Open folder to view files".

Quando você clica nesta opção, ele fecha o PenDrive e não abre mais ele, pois não reconhece mais o drive USB.

Aparentemente, parece que ele também desistala o drive de modem.

Ele não permite executar o conteudo do PenDrive, porque parece que desinstala o drive: "USB Device".

O conteúdo desta pasta não é exibido, pois é uma pasta do sistema Windows NT, como se foce a 'lixeira" do sistema windows, que guarda informações e dados para futuramente reutiliza-los.

Ele não sai da pasta "RECYCLER" e sempre repõe "autorun.inf" quando o mesmo é alterado ou excluido.

Ao executalo (involuntariamente é claro) ele se copia para a pasta "RECYCLER" da raiz "C:\".

Ele não é mostrado e não exclui porque é usado por outro processo, o "explorer.exe".

OBs: Meu NOD32 atualizado não detectou nada !!!  ?

Informações Avançadas:

O caminho do malware no meu PenDrive que apareceu no "autorun.inf":

"RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

   

No "autorun.inf" contem:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
shell\open\default=1

   

Contaminação no Registro do Windows:

Examinei o Registro do Windows e encontrei estas chaves:

"HKEY_USERS\S-1-5-21-746137067-764733703-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c28ac8f0-ff89-11dc-97d1-00115b859f14}"

com estes valores:

"_AutorunStatus" : valor desta chave é binario.

"BaseClass" com valor : "Drive"

Mais esta chaves abaixo:

"HKEY_USERS\S-1-5-21-746137067-764733703-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c28ac8f0-ff89-11dc-97d1-00115b859f14}\Shell\AutoRun\command"

com este valor: "E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

e também esta chave:

"HKEY_USERS\S-1-5-21-746137067-764733703-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c28ac8f0-ff89-11dc-97d1-00115b859f14}\Shell\open\command"

com este valor:

"E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

Tinha algumas outras chaves com valores binarios parecidos, então deletei todas por precaução (ou ferrei tudo de vez.)  😄

Procurando mais a fundo achei:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}"

Com este valor:

"StubPath" : "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

Tentei deletar mais sempre volta, então alterei os padrões de permissões de acesso e ele sumiu.

Obs: Ele também estava na chave "Run" para se auto executar na inicialização do Windows.

RETIRANDO O MALWARE:

Clique no Menu Iniciar e, em seguida, na opção “Executar”. Na caixa “Executar” digita (sem aspas) “gpedit.msc”. Isso fará com que abra a janela “Diretivas de Grupo” do Windows XP.

Dentro das “Diretivas de Grupo“, abra “Configuração do Computador“, “Modelos Administrativos“, “Sistema“.

Dentro da pasta “Sistema” você deverá localizar o item “Desativar AutoExecutar” e clicar duas vezes sobre essa opção.

Abrirá então a caixa “Propriedades de Desativar AutoExecutar” onde você deverá marcar a opção “Ativado“. Clique em OK para concluir a operação e feche todas as janelas abertas nesse procedimento.

Executando esses simples passos você estará prevenindo que seu computador execute automaticamente qualquer instrução e/ou programa que estejam nos discos inseridos que contenha um "autorun.inf" (que na minha opinião não é necessario existir em Pendrivers)

OK, feito isso eu abri o prompt de comandos, fui para Raiz local "C:\". e executei exatament neste ordem:

Finaliza o "explorer.exe"

Agora você só esta com o prompt de comandos aberto, então digite no prompt:

RD / S RECYCLER

depois:

start explorer.exe

Você acabou de fechar o "explorer.exe" que mantem o sys.32.exe ativo, deletar a pasta que mantem o BackUps virus, e reiniciar o explorer.

Bom depois você deleta a o malware do PenDrive e Ok... 😁

Se não funcionar, chama um padre 😁

<<<<<<<<<< news >>>>>>>>>>>>>>>>

Revivendo o tópico .....  😄

Um colega meu foi infectado pelo mesmo malware, resolvi ajudalo e codei este aplicativo que automatiza todo processo de remoção, conforme eu expliquei.

Fiz em Python e compilei para executavel (testado apenas no Windows XP/SP2).

