05 janeiro 2008

Removendo o vírus Bagle / Beagle

Bem, pessoal, fazia tempo que não era vítima de um vírus e coisas do tipo, principalmente por tomar muito cuidado. Até que esses dias, fui infectado. Por esse vírus, também apontado como "gusamo BAGLE" ou "praga bagle", se você procurar por isso na rede, verá muitos fóruns e tópicos sobre tal.


Detectação do vírus
De ínicio não percebi que estava infectado. Percebi que o computador estava com alguns problemas bizarros; como o Macromedia Flash, ao executá-lo, ele começava a carregar o boot mas logo fechava o aplicativo do nada; sem lógica nenhuma, e nem apontava erro; e curiosamente o Dreamweaver carregava e funcionava normalmente. O FTP Explorer não estava mais querendo conectar com o servidor do Geocities, mas a culpa provavelmente não foi o vírus, pois ainda não está conectando.

Mas foi ontem a noite, enquanto conversava com um amigo no MSN, ele me enviou uma música, e no final do compartilhamento, na hora em que o anti-virus (AVG) faria uma varredura, deu algum erro e não aceitou o arquivo. Logo disse para ele que o arquivo estava infectado, e ele falou que não. Ai fui ver, e percebi que o meu anti-virus (AVG) não estava aberto. Achei isso estranho, pois ele sempre está, está no boot do Windows (XP Profissional SP2); mandei executar o Anti-vírus, mas o atalho começava a procurar o executável e não encontrava. Fui até a pasta nos "Arquivos de programas", e a pasta do AVG estava com muitos arquivos faltando, como se alguem tivesse deletado.

Logo pensei que meu irmão havia desisntalado o AVG ou algo assim. Dei um reboot no pc para ver se o boot do windows executava o AVG, mas nada. Eu realmente estava sem um anti-virus. Pior, como meu usuário é o avançado e não o administrador, fico restrito para muitas tarefas, como instalar softwares que manipular o registro, arquivos de sistema entre outros. Então não podia instalar novamente.
Fui para o Gerenciador de Tarefas e percebi que haviam alguns processos no mínimo suspeito, pois não me recordava deles.

Bem, hoje, meu irmão reparou a ausência do AVG e tentou instalar novamente, quando ocorreu uma falha na instalação. E ele disse: "Muluque, você pegou vírus nessa coisa!" Aí ele foi viajar, e me deixou logado no administrador para eu retirar o vírus e tal.
Fui na net, peguei outros anti-vírus como o Panda (que já me salvo algumas vezes) e o Avast. Depois, fiquei com receio de zuar o usuário principal do computador, então coloquei o meu usuário como Administrador e mudei para lá.
No meu usário, de primeira veio aquela mensagem quando se mexe no msconfig, e ai fui olhar lá na inicialização. E de cara percebi que estava com vírus. Encontrei o seguinte:

Nunca havia visto esses dois arquivos, e estava mais do que na cara que eram vírus, worm, ou alguma coisa do tipo:
hldrrr.exe end: system32\drivers
wintems.exe end: system32
Procurei sobre tais no google, e realmente constatei que eram vírus.

Bem, nisso não tive sucesso na instalação do Panda. Mas conseguiu instalar o AVAST e ele logo mandou dar um reboot no pc, e faria uma varredura no boot do Windows. E assim foi.

O AVAST
No boot, realmente fez uma longa varredura, quase 1h. E encontrou 5 arquivos infectados.
c:\Doc. and. set..\Eduardo\Conf. locais\temp. internet\ Content.IE5\P2WBWL9I\b64_3[1].jpg
c:\Doc. and. set..\Evandroo\Conf. locais\temp. internet\ Content.IE5\7Aw9JY4K\b64_3[1].jpg
c:\System Volume Information\_restore{DE2FD822-3A3D-4CE5-80B0-98182AF1C409}\A0032966.exe
c:\System Volume Information\_restore{DE2FD822-3A3D-4CE5-80B0-98182AF1C409}\A0032967.exe
c:\www.exe
todos infectados com: Win32: Beagle-YN [wrm]

Mas nada do hldrrr.exe, nem do wintems.exe. O Windows iniciou, e para variar, o AVAST não iniciou; seu executável também foi deletado, e ficou totalmente inoperante. E novamente, no msconfig, os dois arquivos estavam selecionados para inicialização, sendo que cancelei da outra vez.

No Prompt de Comando - cmd
Então fui tentar deletá-los na marra. Fui na pasta do system32, com a opção de "mostrar arquivos ocultos e do sistema", mas o wintems.exe não aparecia. Fui na pasta drivers, e lá também não encontrava o hldrrr.exe.

