Rogue - Windows Diagnostic / Windows Recovery

Dezembro 2016


Falso alerta de segurança, na esperança de fazer você baixar um software falso para reparar discos rígidos, o que é apenas uma falcatrua. Ao escanear o seu computador, ele vai te convencer que seus discos rígidos estão em mau estado. A aquisição do software é proposta a fim de reparar os HDD => não digite os seus dados bancários.

O software rogue também oculta os arquivos e pastas em várias pastas, a saber:

  • Barra de lançamento rápido
  • Desktop
  • Discos locais
  • Meus documentos
  • etc...


O que é Windows Diagnostic / Windows Recovery?


Windows Diagnostic / Windows Recovery faz parte da família dos rogues

Podemos reconhecê-lo através das linhas alojadas no "% appdata%" nos relatórios como o Hijackthis:

C:\Documents and Settings\All Users\Application Data\XyeIUNjAcxCNDqR.exe

Chaves de registro afetadas:
HKCU\[...]\Run : XyeIUNjAcxCNDqR (C:\Documents and Settings\All Users\Application Data\XyeIUNjAcxCNDqR.exe)

Ele também impede a abertura do gerenciador de tarefas:
HKLM\[...]\System : DisableTaskMgr (1)
  • Você pode seguir os vídeos:

Windows Diagnostic: http://www.youtube.com/watch?v=wHC3Fk5CpVA
Windows Recovery: http://www.youtube.com/watch?v=w0vL0E6zm-E
  • Ou seguir esta abordagem (semelhante)

Matar o processo Rogue e sua chave de registro

  • Baixe no desktop RogueKiller (por Tigzy) (A partir de um pen drive se o Rogue impedir o acesso à net) .
    • Fechar todos os programas em curso
    • Executar o RogueKiller.exe.
    • Quando solicitado, digitar 2 (modo Exclusão) e confirmar
    • Se o programa for bloqueado, mudar o nome para Winlogon.exe e recomeçar
    • Você deverá obter um relatório semelhante:


Processo malicioso: 1
[APPDT/TMP/DESKTOP] XyeIUNjAcxCNDqR.exe -- c:\documents and settings\all users\application data\xyeiunjacxcndqr.exe -> KILLED

Entradas de registro: 3
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : XyeIUNjAcxCNDqR (C:\Documents and Settings\All Users\Application Data\XyeIUNjAcxCNDqR.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED

Recuperar os arquivos e pastas ocultos pelo rogue

  • Executar o RogueKiller.exe.
  • Quando solicitado, digitar 6 (modo Atalho HJ) e confirmar
  • Você deverá obter um relatório semelhante, que mostrará os arquivos restaurados:


Processo malicioso: 0

Atributos dos arquivos restaurados:
Desktop: Success 48 / Fail 0
Lançamento rápido: Success 5 / Fail 0
Programas: Success 105 / Fail 0
Menu Iniciar: Success 52 / Fail 0
Meus documentos: Success 6 / Fail 0
Meus favoritos: Success 9 / Fail 0
Discos locais: Success 0 / Fail 0


Se certos arquivos ou pastas não forem encontrados, não se preocupe.
Faça da seguinte maneira:
  • Ativar a exibição das pastas ocultas.
  • Os arquivos que estão faltando aparecerão um pouco transparentes.
  • Clique, com o botão direito do mouse, nele e em Propriedades. Desmarque a opção "oculto" e confirme.

Finalizar a desinfecção excluindo os arquivos infectados


  • Instale o software.
  • /!\Usuário do Vista e do Windows 7: Clique, com o botão direito do mouse, no logotipo do Malwarebytes' Anti-Malware, « executar como Administrador »
  • Se o arquivo COMCTL32.OCX estiver faltando, você poderá baixá-lo

aqui
  • Faça as atualizações(Clique em Atualizações e Pesquisa de Atualizações).
  • Execute o MalwareBytes' Anti-Malware, clique em "Executar uma varredura completa" e "Pesquisar", selecione todos os seus discos rígidos e clique em "Executar a varredura".
  • Quando a análise terminar, clique em "Resultados" e em "Excluir a seleção" (Se uma mensagem solicitar uma reinicialização do PC, aceite!)


Observação: Se não funcionar Arranque em modo de segurança e reexecute o procedimento acima.

Antivir Rescue System


Se o computador não estiver querendo mais reinicializar, você pode tentar passar o Antivir Rescue System, que é um CD-bootável com o antivírus Antivir para criar a partir de outro PC.

Tutorial

Depois da limpeza


Para verificar se não sobrou nada, é melhor passar um Como remover Windows Diagnostic.

Links sobre a infecção:

Eu recomendo que você siga uma desinfecção ou peça ajuda para desinfetar o seu PC no fórum Vírus/Segurança. Um ajudante confirmado poderá te ajudar nas manipulações ou confirmar que você não está mais infetado pelo rogue.



Tradução feita por Lucia Maurity y Nouira

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 27 de março de 2011 às 16:56 por pintuda.
Este documento, intitulado 'Rogue - Windows Diagnostic / Windows Recovery', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.