Como acabar com um serviço infectado

Março 2017

Durante uma desinfecção, você pode precisar remover um serviço infectado por um malware. Esta dica vai te mostrar alguns métodos de remoção.


Como remover uma infecção com o HijackThis

A opção Delete an NT service permite que você exclua os serviços visíveis nas linhas O23 de um relatório HijackThis, depois de serem suspensos ou desativados. Para isso, acesse o menu Iniciar > Executar, digite
services.msc
e valide com o Ok. Na janela seguinte, procure os serviços a serem suspensos.

Exemplo: para excluir o serviço Boonty Games, clique nele com o botão direito do mouse > Parar > Propriedades > Tipo de arranque, botar em Desativado e validar com Ok.

Para suspender um serviço pela linha de comando, leia
esta dica. Em seguida, executar o HijackThis.

Linha HijackThis correspondente a este serviço:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe 

Selecione a Open misc tools section, opção Delete an NT service e entre o nome exato do serviço a ser excluído! No nosso caso, BOONTY Games.

Observação: depois de excluído, será impossível restaurar o serviço. Se você não estiver seguro sobre a legitimidade de um serviço, basta desativá-lo:


Como excluir pela linha de comando

Você também pode excluir um serviço pela linha de comando. Para fazê-lo, vá em Iniciar > Executar, digite cmd e validar com o Ok.

Na janela DOS seguinte, digite cada um desses comandos, seguido do nome do serviço a ser excluído respeitando a sintaxe e confirme pressionado a tecla Enter, depois de cada linha.

Exemplo de linha de comando para entrar e suspender ou remover dois serviços infectados, ou seja, os serviços ezntsvc e scagent:
sc stop ezntsvc [Enter]
sc config ezntsvc start= disabled > e validar com o Ok
sc delete ezntsvc [Enter]
sc stop scagent [Enter]
sc config scagent start= disabled > e validar com o Ok
sc delete scagent [Enter]
exit [Enter]

Observações importantes

Para remover um serviço com um nome composto por várias palavras, tais como a seguinte linha HijackThis:
 O23 - Service: Serviço Bom dia (Bom dia Service) - Apple Inc. - C:\Program Files\ Bom dia\ mDNSResponder.exe

Digite o nome completo entre parênteses, ou seja, entre os comandos assim:

sc stop "Bom dia Serviço"
sc delete " Bom dia Serviço"

O nome do serviço a ser removido será aquele entre parênteses, ou seja, no nosso exemplo "Serviço Bom dia", como mencionado anteriormente na linha HijackThis, em negrito, e não aquele anterior "Serviço Bom dia", que é apenas uma descrição, e não o nome "reconhecido" pelo sistema. Se a linha O23 do relatório HijackThis não tiver nome entre aspas, como foi o caso desta linha:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Arquivos comuns\BOONTY Shared\Service\Boonty.exe 

Então, o nome do serviço a ser excluído será o nome logo depois de Service:


Estes dois métodos de remoção podem ser aplicados a serviços chamados básicos, mas não funcionarão obrigatoriamente em serviços de rootkits, muito mais complexos a serem detectados e, consequentemente, removidos.

Como remover pelo OTM

Para remover o serviço, você deve saber o nome do serviço. Este nome é o texto entre parênteses. Se o nome de exibição é idêntico ao nome do serviço, o nome do serviço não aparecerá na lista.


Exemplo:
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Arquivos comuns\BOONTY Shared\Service\Boonty.exe

Se o nome de exibição for diferente do nome do serviço, o nome do serviço aparecerá entre parênteses.
Ou seja,
O23 - Service: Bom dia Serviço (Bom dia Serviço) - Apple Inc. - C:\Program Files\Bom dia\mDNSResponder.exe

Para excluir um serviço com OTM é preciso fazer um script. O comando Service seguido do nome do serviço abaixo, para remover o serviço desejado: commands seguido por [reboot] é usado para reiniciar o PC.

Veja um exemplo de script para remover o serviço Boonty Games:
Baixe o OTM (OldTimer) no desktop. Clique duas vezes no OTM.exe para executá-lo (No Vista, clique direito em "OTM" e selecione "Executar como administrador") e Copie (Ctrl+C) o texto abaixo:

:services
Boonty Games

:commands
[reboot]

Cole (Ctrl+V) o texto copiado anteriormente no quadro Paste Instructions for Items to be Moved.

Agora, clique no botão MoveIt! e feche o OTM. Se um arquivo ou pasta não puder ser removido imediatamente, o software pedirá para você reinicializar. Aceite clicando em Yes. Depois da reinicialização, um relatório será apresentado mostrando se a manipulação funcionou, ou não. Se a manipulação foi bem-sucedida, você deverá ver algo assim:

========== SERVICES/DRIVERS ==========  
Service Boonty Games stopped successfully.
Service Boonty Games deleted successfully.

Foto: © Yuriy_Vlasenko - Shutterstock.

Veja também

Artigo original publicado por . Tradução feita por pintuda.
Este documento, intitulado 'Como acabar com um serviço infectado ', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.