Então, fui tentar pelo cmd. Fui até a pasta system32\drivers, e dei o comando apenas para mostrar os executáveis:
dir /w *.exe
e apareceu um único o arquivo, o bendito hldrrr.exe
então mandei deletá-lo:
del hldrrr.exe

Dei novamente o comando do 'dir', e o arquivo havia desaparecido. Bem, acho que tive sucesso. Então dei um "cd.." fui até a pasta system32, a fim de fazer o mesmo com o wintems.exe. Mas ele não aparecia como seu companheiro.

O Golpe Final - A Remoção
Fui procurar mais sobre tal na rede. Encontrei alguns fóruns e sites, como este [link], que possuia um método muito longo e complicado, teria que mexer na memória, registro e etc. E não estava a fim de tudo isso. Mas encontrei outro site, um blog [link], o qual foi bem objetivo e apontava um programinha que resolvia o problema, eliminava o vírus facinho.

Nisso eu também procurei no PC, por alguns outros arquivos, que os sites apontavam, que fazia parte do pacte do vírus:
hidr.exe
m_hook.sys
hidn2.exe
srosa.sys
Mas não encontrava nenhum; mas quem sabe se estava infectado com eles também ou não?
Então, baixei o programa que o autor do blog dizia ser a solução fácil, um programa leve em espanhol que não precisa de instalação, faz uma varredura do vírus no pc, o encontra e retira, o EliBagLa. [para fazer o download clique aqui, ~47kb]


O instalei e mandei executá-lo. Ele logo detectou a presença do vírus Gusano BAGLE e mandava dar um reboot no pc para concluir a eliminação.
Reiniciei o computador, o boot foi até muito mais rápido dessa vez (creio que o vírus estava deixando mais lerdo o boot), mas na hora de logar no usuário o computador deu uma travidinha. Até pensei: "Ai! Lá vai eu ter que formatar." Mas logo, apareceu uma mensagem do anti-vírus dizendo que o vírus havia sido removido com sucesso, e aparecia ele para fazer uma varredura antes de iniciar a Area de Trabalho do usuário.




Vírus Eliminado

O EliBagLa realmente resolveu, simples, e fácil. Com apenas 48kb, e sem travar o pc, sem ter que instalar nada; ele fez simplesmente seu trabalho. No msconfig, os arquivos hldrrr.exe e wintems.exe se encontravam inativos. O Flash voltou a funcionar!!! E agora pude instalar novamente o anti-vírus (AVG).
Todos falam mal do AVG, eu falo mal também - parece uma peneira furada; a própria infecção desse vírus foi uma prova disso, apesar de estar usando a versão gratuita, estava com atualização em dia. Mas pelo que andei vendo na Internet, o vírus também não foi detectado pela maioria dos antí-vírus, antí-spy, firewall, alertas etc. Para ser sincero, não me recordo de ter lido em nenhum lugar algo do tipo: "meu anti-x detectou o vírus".
Contudo, isso não resolveu o problema. No dia seguinte, lá estava hldrrr.exe novamente. Fiquei até bravo por isso. Pois se nem mesmo aquele software não resolveu, o que resolveria? Então entrei no site do Superdownloads e baixei a maior parte dos aplicativos especialmente para remoção desse vírus [link - programas] e também entrei no suporte da Microsoft, do Windows XP, e procurei sobre o vírus Bagle, e encontrei várias informações, em especial um aplicativo de remoção de vírus desenvolvido pela Microsoft, chama: "Ferramenta de Remoção de Software Mal-Intencionado do Windows" [link]. Ele tem em em torno de 8,5 mb, não necessita instalar.
Baixei outros vários programas do Superdownloads, mas nenhum encontrou NADA, NADA, NADA. Apenas o EliBaglA encontrou novamente 1 arquivo infectado (o hldrrr.exe). Mas já a ferramenta do Windows, optei por fazer a varredura total; levou em torno de 2h15min (o HD é pouco grande e com muita coisa); mas no fim, ele encontrou "8 arquivos infectados" e os eliminou, corrigindo o problema. Apenas lamento que o software não faz um relatório e não fala que arquivos eram esses e onde eles estavam. Mas finalmente, o vírus foi totalmente erradicado.
Estranho foi notar, que mesmo após a remoção do vírus, o AVG não quer mais instalar. Tanto é que agora estou com o AVAST instalado e operante normalmente. Uma sequela da remoção do vírus foi que ao iniciar o windows, a Barra de Ferramentas fica um tempinho travada, meio que carregando alguma coisa ainda, mas depois fica tudo normal.
Como fui infectado
Até agora é um mistério. Pode ter sido eu, pode ter sido meu irmão. Não há dúvidas que foi pela navegação na Internet. Mas certamente não foi por clicar em nenhum link suspeito. Mas creio que o vírus estava mesclado com algum arquivo de paginação ou imagem em algum site. Principalmente pelo arquivo infectado na pasta Tempory Internet (nos dois usuários), com o nome de "b64_3[1].jpg" (uma imagem).
Suspeito de um blog que entrei ontem, pois quando clicava no link para ver as publicações anteriores, assim que carregava a página; souava o som de alguns cliques em links, e o site era redirecionado para um site de jogos em flash, que aliás, de jogos não havia nada, mas um monte de links de pornografia. Talvez foi ness momento.
Creio que tenha sido até antes. Visto, que fazia uns 2 ou 3 dias que não conseguia executar o Flash. E parece que o vírus era o que impedia sua execução.
Sintomas do Vírus
O que pude notar no meu computador:
- presença do hldrrr e do wintems nos serviços e no msconfig;
- o boot ficou mais devagar;
- o AVG - anti-virus - simplesmente some, e não se encontra mais o seu executável;
- alguns programas não executam, como o caso do Flash;
- você não consegue instalar e executar anti-vírus com exito;
- há sites que dizem que o vírus é capaz de roubar dados e senhas; danificar um pouco mais o computador, e também impede de entrar no windows no modo de segurança - mas eu não cheguei a testar.
- as conexões de redes tiveram suas senhas apagadas.
Espero poder tê-lo ajudado. Caso tenha sido contaminado por esse vírus, ou está com alguns desses sintomas. Baixe e execute o EliBagLe, não vai custar nem pesar nada. E caso esteja contaminado, esse programinha, sozinho, e rapidez vai dar conta do serviço.