Chama-se: Moises ( 😁)

Download: http://www.megaupload.com/?d=7JU3KPRJ

Qualquer duvida... d.oliveiramatos@ig.com.br

😁

[wallyvianna]

Não está faltando uma explicação qualquer na linha

"OK, feito isso eu abri o prompt de comandos, fui para Raiz local "C:\". e executei exactamente neste ordem:

Finaliza o "explorer.exe""

Tentei fazer, mas parei aqui, poderia retificar o tutorial? Ou indicar um antivírus que remova o sys32.exe?

Grato, o tutorial é muito bom, só falta esse detalhe...

[Kratos]

Não está faltando uma explicação qualquer na linha

"OK, feito isso eu abri o prompt de comandos, fui para Raiz local "C:\". e executei exactamente neste ordem:

Finaliza o "explorer.exe""

Tentei fazer, mas parei aqui, poderia retificar o tutorial? Ou indicar um antivírus que remova o sys32.exe?

Grato, o tutorial é muito bom, só falta esse detalhe...

Pelo que eu entendi, sua duvida é está:

Abra o prompt de comando DOS: Iniciar > Executar > Digite: "cmd" (sem aspas)

No prompt, digite: "CD \" (sem aspas)

Então você estará na raiz local no seu PC, no meu caso, a raiz é C:

E executará os comando que estão no turial.. agôra para finalizar o explorer.exe, se é esta sua duvida, Crtl+Alt+Del, na aba Processos, procura o "explorer.exe' na lista e seleciona ele, então clique em "Finalizar Processo".

Ok ?... 😞

[asworm]

OBs: Meu NOD32 atualizado não detectou nada !!!

se usasses o avast se calhar tinhas mais sorte, e não precisavas desses procedimentos todos, o nod ainda está muito numa fase inicial...

[djthyrax]

se usasses o avast se calhar tinhas mais sorte, e não precisavas desses procedimentos todos, o nod ainda está muito numa fase inicial...

LOLOLOLOLOLOLOLOLOL! http://en.wikipedia.org/wiki/NOD32#History

[asworm]

LOLOLOLOLOLOLOLOLOL! http://en.wikipedia.org/wiki/NOD32#History

que foi??? achas que é melhor que o avast???

[djthyrax]

O teu post só mostra desinformação. A ESET tem quase 20 anos de trabalho no NOD32, e ele está numa fase inicial?! Se queres saber, o NOD32 é dos melhores anti-virus do mercado, e não é só a minha opinião, é a opinião de especialistas. Ou eles agora também não sabem nada?

Informa-te jovem: http://forums.ptsec.net/index.php?showtopic=69

[mpeixoto]

que foi??? achas que é melhor que o avast???

Deves pensar que o avast é o melhor free AV que aí anda.... tenta experimentar outros e já vez.

Nunca experimentei o NOD32, uso o Avira(AntiVir) e recomendo.

[asworm]

O teu post só mostra desinformação. A ESET tem quase 20 anos de trabalho no NOD32, e ele está numa fase inicial?! Se queres saber, o NOD32 é dos melhores anti-virus do mercado, e não é só a minha opinião, é a opinião de especialistas. Ou eles agora também não sabem nada?

Informa-te jovem: http://forums.ptsec.net/index.php?showtopic=69

Deves pensar que o avast é o melhor free AV que aí anda.... tenta experimentar outros e já vez.

Nunca experimentei o NOD32, uso o Avira(AntiVir) e recomendo.

nunca me desiludio a avast...ao ponto que o Nod, ja me deixou varias vezes pendurado...

Por isso o digo...

[newbeen]

Para ser sincero na altura do NOD32 achava um dos melhores, bastava a velocidade e "leveza" com que ele fazia o scan agora que experimentei o "ESET Smart Security" desiludiu-me bastante é pesado e extremamente confuso... Comeco a pensar que eles tão a seguir um caminho como o Norton(quando se tem Norton no pc não nos precisamos preocupar com vírus o Norton já deixa o pc f*did* que chegue)

[asworm]

foi o smart security que usei, e envergonhou-me há força toda numa palestra, vou eu todo pimpão com a pen na mão há espera que não tivesse virus, mal o tipo engata a pen, cum raio, parecia uma pussilga, ele usava o kaspersky, se ouvesse um buraco era lá que me enfiava...

é que nem conseguia abrir a pen... apareci aquela caixa de dialogo do windows para agente escolher com que programa se quer abrir um determinado ficheiro...

Experiencia para não repetir...

