Vírus - Arquivo Bolenjx

[Duduh_Capixaba]

Salve salve galera dos vírus! Vejam o meu problema...

Estou com um vírus o qual eu não sei exatamente o nome, mas consegui identificar os arquivos que ele extrai na máquina a cada boot. Eis os arquivos:

- \Windows\kus552.dat

- \Windows\bolenjx.exe

- \Windows\system32\bolenjx.exe

E uma chave de registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs com o valor: kus552.dat. Não sei se são só esses.

Bem, fiz uma pesquisa no site http://www.hakia.com/ e ele me deu como resultado a seguinte página: http://virusinfo.prevx.com/viruscenter.asp?GRP=4775600015, onde a descrição do vírus Covert.Sys.Exec bate exatamente com o que acontece com a máquina: desativação de firewalls e antivírus e total controle dos processos do Windows.

Nessa mesma página, há uma ferramenta de detecção do vírus, mas não consegui rodar a ferramenta, ela simplesmente não inicia, assim como os anti-vírus e anti-spywares. Também tentei rodar o HiJackThis sem sucesso. Tentei renomear as ferramentas, nada... tentei no modo de segurança, nada... deletos os arquivos acima e a chave de registro, mas eles voltam no boot (mesmo no modo de segurança). Tentei com um CD de boot pro XP, deleto os arquivos e eles voltam.

Passei uma outra ferramenta da Mcafee: Rootkit Detective. Esse sim, funcionou! Ele detecta o bolenjx e o ntio922.sys. Com o bolenjx ele mata o processo, e o ntio922 ele renomeia o arquivo, mas voltam com o boot. Esse ntio922 tb tem chave no registro: HKLM\System\ControlSet001\Enum\Root\LEGACY_NTIO922, que não pode ser apagada nem editada, pois acredito ser um serviço. E o engraçado é que não consigo encontrar esse arquivo na pasta que a ferramenta aponta: \Windows\system32\drivers, ele simplesmente não existe...

Tenho uma certa experiência em remoção de vírus, mas confesso que nunca tinha visto algo como isso. Já não me restam muitas alternativas, peço a ajuda de vocês. Vlw!

[Duduh_Capixaba]

resolvi galera! consegui retirar todos os vírus da máquina com as ferramentas "Trojan Remover" (ótima) e "Rootkit Detective".

Passei as duas ferramentas várias vezes até que não sobrasse um vestígio só de vermes. agora a máquina só precisa de uns ajustes manuais. fica a dica dessas duas ferramentas pra quem tiver o mesmo problema. vlw!

[Guest Ingo]

resolvi galera! consegui retirar todos os vírus da máquina com as ferramentas "Trojan Remover" (ótima) e "Rootkit Detective".

Passei as duas ferramentas várias vezes até que não sobrasse um vestígio só de vermes. agora a máquina só precisa de uns ajustes manuais. fica a dica dessas duas ferramentas pra quem tiver o mesmo problema. vlw!

[Guest Ingo - lixeirinho@gmail.com]

Fala Happy Man,

Realmente os programas que você indicou detectam os 2 malditos processos: o bolenjx.exe(detectado pelo Trojan Remover) que aparece habilitado no msconfig e o bolenja.exe( detectado pelo McAfee - Rootkit Detective) que NÃO APARECE HABILITADO. Ambos chegam a interromper os processos dos malditos mas ao reiniciar volta tudo como antes, ou seja no msconfig aparece o bolenjx.exe habilitado e o bolenja.exe apenas aparece sem estar habilitado. O mais interessante é que eu não encontrei o ntio922.sys em nenhum lugar nem sinal dele.

Enfim não consigo me livrar desses malditos, você ou alguém tem uma sugestão para me dar?

Ingo

[RenatoMejias]

Sigam as instruções do fórum de Remoção de Malwares e postem um log do Hijackthis para análise.

http://scriptbrasil.com.br/forum/index.php?showtopic=86007

[Duduh_Capixaba]

Ingo...

Primeiro tente o recomendado pelo Renato aí em cima.

