Como remover o vírus Beagle/Bagle

Fevereiro 2017

O malware Bagle é, na verdade, um verme informático que é propagado, principalmente, pelos softwares P2P e através de falsos cracks (= softwares hackeados) ou e-mails. Ao fazer uma busca através de um software P2P, o usuário acredita estar baixando um crack para um software quando, na verdade, ele está baixando o P2P, o verme em seu computador. O arquivo .exe dentro do arquivo é, na realidade, o verme Bagle! Os nomes dos softwares pirateados são variados e comportam uma gama enorme de tipos de programas comuns, com o objetivo de se "esconder" e passar desapercebido. Este verme é, em geral, difícil a ser eliminado!


Sintomas causados pela infecção

Ao instalá-lo, o verme exibe uma janela pedindo para selecionar um arquivo a ser quebrado, aberto pela força (to crack). É uma mentira, pois ele não vai na verdade instalar um vírus no seu computador! Mensagem obtida com a busca:



Seu primeiro passo é o de infectar um arquivo limpo, no arranque: depois da leitura do registro, ele eliminará a chave safeboot que ajuda no arranque, em modo de segurança. Ele também neutraliza o funcionamento do antivírus e do firewall, impedindo a reinstalação dos mesmos. Você realizará, rapidamente, que uma grande parte dos programas de segurança não poderão mais ser executados, e o seguinte alerta de erro aparecerá: "aplicativo win32 inválido". Os arquivos da infecção Bagle são: wintems.exe, hldrrr.exe, srosa.sys, srosa2.sys, winfilse.exe, flec006.exe, mdelk.exe, winupgro.exe, wfsintwq.sys, 111wfs1intwq.sys, 11s11ro1s1a2.sys, ...

Cuidado! Não reinicie, de maneira alguma, em modo de segurança passando pelo comando msconfig, pois você corre o risco de ver o Windows reiniciar, sem parar, indefinidamente!

Preliminar

Desative o UAC se estiver rodando com o Vista durante o processo de limpeza. Se o TeaTimer (o residente do Spybot) estiver instalado, desative-o, pois ele pode atrapalhar a desinfecção. Como fazer isso: inicie o Spybot, clique em Modo e seleecion Modo avançado. À esquerda, clique em Ferramentase, depois em Residente. Desmarque o Residente TeaTimer e feche o Spybot.

Métodos de desinfecção

Veja abaixo, algumas das soluções disponíveis.

Reparar o acesso em modo de segurança

Você pode começar consertando o acesso ao modo de segurança, baixando este utilitário, ou um destes arquivos *.reg (de acordo com a versão do Windows).

FindyKill

Opção 1: baixe e instale o FindyKill e conecte as fontes de dados externas ao seu computador (pendrive USB, disco rígido externo, etc) susceptíveis de terem sido infectadas, sem abri-los. Clique duas vezes no atalho FindyKill no desktop (no Vista, clique no botão direito do mouse, no atalho FindyKill e selecione Executar como administrador). E, escolha a opção 1 (Busca). Aguarde para a ferramenta termine seu trabalho. Depois, poste o relatório FindyKill.txt que o programa gerará, num fórum.

Observação: o relatório FindyKill.txt será salvo na raiz do disco. (C:\FindyKill.txt)

Opção 2: conecte as fontes de dados externas ao seu computador (pendrive USB, disco rígido externo, etc) problemáticas, sem abri-las. Clique duas vezes no atalho FindyKill no desktop (no Vista, clique no botão direito do mouse, no atalho FindyKill e selecione Executar como administrador) e escolha a opção 2 (Remoção). Sua área de trabalho desaparecerá e seu PC se reinicializará. No arranque, FindyKill escaneará o seu computador. Deixe-o trabalhar. Depois, poste o relatório FindyKill.txt que se exibirá no desktop, em um fórum.

Observação: o relatório FindyKill.txt será salvo na raiz do disco. (C:\FindyKill.txt)
sobre o FindyKill.

Combofix

Clique com o botão da direita do mouse aqui e escolha: Salvar o alvo do link como. Escolha a área de trabalho como destino. No campo Nome do arquivo, Renomear ComboFix.exe em CCM.exe por exemplo e, Salve.

Cuidado! A etapa para atribuir um novo nome é obrigatória, caso contrário você pode ver obter a mensagem "ComboFix.exe é um aplicativo win32 inválido" e deixar, assim, o fix completamente ineficaz. Saia da internet e feche todas as aplicações e programas. Clique duas vezes em CCM.exe para executar o fix (No Vista, é preciso Executar como administrador). Aceite o alerta e a instalação do Console de recuperação (No XP). O relatório será criado na raiz do disco: C:\Combofix.txt.

Malwarebytes

Esta ótima ferramenta tem a particularidade de detectar completamente a infecção Bagle, no entanto, ela só é eficaz se você utilizar Elibagla logo antes, para neutralizar o arquivo infectado localizado em em 04 (HijackThis) ou se 04 já foi eliminado antes. Leia o tutorial aqui

Dicas Práticas

Linha de comando útil para o XP/Vista

Esta dica é destinada, principalmente, aos usuários experientes e aqueles que ajudam nos fóruns Vírus/Segurança. O falso crack que e copiado no lugar de um arquivo tem como particularidade, a utilização de um protetor de arquivos: o Themida. Este comando é capaz de mostrar a presença de arquivos infectados ligados ao Bagle e escondidos por este protetor de arquivos: abra o prompt de comando e entre a seguinte linha de comando:
findstr /S /I /M /L "Themida" C:\*.exe>>"%systemdrive%\Startvir.txt" 


O arquivo Startvir.txt que será criado na raiz, o «C:\Startvir.txt» listará os arquivos suspeitos encontrados. Depois da interpretação dos resultados, basta remover os arquivos.

Verificação

Faça sempre uma varredura online, por exemplo, o Escaneamento online com o Kaspersky.

Desativar/Reativar a restauração do sistema

Para purgar a restauração do sistema, desative-a e reative-a para, pois os pontos de restauração podem estar infectados (Pelo Bagle por exemplo): Para o XP e Para o Vista.

Se você tiver dificuldade para remover este verme que, somado à outras infecções, pode ser muito difícil à desalojar, não deixe de postar uma mensagem no fórum Vírus/Segurança explicando, rapidamente, as operações efetuadas e os problemas encontrados.

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 4 de outubro de 2016 às 06:54 por ninha25.
Este documento, intitulado 'Como remover o vírus Beagle/Bagle', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.