[djthyrax]

O Smart Security não é o NOD32. São software diferentes, tal como o Windows e o Office. No entanto asworm, disseste que o NOD32 está numa fase inicial, e depois desculpas-te a dizer que afinal não era o NOD32, mas sim o ESET SmartSecurity. Tens de ter mais cuidado com o que dizes. 😄

Em relação à vergonhaça que apanhaste, é um abre-olhos, para a próxima vê onde enfias a pen. 😉

[asworm]

O Smart Security não é o NOD32. São software diferentes, tal como o Windows e o Office. No entanto asworm, disseste que o NOD32 está numa fase inicial, e depois desculpas-te a dizer que afinal não era o NOD32, mas sim o ESET SmartSecurity. Tens de ter mais cuidado com o que dizes. 😄

Em relação à vergonhaça que apanhaste, é um abre-olhos, para a próxima vê onde enfias a pen. 😉

ESET SmartSecurity é Nod, não se trata de uma desculpa, e em relação há vergonhaça não se trata de meter a pen onde não devia, pois ela não foi a mais nenhum lado a não ser no meu pc, O antivirus é que é ou era fraco ao ponto de não se queichar que existia virus...

[newbeen]

Sim o antivirus dentro do Smart Security é o nod32 tens é mais umas coisinhas que sinceramente acho k vieram estragar um bocado o bom trabalho ao ponto de eu desistir de o usar para não falar da interface gráfica que esta uma b*st*

[asworm]

Sim o antivirus dentro do Smart Security é o nod32 tens é mais umas coisinhas que sinceramente acho k vieram estragar um bocado o bom trabalho ao ponto de eu desistir de o usar para não falar da interface gráfica que esta uma b*st*

A nivel do design não me manifesto, porque não é coisa que me diga muito, desde que seje um programa competente e que satisfaça as minhas necessidades não tenho nada a apontar...

[djthyrax]

ESET SmartSecurity é Nod

No site da ESET, são produtos diferentes. http://www.eset.com/

em relação há vergonhaça não se trata de meter a pen onde não devia, pois ela não foi a mais nenhum lado a não ser no meu pc, O antivirus é que é ou era fraco ao ponto de não se queichar que existia virus...

My point é que se isso aconteceu não é só culpa do anti-virus, o utilizador também tem culpa. A ESET não apanha todos os virus que existem, tu podias não ter o antivirus actualizado, e de certeza que tiveste algum comportamento de risco para isso acontecer.

[newbeen]

Sim mas perderes 10minutos há procura como podes configurar decentemente a tua firewall para o tua rede local diz muito acredita se tiveres que repetir o mesmo em 10 computadores, neste momento em que o software tende a ser cada fez melhor e a oferecer cada vez mais funcionalidades são estes "pequenos" grande promenores que no fim fazem a diferença....!!!

Pelo menos a assim que faço as minhas analises em relação aos programas que escolho para uso pessoal e profissional!!!

[newbeen]

Sim o antivirus dentro do Smart Security é o nod32 tens é mais umas coisinhas que sinceramente acho k vieram estragar um bocado o bom trabalho ao ponto de eu desistir de o usar para não falar da interface gráfica que esta uma b*st*

São "pacotes" diferentes mas o conteúdo dentro do smart security é o nod32 mais firewall, tal como o norton internet security, é o norton antivirus mais firewall...!

PS:

.... e de certeza que tiveste algum comportamento de risco para isso acontecer....

Usou a pen sem preservativo  :smoke:

[asworm]

São "pacotes" diferentes mas o conteúdo dentro do smart security é o nod32 mais firewall, tal como o norton internet security, é o norton antivirus mais firewall...!

PS:

Usou a pen sem preservativo :smoke:

lol, tive 2 filhos, VBS:Malware-gen;

Win32:onlinegames-CHL <- trojan mais conhecido pelo nome xn1i9.com

tinha a firewal ligada, o que se passou, foi transferencia de ficheiros  e ao instalar o software entrou, e o smart visto ser smart não topou, com o avast mal engrilo a pen ja está a apitar... isto é quando venho de casa dos meus colegas, e alguns tambem usam o Smart...

[Kratos]

?

Se existice uma "base mundial de dados de assinaturas virais", onde todos os AV's a compartilhem, talves isto não teria ocorrido, mas como não estamos no mundo dos sonhos, a realidade é outra  :down:

Mas sem duvida alguma, em análize Heurística, NOD32 é top  😞