Jump to content

Remover: Worm sys32.exe


Kratos
 Share

Recommended Posts

Olá,

Emprestei meu PenDrive para um colega, quando ele devolveu, voltou com um virus... ?

Primeiro eu pensei em apelar para Ant-Virus's, mas resolvi estuda-lo e retirá-lo na unha.  ?

Não sei nada, apenas sou um curioso !!!!  :wallbash:

Tudo que ia descobrindo, eu ia anotando, então lá vai:

Descobri este malware do tipo worm em: 14/05/2008.

O que ele faz:

No dispositivo infectado, contem dois arquivos do malware: "autorun.inf" e a pasta "RECYCLER" do sistema NT.

Quando conecta o PenDrive, ele exibe uma opção na lista de opções: "Open folder to view files".

Quando você clica nesta opção, ele fecha o PenDrive e não abre mais ele, pois não reconhece mais o drive USB.

Aparentemente, parece que ele também desistala o drive de modem.

Ele não permite executar o conteudo do PenDrive, porque parece que desinstala o drive: "USB Device".

O conteúdo desta pasta não é exibido, pois é uma pasta do sistema Windows NT, como se foce a 'lixeira" do sistema windows, que guarda informações e dados para futuramente reutiliza-los.

Ele não sai da pasta "RECYCLER" e sempre repõe "autorun.inf" quando o mesmo é alterado ou excluido.

Ao executalo (involuntariamente é claro) ele se copia para a pasta "RECYCLER" da raiz "C:\".

Ele não é mostrado e não exclui porque é usado por outro processo, o "explorer.exe".

OBs: Meu NOD32 atualizado não detectou nada !!!  ?

Informações Avançadas:

O caminho do malware no meu PenDrive que apareceu no "autorun.inf":

"RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

   

No "autorun.inf" contem:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
shell\open\default=1

   

Contaminação no Registro do Windows:

Examinei o Registro do Windows e encontrei estas chaves:

"HKEY_USERS\S-1-5-21-746137067-764733703-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c28ac8f0-ff89-11dc-97d1-00115b859f14}"

com estes valores:

"_AutorunStatus" : valor desta chave é binario.

"BaseClass" com valor : "Drive"

Mais esta chaves abaixo:

"HKEY_USERS\S-1-5-21-746137067-764733703-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c28ac8f0-ff89-11dc-97d1-00115b859f14}\Shell\AutoRun\command"

com este valor: "E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

e também esta chave:

"HKEY_USERS\S-1-5-21-746137067-764733703-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c28ac8f0-ff89-11dc-97d1-00115b859f14}\Shell\open\command"

com este valor:

"E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

Tinha algumas outras chaves com valores binarios parecidos, então deletei todas por precaução (ou ferrei tudo de vez.)  😄

Procurando mais a fundo achei:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}"

Com este valor:

"StubPath" : "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe"

Tentei deletar mais sempre volta, então alterei os padrões de permissões de acesso e ele sumiu.

Obs: Ele também estava na chave "Run" para se auto executar na inicialização do Windows.

RETIRANDO O MALWARE:

Clique no Menu Iniciar e, em seguida, na opção “Executar”. Na caixa “Executar” digita (sem aspas) “gpedit.msc”. Isso fará com que abra a janela “Diretivas de Grupo” do Windows XP.

Dentro das “Diretivas de Grupo“, abra “Configuração do Computador“, “Modelos Administrativos“, “Sistema“.

Dentro da pasta “Sistema” você deverá localizar o item “Desativar AutoExecutar” e clicar duas vezes sobre essa opção.

Abrirá então a caixa “Propriedades de Desativar AutoExecutar” onde você deverá marcar a opção “Ativado“. Clique em OK para concluir a operação e feche todas as janelas abertas nesse procedimento.

Executando esses simples passos você estará prevenindo que seu computador execute automaticamente qualquer instrução e/ou programa que estejam nos discos inseridos que contenha um "autorun.inf" (que na minha opinião não é necessario existir em Pendrivers)

OK, feito isso eu abri o prompt de comandos, fui para Raiz local "C:\". e executei exatament neste ordem:

Finaliza o "explorer.exe"

Agora você só esta com o prompt de comandos aberto, então digite no prompt:

RD / S RECYCLER

depois:

start explorer.exe

Você acabou de fechar o "explorer.exe" que mantem o sys.32.exe ativo, deletar a pasta que mantem o BackUps virus, e reiniciar o explorer.

Bom depois você deleta a o malware do PenDrive e Ok... 😁

Se não funcionar, chama um padre 😁

<<<<<<<<<< news >>>>>>>>>>>>>>>>

Revivendo o tópico .....  😄

Um colega meu foi infectado pelo mesmo malware, resolvi ajudalo e codei este aplicativo que automatiza todo processo de remoção, conforme eu expliquei.

