Infecção Bamital

Fevereiro 2017


Essa infecção é muito tenaz, e desvia a sua navegação!

Ela infecta arquivos do sistema, tais como:
  • C:\Windows\explorer.exe
  • C:\Windows\system32\winlogon.exe
  • C:\Windows\system32\wininit.exe


Esses arquivos não devem ser excluídos manualmente, porque se não, seu computador não poderá se reinicializar.
É preciso pedir ajuda no fórum de segurança do site, para que você seja ajudado no processo de desinfecção do seu PC.
Somente o primeiro método será compreendido por um iniciante, os outros dois métodos devem ser feitos e postados na discussão do fórum de segurança do site.

Vírus Total


Analise os três arquivos anteriores no Vírus Total, e mantenha os relatórios que te serão pedidos no fórum Vírus Total, aqui: http://www.virustotal.com/index.html

Se o Vírus Total não passar, analise os arquivos aqui: http://virusscan.jotti.org/pt-br ou http://scanner.virus.org/

Exemplos do relatório do Vírus Total:

File name: explorer.exe
Submission date: 2010-11-30 17:32:36 (UTC)
Current status: queued (#8) queued (#8) analysing finished
Result: 24/ 43 (55.8%)
VT Community -
Compact Print results Antivirus Version Last Update Result
Avast 4.8.1351.0 2010.11.30 Win32:Bamital-AO
Avast5 5.0.677.0 2010.11.30 Win32:Bamital-AO
AVG 9.0.0.851 2010.11.30 Win32/Patched
BitDefender 7.2 2010.11.30 Trojan.Patched.GR
CAT-QuickHeal 11.00 2010.11.30 Trojan.Patched.JW
Command 5.2.11.5 2010.11.30 W32/Bamital.F
Comodo 6904 2010.11.30 TrojWare.Win32.Patched.kl
DrWeb 5.0.2.03300 2010.11.30 Win32.Dat.14
eTrust-Vet 36.1.8008 2010.11.30 Win32/Bamital.AP
F-Prot 4.6.2.117 2010.11.30 W32/Bamital.F
F-Secure 9.0.16160.0 2010.11.30 Trojan.Patched.GR
Fortinet 4.2.254.0 2010.11.30 W32/Pached.KL!tr
GData 21 2010.11.30 Win32:Bamital-AO s
Kaspersky 7.0.0.125 2010.11.30 Trojan.Win32.Patched.kl
Microsoft 1.6402 2010.11.30 Virus:Win32/Bamital.I
NOD32 5661 2010.11.30 Win32/Bamital.EV
nProtect 2010-11-30.01 2010.11.30 Trojan.Patched.GR
Panda 10.0.2.7 2010.11.30 W32/Patched.AC
PCTools 7.0.3.5 2010.11.30 Trojan.Bamital
Sophos 4.60.0 2010.11.30 Troj/Patched-O
SUPERAntiSpyware 4.40.0.1006 2010.11.30 -
Symantec 20101.2.0.161 2010.11.30 Trojan.Bamital!inf
TrendMicro 9.120.0.1004 2010.11.30 PE_PATCHED.SMC
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 PE_PATCHED.SMC
MD5 : fb7c3e1fb0e273f8a041ee0af27be807
SHA1 : 312712e4574a6bc039e89d8ac23eaa32ed371de3
SHA256: f47847cc247396cb9c35fdad409c6e4016e34544207b53961ecf5dbb617b8982

ZHPDIAG


Baixe a última versão do ZHPDiag (de Nicolas coolman).
Download

(Ferramenta de diagnóstico)

Dê um clique duplo no arquivo de instalação e instale-o com as configurações padrão (não se esqueça de assinalar a casa "Criar um ícone no desktop")

Execute o ZHPDiag duas vezes, clicando no ícone, no seu desktop (botão direito -> Executar como administrador (Vista)

Clique na lupa clique no canto superior esquerdo, e deixe a ferramenta analisar.

Quando a varredura terminar, clique no ícone em forma de disquete, salve o arquivo em seu desktop e guarde-o ; ele te será útil no fórum para um ajudante confirmado.

Vá no site Cjoint : Cjoint

Clique em "Percorrer " na parte "Adicionar um arquivo[...] "

Selecione o relatório ZHPdiag.txt que se encontra no seu desktop

Depois, clique em "Clique aqui para soltar o arquivo" e copie/cole o link na sua próxima mensagem

ZHPSEARCH


Este software é incluído no ZHPDiag apresentado acima, para executá-lo, basta abrir ZHPDiag e clicar no binóculo (= Zhpsearch)

Depois,
1) Selecione "Trojan.Batimal" na lista suspensa, situada no canto inferior direito
2) Clique no botão "lupa" para iniciar a busca
3) Após a pesquisa, clique no botão "Exibir o relatório"
4) Poste o relatório


Exemplo do relatório:

Relatório do ZHPSearch 1.23.09 por Nicolas Coolman, Update de 27/11/2010
Run by patrice d at 01/12/2010 16:18:50
Windows XP Professional Service Pack 3 (Build 2600)

---\\ Elemento(s) de pesquisa
- Trojan.Batimal

---\\ Lista dos Arquivos & Pastas:
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\explorer.exe [1037824] => Arquivo desconhecido
[MD5.C3FD6FD5C67D91455C246C2A703D7280] 30/11/2010 23:47:50 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [73992]
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824] => Arquivo desconhecido
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [513536] =>Arquivo desconhecido
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\winlogon.exe [513536] => Arquivo desconhecido

Neste exemplo, os arquivos estão marcados como desconhecidos, assim, devem ser verificados. Se estiver marcado como "Arquivo São", é que não há infecção. E, claro, se estiver marcado como "Arquivo Infectado", é que a infecção está presente.
Como esta infecção é muito complexa, é preciso pedir ajuda no fórum de segurança do site

Softwares que permitem a desinfecção
  • Combofix: este software permite, às vezes, uma desinfecção nos computadores com o XP
  • OTPLE
  • Console de recuperação

Veja o site de malekal: http://forum.malekal.com/...


Tradução feita por Lucia Maurity y Nouira

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 20 de fevereiro de 2012 às 15:25 por ninha25.
Este documento, intitulado 'Infecção Bamital', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.