19 comentários:

monge_galileu disse...

eh pa tb ja tentei de tudo...vou experimentar entao esta ltima hipotese que postaste...pode ser que o caminho mais facil seja o mais certo

abraço e obg pelas dicas

Fabiano de Llano disse...

Boa tarde

Consegui remover ele com sucesso, mas manualmente.
Segui todos os passos indicados por voce, mas como relatou, nao houve sucesso.
O que fiz entao foi entrar no "iniciar - executar", digitei "msconfig", e na aba "geral, marquei a segunda opçao "inicializaçao de diagnostico - carregar apenas dispositivos e serviços basicos".
Reiniciei o computador, e fiquei apertando "F8" no momento do boot.
Mandei entrar em modo de segurança. Demorou, mas entrou.
Entao fiz uma pesquisa pelos seguintes nomes:
HDAShCut
S3Trayp
smax4pnp
VTTimer
hdlrrr
wintems
hidr
m_hook
hidn2
srosa

Deletei todas as incidencias. Alem do arquivo "crack" que eu havia baixado.

Entao passei o EliBagle, alem da ferramente da microsoft, bem como baixei o ewido e reinstalei o avast.

Rodei todos em modo de segurança. Voltei no "iniciar - executar" e digitei novamente "msconfig".

Na primeira aba "geral" marquei a primeira opçao. E na ultima aba "inicializar", desmarquei todas as opçoes que tinham os nomes pesquisados acima.

Mandei reiniciar, fiz nova farredura, e nada mais foi encontrado. E agora esta tudo funcionando rapido e perfeito.

Espero ter ajudado.

de llano

Anônimo disse...

Antes de mais nada, gostaria de agradecer pelas dicas para remoção dessa praga.
E também sugerir o uso de um programinha para apagar arquivos tipo o MDELK.EXE que se recusam a sumir do PC. É o FileAssassin, é porreta !!

Valeu !!
Amplexos

Anônimo disse...

Me sirvio de utilidad lo que postearon.
Agregaria a todo lo dicho que es recomendable antes de correr el removedor sugerido eliminar los puntos de restauracion, ya que el virus tambien se ubica en ellos esto se hace en Mi Pc, Propiedades en el tab de Restaurar Sistema se puede habilitar o deshabilitar esta opcion para Windows XP

B.I.E.L disse...

evandro primeiramente obrigado pelas dicas!!!
Mas estou com um problema que veio depois de eu pegar esse vírus pelo e-mule!
minha internet só funciona durante 5 min após eu ligar o pc!!!
parece que algo é carregado e corta a internet menos o skype e o msn o resto corta tudo n consigo nem atualizar o antivírus!!!
por favor ajuda aêeee!!
tb tenho um irmão e ele ta enchendo muito o saco!!!
se puder ajudar muito grato!!!

