jump to navigation

Como remover o Qakbot 18/05/2010

Posted by Alexander Santos in Segurança da Informação, Windows XP.
trackback

Primeiro você deve ter um anti-vírus de boa qualidade instalado, como o Kasperky, Gdata, Symantec e etc.

depois siga os seguintes passos:

1. Desabilite a Restauração do sistema
Windows XP usa esse recurso, que é ativado por padrão, para restaurar os arquivos no seu computador, caso eles sejam danificados. Se um vírus, worm ou cavalo de Tróia infectar o computador, a Restauração do Sistema pode armazenar uma cópia do vírus, worm ou cavalo de Tróia no computador.

Windows impede que programas externos, inclusive programas antivírus, de modificar a Restauração do Sistema. Portanto, programas antivírus ou ferramentas não podem remover ameaças na pasta da Restauração do Sistema. Como resultado, a Restauração do Sistema tem o potencial de restaurar um arquivo infectado no seu computador, mesmo depois de ter limpado os arquivos infectados de todos os outros locais.

Além disso, uma verificação de vírus detecta uma ameaça na pasta da Restauração do Sistema, mesmo que você tenha removido a ameaça.

Nota: Quando estiver totalmente concluído o processo de remoção e ter a certeza de que a ameaça foi removida, reative a Restauração do Sistema.

2. Atualizar as definições de vírus.

3. Executar uma verificação completa do sistema com o seu anti-vírus já atualizado.
Se qualquer arquivo for detectado, siga as instruções indicadas por seu programa antivírus.

Importante: Se você não conseguir iniciar o antivírus ou não consegue  excluir um arquivo detectado, será necessário interromper a execução do processo do vírus para removê-lo. Para fazer isso, execute a verificação no Modo de Segurança; Assim que tiver reiniciado em Modo de Segurança, execute a verificação novamente.

Depois que os arquivos são apagados, reinicie o computador em Modo Normal.

Mensagens de aviso pode ser exibida quando o computador é reiniciado, uma vez que a ameaça não pode ser completamente removida até este ponto. Você pode ignorar essas mensagens e clique em OK. Essas mensagens não serão exibidas quando o computador for reiniciado após as instruções de remoção terem sido totalmente concluídas. As mensagens exibidas podem ser semelhantes ao seguinte:

Título: caminho] arquivo [
Corpo da mensagem: Windows cannot find [file name]. Verifique se você digitou o nome corretamente e tente novamente. Para procurar um arquivo, clique no botão Iniciar e clique em Procurar.

4. Excluir o valor do registro do vírus
Importante: Faça um backup do Registro antes de fazer quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou arquivos corrompidos. Modifique somente as chaves especificadas.

1. Clique em Iniciar> Executar.
2. Digite regedit
3. Clique em OK.

Nota: Se o editor do registro não consegue abrir o vírus pode ter modificado o registro para evitar o acesso ao Editor do Registro. Security Response desenvolveu uma ferramenta para resolver esse problema. Baixe e execute essa ferramenta e, em seguida, continue com a remoção.

4. Navegue até a chave abaixo e exclua a entrada do Registro:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ “[LEGITIMATE APPLICATION NAME]” = “\” C: \ Documents and Settings \ All Users \ _qbothome _qbotinj.exe \ “\” C: \ Documents and Settings \ All Users \ _qbothome \ _qbot.dll \ “/ c [PATH TO LEGITIMATE APPLICATION]”

Nota: [LEGITIMATE APPLICATION NAME] é um programa legítimo que já existe no computador e é escolhido aleatoriamente pela ameaça.

5. Saia do Editor do Registro.

Nota: Se o vírus criar ou modificar subchaves ou entradas de registro em HKEY_CURRENT_USER, é possível que ele tenha criado para cada usuário no computador vulnerável. Para garantir que todas as subchaves ou entradas foram removidas ou restauradas, faça logon usando cada conta de usuário e verifique todos os itens listados abaixo de HKEY_CURRENT_USER.

Anúncios

Comentários»

No comments yet — be the first.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: