Solução para remoção de qualquer tipo de trojans

SOLUÇÃO PARA 

RETIRADA DE ALGUNS VÍRUS

 

Verificando seu IP

Algumas vezes você precisa saber do seu IP, basta executar no menu iniciar,   winipcfg, irá aparecer seu IP e mais as propriedades de rede.

Para remover de qualquer tipo de trojans

 

1-Vá até o Menu Iniciar/Executar

2- Digite "regedit" e dê OK.

3- Abrirá um programa 

4- Localizar as seguintes pastas:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Version\Run"

5- Seguir o caminho até chegar a pasta "Run"

6 - Clique sobre a pasta Run e observe as opções que abrirão na parte lateral direita.

7- O valor {Padrão} deve estar assim {" Valor não definido" } se não estiver, clique duplo em cima e  apague o que está escrito e o deixe vazio.

8- Verificar os programas que estão nesta pasta. Se encontrar o caminho para algum arquivo servidor, delete-o.

9- Ao terminar você removeu  o trojan server.

 

Para se certificar se você esta com um back orifice instalado no seu micro

Vá no prompt do MS-DOS e digite netstat -na, se aparecer a mensagem UDP 0.0.0.0:31337 *.* ai é por que vc tá com o back orifice instalado. Se não aparecer nada além de C:\WINDOWS> sua maquina esta limpa.

 

Verificar se vc esta com um netbus instalado no seu micro

Vá no prompt do MS-DOS e digite netstat -an|find"12345" (As aspas também tem que se colocar) se aparecer a mensagem tcp 0.0.0.0 listening isso significa que vc tem um netbus instalado. Mas se não aparecer nada além de C:\WINDOWS> então sua maquina esta limpa.

 

Verificando se tem um trojan no micro usando o comando telnet

Basta  digitar no prompt do DOS o comando telnet 127.0.0.1 12345 para verificar se  está infectado pelo netbus, vai se abrir uma janela do telnet, caso o seu micro esteja infectado vai aparecer o nome netbus dentro da janela.(Obs: Pode ser usado este comando para verificar se você tem qualquer tipo de trojan no micro basta alterar a porta que você colocou para verificar.) Exemplo: nós colocamos no final do comando o número 12345 que é correspondente a porta do netbus, basta trocar o número da porta do netbus pelo número da porta do trojan que vc quer vericar se está instalado. exemplo 2: execute o comando: telenet 127.0.0.1 31337 para verificar se  tem um back orifice instalado.

Localizando o NetBus

Ao tentar remover esse tipo de programa é que ele pode estar instalado em seu computador com qualquer nome. Uma das maneiras que pode usar para tentar descobrir esse nome é executar o Editor de Registros do Windows (Regedit.exe, ele geralmente fica no diretório do Windows e você pode executá-lo com um clique duplo).

Na janela do Editor de Registros, abra a pasta "HKEY_LOCAL_MACHINE", em seguida vá clicando nas pastas "SOFTWARE", "Microsoft", "Current Version" e "Run". Lá você verá o nome do monstrinho! Sabendo do nome, localize-o em seu disco através da facilidade de busca do Windows Explorer (Menu Ferramentas, item Localizar, opção Arquivos ou Pastas).

 

 Removendo o NetBus

Para remover a versão 1.53 você deve procurar por dois arquivos no seu sistema: SysEdit.exe e KeyHook.dll. Mas atenção! SysEdit.exe é apenas o nome default, isto é, ele pode ter um outro nome; portanto use o Editor de Registros. Uma outra forma de detectá-lo é pelo tamanho - exatos 473,088 bytes.

Ao encontrar o arquivo, não o delete diretamente. Execute-o com o argumento /remove. Exemplificando: se você encontrou o arquivo no diretório C:\Windows com o nome default de SysEdit.exe, abra uma janela de DOS e digite

C:\Windows\SysEdit.exe /remove

O arquivo KeyHook.dll pode ser apagado normalmente. Feito isso use o telnet novamente para verificar se está tudo ok.

Existem algumas ferramentas que já são capazes de localizar e remover o NetBus 1.60, mas você também pode tentar removê-lo manualmente. O nome mais comum do servidor NB é Patch.exe mas, novamente, ele pode estar em seu sistema sob outro nome.

Um vez que você tenha localizado o servidor NB, execute-o com o argumento /remove, exatamente como no exemplo de cima. Digamos que o diretório seja "C:\Windows\Temp\" e o arquivo se chame "SysLog.exe". Neste caso, você deve digitar:

C:\Windows\Temp\SysLog.exe /remove

Para testar se a remoção aconteceu da fato, tente o mesmo "telnet localhost 12345".

Verificando se seu micro está com trojans, vírus ou arquivos estranhos

Abra o localizar arquivos ou pastas, coloque *.exe *.com *.bat na pasta onde você recebeu o determinado arquivo, caso apareça *.bat ou *.com é virus mais em algums casos o *.exe pode ser um programa, depois use um anti-trojan ou anti-vírus para saber  qual o vírus que seu micro foi contaminado.

Verificar se tem algum tipo de trojan ou um arquivo estranho instalado no micro

Vá em localizar pastas e digite sysedit, clique no aquivo sysedit,  abrirão varias janelas, escolha a janela com o nome de C:\WINDOWS\WIN.INI, depois verifique se na linha abaixo load= e na do meio run=,se tem algum arquivo .exe nestas linhas , Se tem é porque está com algum trojan que está carregando na inicilização da sua maquina.

Verificando se  foi contaminado pelo vírus bugregcon.vbs

Vá em "Menu Iniciar", depois em "Executar", digite "C:\con\con" e clique em OK. Se o sistema travar significa que seu micro tem o vírus bugregcon.vbs. Para remover este VBS basta  entrar no site da Microsoft Brasil e pegue baixe a correção: http://www.microsoft.com/brasil

 

 

 
Fonte de Consultas
 
Jornal do Brasil - Coluna Internet- dia 16/05/2002-Matéria publicada no JB
E-mails recebidos
O Globo - Informática
O Dia - Internet
Panda- Antivírus
Site http://www.universalvirus.hpg.com.br
 
Caso você  tenha alguma dica interessante sobre vírus , pode nos enviar para tentarmos combater este mal.
Enviar

Klez    Cuidados    Alarme    Truques   Vírus

Home

Fale conosco