Fiz em Python e compilei para executavel (testado apenas no Windows XP/SP2).

Chama-se: Moises ( 😁)

Download: http://www.megaupload.com/?d=7JU3KPRJ

Qualquer duvida... d.oliveiramatos@ig.com.br

😁

"Vejo sempre além, pois me apóio em ombro de Gigantes"

Link to comment
Share on other sites

Não está faltando uma explicação qualquer na linha

"OK, feito isso eu abri o prompt de comandos, fui para Raiz local "C:\". e executei exactamente neste ordem:

Finaliza o "explorer.exe""

Tentei fazer, mas parei aqui, poderia retificar o tutorial? Ou indicar um antivírus que remova o sys32.exe?

Grato, o tutorial é muito bom, só falta esse detalhe...

Link to comment
Share on other sites

Não está faltando uma explicação qualquer na linha

"OK, feito isso eu abri o prompt de comandos, fui para Raiz local "C:\". e executei exactamente neste ordem:

Finaliza o "explorer.exe""

Tentei fazer, mas parei aqui, poderia retificar o tutorial? Ou indicar um antivírus que remova o sys32.exe?

Grato, o tutorial é muito bom, só falta esse detalhe...

Pelo que eu entendi, sua duvida é está:

Abra o prompt de comando DOS: Iniciar > Executar > Digite: "cmd" (sem aspas)

No prompt, digite: "CD \" (sem aspas)

Então você estará na raiz local no seu PC, no meu caso, a raiz é C:

E executará os comando que estão no turial.. agôra para finalizar o explorer.exe, se é esta sua duvida, Crtl+Alt+Del, na aba Processos, procura o "explorer.exe' na lista e seleciona ele, então clique em "Finalizar Processo".

Ok ?... 😞

"Vejo sempre além, pois me apóio em ombro de Gigantes"

Link to comment
Share on other sites

O teu post só mostra desinformação. A ESET tem quase 20 anos de trabalho no NOD32, e ele está numa fase inicial?! Se queres saber, o NOD32 é dos melhores anti-virus do mercado, e não é só a minha opinião, é a opinião de especialistas. Ou eles agora também não sabem nada?

Informa-te jovem: http://forums.ptsec.net/index.php?showtopic=69

Não peças ajuda por PM! A tua dúvida vai ter menos atenção do que se for postada na secção correcta do fórum!

Link to comment
Share on other sites

O teu post só mostra desinformação. A ESET tem quase 20 anos de trabalho no NOD32, e ele está numa fase inicial?! Se queres saber, o NOD32 é dos melhores anti-virus do mercado, e não é só a minha opinião, é a opinião de especialistas. Ou eles agora também não sabem nada?

Informa-te jovem: http://forums.ptsec.net/index.php?showtopic=69

Deves pensar que o avast é o melhor free AV que aí anda.... tenta experimentar outros e já vez.

Nunca experimentei o NOD32, uso o Avira(AntiVir) e recomendo.

nunca me desiludio a avast...ao ponto que o Nod, ja me deixou varias vezes pendurado...

Por isso o digo...

Got it?

Link to comment
Share on other sites

Para ser sincero na altura do NOD32 achava um dos melhores, bastava a velocidade e "leveza" com que ele fazia o scan agora que experimentei o "ESET Smart Security" desiludiu-me bastante é pesado e extremamente confuso... Comeco a pensar que eles tão a seguir um caminho como o Norton(quando se tem Norton no pc não nos precisamos preocupar com vírus o Norton já deixa o pc f*did* que chegue)

RHCE - 120-062-534

Link to comment
Share on other sites

foi o smart security que usei, e envergonhou-me há força toda numa palestra, vou eu todo pimpão com a pen na mão há espera que não tivesse virus, mal o tipo engata a pen, cum raio, parecia uma pussilga, ele usava o kaspersky, se ouvesse um buraco era lá que me enfiava...

é que nem conseguia abrir a pen... apareci aquela caixa de dialogo do windows para agente escolher com que programa se quer abrir um determinado ficheiro...

Experiencia para não repetir...

Got it?

Link to comment
Share on other sites

O Smart Security não é o NOD32. São software diferentes, tal como o Windows e o Office. No entanto asworm, disseste que o NOD32 está numa fase inicial, e depois desculpas-te a dizer que afinal não era o NOD32, mas sim o ESET SmartSecurity. Tens de ter mais cuidado com o que dizes. 😄

Em relação à vergonhaça que apanhaste, é um abre-olhos, para a próxima vê onde enfias a pen. 😉

Não peças ajuda por PM! A tua dúvida vai ter menos atenção do que se for postada na secção correcta do fórum!

Link to comment
Share on other sites

O Smart Security não é o NOD32. São software diferentes, tal como o Windows e o Office. No entanto asworm, disseste que o NOD32 está numa fase inicial, e depois desculpas-te a dizer que afinal não era o NOD32, mas sim o ESET SmartSecurity. Tens de ter mais cuidado com o que dizes. 😄

Em relação à vergonhaça que apanhaste, é um abre-olhos, para a próxima vê onde enfias a pen. 😉

ESET SmartSecurity é Nod, não se trata de uma desculpa, e em relação há vergonhaça não se trata de meter a pen onde não devia, pois ela não foi a mais nenhum lado a não ser no meu pc, O antivirus é que é ou era fraco ao ponto de não se queichar que existia virus...

Got it?

Link to comment
Share on other sites

Sim o antivirus dentro do Smart Security é o nod32 tens é mais umas coisinhas que sinceramente acho k vieram estragar um bocado o bom trabalho ao ponto de eu desistir de o usar para não falar da interface gráfica que esta uma b*st*

RHCE - 120-062-534

Link to comment
Share on other sites

Sim o antivirus dentro do Smart Security é o nod32 tens é mais umas coisinhas que sinceramente acho k vieram estragar um bocado o bom trabalho ao ponto de eu desistir de o usar para não falar da interface gráfica que esta uma b*st*

A nivel do design não me manifesto, porque não é coisa que me diga muito, desde que seje um programa competente e que satisfaça as minhas necessidades não tenho nada a apontar...

Got it?

Link to comment
Share on other sites

ESET SmartSecurity é Nod

No site da ESET, são produtos diferentes. http://www.eset.com/

em relação há vergonhaça não se trata de meter a pen onde não devia, pois ela não foi a mais nenhum lado a não ser no meu pc, O antivirus é que é ou era fraco ao ponto de não se queichar que existia virus...

My point é que se isso aconteceu não é só culpa do anti-virus, o utilizador também tem culpa. A ESET não apanha todos os virus que existem, tu podias não ter o antivirus actualizado, e de certeza que tiveste algum comportamento de risco para isso acontecer.

Não peças ajuda por PM! A tua dúvida vai ter menos atenção do que se for postada na secção correcta do fórum!

Link to comment
Share on other sites

Sim mas perderes 10minutos há procura como podes configurar decentemente a tua firewall para o tua rede local diz muito acredita se tiveres que repetir o mesmo em 10 computadores, neste momento em que o software tende a ser cada fez melhor e a oferecer cada vez mais funcionalidades são estes "pequenos" grande promenores que no fim fazem a diferença....!!!

Pelo menos a assim que faço as minhas analises em relação aos programas que escolho para uso pessoal e profissional!!!

RHCE - 120-062-534

Link to comment
Share on other sites

Sim o antivirus dentro do Smart Security é o nod32 tens é mais umas coisinhas que sinceramente acho k vieram estragar um bocado o bom trabalho ao ponto de eu desistir de o usar para não falar da interface gráfica que esta uma b*st*

São "pacotes" diferentes mas o conteúdo dentro do smart security é o nod32 mais firewall, tal como o norton internet security, é o norton antivirus mais firewall...!

PS:

.... e de certeza que tiveste algum comportamento de risco para isso acontecer....

Usou a pen sem preservativo  :smoke:

RHCE - 120-062-534

Link to comment
Share on other sites

São "pacotes" diferentes mas o conteúdo dentro do smart security é o nod32 mais firewall, tal como o norton internet security, é o norton antivirus mais firewall...!

PS:

Usou a pen sem preservativo :smoke:

lol, tive 2 filhos, VBS:Malware-gen;

Win32:onlinegames-CHL <- trojan mais conhecido pelo nome xn1i9.com

tinha a firewal ligada, o que se passou, foi transferencia de ficheiros  e ao instalar o software entrou, e o smart visto ser smart não topou, com o avast mal engrilo a pen ja está a apitar... isto é quando venho de casa dos meus colegas, e alguns tambem usam o Smart...

Got it?

Link to comment
Share on other sites

?

Se existice uma "base mundial de dados de assinaturas virais", onde todos os AV's a compartilhem, talves isto não teria ocorrido, mas como não estamos no mundo dos sonhos, a realidade é outra  :down:

Mas sem duvida alguma, em análize Heurística, NOD32 é top  😞

"Vejo sempre além, pois me apóio em ombro de Gigantes"

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.