Como acabar com um serviço infectado ?

Novembro 2016


Durante uma desinfecção, ou pessoalmente, pode acontecer de você ter que (fazer) remover um serviço infectado pertencente a um malware. Aqui estão alguns métodos de remoção.


Remoção passando pelo HijackThis


A opção delete an NT service permite que você exclua os serviços visíveis nas linhas O23 de um relatório HijackThis, depois de serem parados ou desativados antes.
Para isso:
  • Ir em: Iniciar
  • Módulo Executar, e digitar: services.msc e validar com OK.
  • Na janela seguinte, buscar o(s) serviço(s) que devem ser parados.
  • Exemplo para excluir o serviço: Boonty Games
    • Clicar nele com o bbotão direito do mouse > parar > e proprieades : tipo de arranque, botar em desativado e validar.
  • Você também pode parar um serviço na linha de comando:
  • Depois executar o HijackThis.
  • Linhe HijackThis correspondante a este serviço:
    • O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
  • Escolher a seção open misc tools section.
  • Opção delete an NT service.
  • Entrar o nome exato do serviço a ser excluído! No nosso caso: BOONTY Games
  • Atenção ! Depois de excluído, será impossível restaurar um serviço. Se você não estiver seguro da legitimidade de um serviço, basta desativá-lo!

Remoção em linha de comando


Você também pode excluir um serviço na linha de comando diretamente; para isso:
  • Ir em: Iniciar
  • Módulo Executar, e digitar: cmd e validar com o OK.
  • Na janela DOS seguinte, digitar cada um desses comandos, seguido do nome do serviço a ser excluído em estrita conformidade com a sintaxe e confirmar com o [Enter] após cada linha.


Exemplo de linha de comando para entrar para parar e remover dois serviços infectados, ou seja, os serviços ezntsvc e scagent:
  • sc stop ezntsvc [Enter]
  • sc config ezntsvc start= disabled > e validar com o OK
  • sc delete ezntsvc [Enter]
  • sc stop scagent [Enter]
  • sc config scagent start= disabled > e validar com o OK
  • sc delete scagent [Enter]
  • exit [Enter]


Observações importantes :
  • 1) Para remover um serviço com nome composto por várias palavras, tais como a seguinte linha HijackThis:
    • O23 - Service: Serviço Bom dia (Bom dia Service) - Apple Inc. - C:\Program Files\ Bom dia\ mDNSResponder.exe </ital >
    • Digitar o nome completo delimitado por parenteses , ou seja, entrar os comandos assim:
      • sc stop "Bom dia Serviço"
      • sc delete " Bom dia Serviço"
  • 2) O nome do serviço a ser removido será aquele entre parênteses, isto é, no nosso exemplo "Serviço Bom dia", como mencionado anteriormente na linha HijackThis em negrito, e não aquele anterior, Serviço Bom dia, que é apenas uma descrição e não o nome "reconhecido" pelo sistema. Se a linha O23 do relatório HijackThis não tem nome entre parênteses, como foi o caso desta linha:
    • <ital>O23 - Service: Boonty Games - BOONTY - C:\Program Files\Arquivos comuns\BOONTY Shared\Service\Boonty.exe
    • Então, o nome do serviço a ser excluído será o nome logo depois de "Serviço".
  • 3) Estes dois métodos de remoção podem ser aplicados a serviços chamados "básicos", mas não funcionarão obrigatoriamente em serviços de rootkits, muito mais complexos a serem detectados e, consequentemente, removidos.

Remoção passando pelo OTM


Para remover o serviço, você deve saber o nome do serviço. Este nome é o texto entre parênteses. Se o nome de exibição é idêntico ao nome do serviço, o nome do serviço não aparecerá na lista.

Exemplo :
  • O23 - Service: Boonty Games - BOONTY - C:\Program Files\Arquivos comuns\BOONTY Shared\Service\Boonty.exe

Se o nome de exibição é diferente do nome do serviço, o nome do serviço aparecerá entre parênteses.

Exemplo:
  • O23 - Service: Bom dia Serviço (Bom dia Serviço) - Apple Inc. - C:\Program Files\Bom dia\mDNSResponder.exe

Para excluir um serviço com OTM, é preciso fazer um script. O comando: service seguido do nome do serviço abaixo, para remover o serviço desejado. : commands seguido por [reboot] é usado para reiniciar o PC.
Veja um exemplo de script para remover o serviço Boonty Games.
  • Baixar o OTM (OldTimer) no desktop.
  • Clicar duas vezes no OTM.exe para executá-lo.

(No Vista, clicar com o botão direito do mouse em OTM e selecionar Executar como administrador)
  • Copiar (Ctrl+C) o texto abaixo:

:services  
Boonty Games  

:commands  
[reboot]
  • Colar (Ctrl+V) o texto copiado anteriormente no quadro Paste Instructions for Items to be Moved.
  • Agora, clicar no botão MoveIt! e fechar o OTM. Se um arquivo ou pasta não puder ser removido imediatamente, o software pedirá para você reinicializar. Aceite clicando no YES.
  • Depois da reinicialização, será apresentado um relatório mostrando se a manipulação funcionou, ou não. Se a manipulação foi bem-sucedida, você deverá ver uma parte assim:


========== SERVICES/DRIVERS ==========  
Service Boonty Games stopped successfully.  
Service Boonty Games deleted successfully. 



Tradução feita por Lucia Maurity y Nouira

Veja também :
Este documento, intitulado « Como acabar com um serviço infectado ? »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.