B.I.E.L disse...

detalhe...
já fiz tudo recomendado no site e aparentemente o elibagle eliminou tudo!!!
grato desde já!
e... esperando respostas...

Evandro Costa de Oliveira disse...

BIEL talvez, seja um outro virus... ou até mesmo algum conflito no sistema.

primeiro, faça os procedimentos básicos:
- verifique a inicialização do msconfig, o boot do windows. Veja se não aparece algo suspeito, de novo, ou que você não sabe o que é ali.
- Veja se não há algum processo aberto que você nunca viu antes, não conhece.

Baixe aquele utilitario da Microsoft que coloquei o link. Talvez ele remova, seja lá o que for. Para isso, certamente, você terá que usar outra conexão, outro pc.

Contudo, se não conseguir resolver o problema. Se não conseguir nenhuma pista do que seja. Faça um backup dos seus arquivos, e formate o pc.

B.I.E.L disse...

Evandro obrigado pela dica!

os procedimentos básicos ja foram realizados!

mas estou tentando rodar o utilitário da microsoft!
e... realmente estou fugindo e buscando maneiras de não ter que formatar o pc!
grato!

Anônimo disse...

Senhores
Após baixarem o programa ELIBAGLA e o do microsoft, recomendo salvarem em uma pasta do "meus documentos"(fica fácil de localizar depois)
Após, reinicie o computador em modo seguro e executem o ELIBAGLA - ele encontrará e eliminará o MDELK.EXE e os companheiros (são vários).
(Se deixarem o ELIBAGLA no desktop, o windows em modo seguro não o encontra)
O programa da microsoft pode ser executado tambem no modo seguro ou não.
Repito: o ELIBAGLA PRECISA ser executado em modo de segurança do windows.

Guto disse...

krak...evandro..jah tentei de tudo pra remover essa praga do wintems.exe....inclusive das formas q vc postou...eu naum consigo nem a pau....num posso formatar o hd agora....pelo amor de Deus entra em contato cmg amigo, me ajuda aí....gutembergbarroso@hotmail.com

Rodolfo Monteiro disse...

Opa Eandro sua história foi muito útil para mim eu removi esse virus GRAÇAS ADEUS q me enviou a seu blog, mais no meu pc não so tinha winterms e hldrr, e tinha um a mais q era mdelk q qando eu passei o elibagle e fui la na pasta win32 e deletei ele manualmente!!!!
Vlw kra vc me salvou!!!

Anônimo disse...

Download do Programa de Remoção do Windows:

http://www.4shared.com/file/54025408/a9992bbe/windows-kb890830-v142.html?dirPwdVerified=494e6177

Marcos Pc Haus disse...

Ai cara, eu estava com esse vírus também. Esse post que você fez está 10 explica tudo sem deixar nenhuma falha!

E outra coisa, o wintemns manda emails em spam através de um servidor smtp, em 10 minutos no meu pc ele mandou 175 emails para vários lugares do mundo com mensagens do tipo," why dont you call me?" (pq vc não me ligou?)entre outras. Esse vírus é chato mesmo.
Abraço.

Marcos Pc Haus -2008

Anônimo disse...

Parábens pelo seu blog e pela matéria do maldito virus Bagle . Segui seus passos , e no final ficou uns 3 vírus aparecendo no taskbaskar , e acabei eliminando eles pelo registro mesmo . Depois passei o antivirus (AVG 8,0) e até agora parece que está tudo bem . Valeu mesmo !

Raven disse...

FALA AE IRMÃO!! VLW MESMO!!
Tenho muitos arquivos de trabalho e já estava ficando maluco, pensando q teria q formatar o PC.
Mto obrigado, e boa sorte aê, fui...

Tadeu disse...

Achei curioso o trecho em que vc diz: "um programa leve em espanhol que não precisa de instalação", aí logo em seguida: "O instalei e mandei executá-lo."

Eliane disse...

Evandro meu querido mt obrigada pela informação, minha máquina estava infectada com este vírus e pensei q ñ haveria outro jeito q ñ fosse a formatação, mas Graças à Deus tive acesso ao conteúdo do seu blog e assim consegui remover o vírus, já consegui reinstalar o anti-vírus e tudo indica q tá tudo bem. Deus continue abençoando vc.

Um abraço,

Eliane

Anônimo disse...

Baixei o EliBagle mas deu a msg de que o arquivo está desatualizado e precisa entrar em contanto com a satinfo pra atualizar ele :(((

Jr magal disse...

Que programinha danado!!!

em 6 anos primeira vez que pego um virus desse... bati cabeça igual ou píor q vc Evandro, mas graças ao blog achei soluçao de meus problemas. MT OBRIGADO!