Se não der certo, tente uma varredura online nos sites de antivírus. Eu aconselho os sites da Panda, Mcafee, Norton e Kaspersky.

Se ainda assim o problema persistir, entre em contato comigo via e-mail e a gente tenta resolver.

----------------------------------------

Editado:

Ah, dê uma olhada neste tópico tb: http://www.bleepingcomputer.com/forums/topic126561.html, e tente achar os arquivos que o usuário "fred nurk" postou. Se esses arquivos estiverem na sua máquina, apague-os. Outro link: http://www.bleepingcomputer.com/forums/topic34773.html. É um outro passo-a-passo de como resolver problemas com vírus.

Editado Janeiro 29, 2008 por Duduh_Capixaba

[RenatoMejias]

Olá Duduh_Capixaba, não há necessidade de orientar o usuário a abrir um log no Bleeping Computer sendo que oferecemos o mesmo serviço aqui, com a mesma qualidade e em português. Outra coisa, cada análise é uma análise, não se pode tentar usar outra análise só porque o caso é parecido.

http://www.bleepingcomputer.com/forums/ind...mp;#entry711948

[Duduh_Capixaba]

Ah sim Renato, sem problemas! Mas só pra esclarecer...

Não tive a intenção de direcionar o usuário a resolver o problema dele em outro fórum, não agi de má fé. Apenas fiz uma referência de outra fonte, informação nunca é demais nesses casos.

Mas sem galho, vamos tentar ajudar o cara, ok?! Vlw, abraço :)

[Guest Ingo]

olá

Eu entrei no fórum do Linha defensiva da uol e lá mandaram eu rodar o Hijackthis mas o programa não abre..... mandei para o fórum do linhadefensiva o log que o programa indicado pelo duduh-pernambucano, pois foi o único programa que abriu e identifica o vírus mas não consegue extraí-lo

Ingo

Obs: O duduh-pernambucano ajudou-me muito....vou me cadastrar aqui no scriptbrail e tentar o procedimento de novo....vamos ver o que acontece

[Guest Ingo]

Ops Dudu, foi mal.....fiuei com Pernambuco na cabeça.....ele é capixaba

[ingo]

Olá, acabei de me cadastrar e tentei instalar o HijackThis.exe mas ele não roda. Olhei no msconfig e vi o bolenjx.exe e o bolenja.exe e através de dica duduh_capixaba do forúm instalei e rodei 2 outros programas: o McAfee Rootkit Detective e o Trojan Remover 6.6.5.

Os 2 programas detectam um dos 2 arquivos, confirmam a interrupção dos processos mas ao reiniciar, eles voltam.

Obs: nenhum anti-virus abre, avg, HijackThis, (o Ad-Aware roda mas não encontra nada.)

Mando abaixo o Log do Trojan Remover que é o único que eu tenho, desculpe pelo tamanho do log mas é o único que eu consigo.

Espero uma ajuda e agradeço !!!!

Ingo

***** TROJAN REMOVER HAS RESTARTED THE SYSTEM *****

28/1/2008 22:32:27: Trojan Remover has been restarted

C:\WINDOWS\system32\bolenjx.exe has been renamed to C:\WINDOWS\system32\bolenjx.exe.vir

=======================================================

Deleting the following registry value(s):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[bolenjx] - deleted

=======================================================

Trojan Remover forced a System Restart by terminating WINLOGON.EXE.

The Cleanup Utility was used to remove locked registry keys.

28/1/2008 22:32:27: Trojan Remover closed

************************************************************

***** NORMAL SCAN FOR ACTIVE MALWARE *****

Trojan Remover Ver 6.6.5.2510. For information, email support@simplysup1.com

[unregistered version]

Scan started at: 28/1/2008 22:29:04

Using Database v6919

Operating System: Windows XP Professional Service Pack 2 (Build 2600)

File System: NTFS

Data directory: C:\Documents and Settings\Leticia_Arq\Dados de aplicativos\Simply Super Software\Trojan Remover\

Logfile directory: C:\Documents and Settings\Leticia_Arq\Meus documentos\Simply Super Software\Trojan Remover Logfiles\

Program directory: C:\Arquivos de programas\Trojan Remover\

Running with Administrator privileges

**************************************************

**************************************************

22:29:04: Scanning ----------WIN.INI-----------

WIN.INI found in C:\WINDOWS

**************************************************

22:29:04: Scanning --------SYSTEM.INI---------

SYSTEM.INI found in C:\WINDOWS

**************************************************

22:29:04: ----- SCANNING FOR ROOTKIT SERVICES -----

No hidden Services were detected.

