Precursor Description A Remote Administration Tool is a special kind of hacker malware, used for remote access and control of other people's PCs. The attacker infects the PC via the e-mail or File and Print Sharing. A "server" allows him to connect via a "client" on his own machine. The functions of a RAT may vary, depending on the needs of the hacker. Some RATs can't really harm your PC and the only purpose they were made for is hooliganism. But some versions can steal vital information, remove files and even crash your computer. This dangerous pest also has a "password capture" ability.
Precursor Manual Removal Instructions
Backup Reminder: Always be sure to back up your PC before making any changes.
Step 1 : Use Windows Task Manager to Remove Precursor Processes
Remove the "Precursor" processes files:
Backup Reminder: Always be sure to back up your PC before making any changes.
Step 1 : Use Windows Task Manager to Remove Precursor Processes
Remove the "Precursor" processes files:
Read more on How to kill Precursor Processes
Step 2 : Detect and Delete Other Precursor Files
Remove the "Precursor" processes files:
Read more on How to Delete Harmful Files
=========================
Source
Faça o windows exibir todos os arquivos em: Opções de Pasta // Selecione a aba Modo de exibição // Agora, selecione Mostrar pastas e arquivos ocultos // Desmarque a caixa Ocultar arquivos protegidos do sistema operacional (recomendado) // Confirme: OK
@- Reinicie o computador em Modo Seguro (fique pressionando a tecla F8, ou F5 em alguns casos, durante a inicialização).
@- Faça uma busca em seu sistema pela pasta em negrito abaixo e delete todos os arquivos .exe que constam dentro dela. Não delete a pasta.
C:\WINDOWS\help\*.exe
Ex:
...\help\dmnn455.exe, ...\help\miio4816.exe
- Execute o HijackThis - Clique em Do a System Scan Only. Marque as caixinhas referentes à(s) entradas dos arquivos deletados acima. Ao final da seleção, clique em Fix Checked...
Ex:
O4 - HKLM\..\Run: [foxvdto6435] C:\WINDOWS\help\gwrn9050.exe
O4 - HKLM\..\Run: [foxotkv5468] C:\WINDOWS\help\iezs7358.exe
O4 - HKLM\..\Run: [foxregt8686] C:\WINDOWS\help\ezun683.exe
O4 - HKLM\..\Run: [foxyejt3283] C:\WINDOWS\help\irgk5371.exe
...
O4 - HKLM\..\Run: [foxwdri6321] C:\WINDOWS\help\gndt1688.exe
O4 - HKLM\..\Run: [foxihyw8976] C:\WINDOWS\help\gqnw8408.exe
O4 - HKLM\..\Run: [foxwrrs9842] C:\WINDOWS\help\driu278.exe
...
Observação: Perceba o O4 - HKLM\..\Run: [fox...] em comum. Marque todas!
@- Reinicie em modo normal.
@- Faça um scan on-line em um desses links disponíveis:
PANDA ou
BITDEFENDER
...em todos os discos; reserve log...
@- Copie outro log do Hijack (atualizado), scan on-line e cole-os na sequência.
-----------------------
@- Faça o download do(s) programa(s) relacionado(s) abaixo, mas não execute ainda.
- Copie as instruções para o bloco de notas ou imprima!
- Faça a descompactação do KillBox e reserve-os numa pasta ou em seu desktop;
- Execute a Ferramenta KillBox. Marque a opção Delete on Reboot. Copie toda a lista abaixo em vermelho, selecionando-a e clicando com o botão direito do mouse -> copiar...
C:\WINDOWS\DLP.dll
...No KillBox, com os arquivos já copiados para área de transferência, clique em File -> Paste from clipboard... Clique no botão All Files, agora, no X... e responda Não à pergunta.
@- Reinicie o computador em Modo Seguro (fique pressionando a tecla F8, ou F5 em alguns casos, durante a inicialização).
- Execute o HijackThis - Clique em Do a System Scan Only. Marque as caixinhas referentes à(s) entradas relacionadas abaixo em azul. Ao final da seleção, clique em Fix Checked...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :8080
O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - C:\WINDOWS\DLP.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
@- Reinicie em modo normal.
@- Faça um scan on-line em um desses links disponíveis: PANDA ou BITDEFENDER
...em todos os discos; reserve log...
@- Copie outro log do Hijack (atualizado), scan on-line e cole-os na sequência.
Observação: Não esqueça de "postar" o log do scan on-line.-----------------------
@- Faça o download dos programas relacionados abaixo, mas não execute nenhum ainda.
- Desk-Fix
Provavelmente o arquivo .reg que é capaz de alterar as configurações da área de trabalho alterada por algumas infecções semelhantes ao Trojan Desktop.Hijacker.
Download:
linhadefensiva.org/files/reg/desk-fix.reg - Silent Runners.vbs www.silentrunners.org
(Uso del script Aqui).
- Execute a Ferramenta KillBox. Marque a opção Delete on Reboot. Copie toda a lista abaixo em vermelho, selecionando-a e clicando com o botão direito do mouse -> copiar...
C:\WINDOWS\System32\kernels8.exe
...No KillBox, com os arquivos já copiados para área de transferência, clique em File -> Paste from clipboard... Clique no botão All Files, agora, no X... e responda Não à pergunta. OBS: Será normal se o KillBox não achar algum arquivo listado...
@- Reinicie o computador em Modo Seguro (fique pressionando a tecla F8, ou F5 em alguns casos, durante a inicialização).
- Execute o HijackThis - Clique em Do a System Scan Only. Marque as caixinhas referentes à(s) entradas relacionadas abaixo em azul. Ao final da seleção, clique em Fix Checked...
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
- Execute a Ferramenta Desk-Fix - Dê dois clicks // Confirme...
@- Reinicie em modo normal.
- Execute a Ferramenta Silent - Aguarde..., e reserve o log.
@- Copie outro log do Hijack, Silent e cole-os na sequência.
No comments:
Post a Comment