**************************************************

22:29:05: Scanning -----WINDOWS REGISTRY-----

--------------------

Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

--------------------

Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

This key's "Shell" value calls the following program(s):

File: Explorer.exe

C:\WINDOWS\Explorer.exe

1035264 bytes

Created: 9/9/2002

Modified: 13/6/2007

Company: Microsoft Corporation

----------

This key's "Userinit" value calls the following program(s):

File: C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\system32\userinit.exe

24576 bytes

Created: 9/9/2002

Modified: 4/8/2004

Company: Microsoft Corporation

----------

This key's "System" value appears to be blank

----------

This key's "UIHost" value calls the following program:

File: logonui.exe

C:\WINDOWS\system32\logonui.exe

515072 bytes

Created: 9/9/2002

Modified: 4/8/2004

Company: Microsoft Corporation

----------

--------------------

Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

--------------------

Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Value Name: load

--------------------

Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Value Name: SoundMan

Value Data: SOUNDMAN.EXE

C:\WINDOWS\SOUNDMAN.EXE

-R- 55296 bytes

Created: 13/2/2005

Modified: 16/7/2003

Company: Realtek Semiconductor Corp.

--------------------

Value Name: AVG7_CC

Value Data: C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

579072 bytes

Created: 26/4/2007

Modified: 20/12/2007

Company: GRISOFT, s.r.o.

--------------------

Value Name: !AVG Anti-Spyware

Value Data: "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

6731312 bytes

Created: 11/6/2007

Modified: 11/6/2007

Company: GRISOFT s.r.o.

--------------------

Value Name: MSConfig

Value Data: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

159744 bytes

Created: 13/2/2005

Modified: 4/8/2004

Company: Microsoft Corporation

--------------------

Value Name: TrojanScanner

Value Data: C:\Arquivos de programas\Trojan Remover\Trjscan.exe

C:\Arquivos de programas\Trojan Remover\Trjscan.exe

737872 bytes

Created: 28/1/2008

Modified: 3/1/2008

Company: Simply Super Software

--------------------

Value Name: bolenjx

Value Data: bolenjx.exe

C:\WINDOWS\system32\bolenjx.exe

14336 bytes

Created: 28/1/2008

Modified: 28/1/2008

Company:

C:\WINDOWS\system32\bolenjx.exe appears to be in-use/locked

bolenjx.exe - this registry value has been removed

C:\WINDOWS\system32\bolenjx.exe - process is either not running or could not be terminated

C:\WINDOWS\system32\bolenjx.exe - file ownership assigned to: LETICIA\Leticia_Arq

C:\WINDOWS\system32\bolenjx.exe - process is either not running or could not be terminated

C:\WINDOWS\system32\bolenjx.exe - file has been neutralised

C:\WINDOWS\system32\bolenjx.exe has been marked for renaming when the PC is restarted

--------------------

--------------------

LOG MUITO LONGO....TRECHO CORTADO

**************************************************

=== CHANGES WERE MADE TO THE WINDOWS REGISTRY ===

Scan completed at: 28/1/2008 22:29:53

-------------------------------------------------------------------------

One or more files could not be moved or renamed as requested.

They may be in use by Windows, so Trojan Remover needs

to restart the system in order to deal with these files.

28/1/2008 22:29:57: restart commenced

************************************************************

***** TROJAN REMOVER HAS RESTARTED THE SYSTEM *****

28/1/2008 22:20:35: Trojan Remover has been restarted

C:\WINDOWS\system32\bolenjx.exe has been renamed to C:\WINDOWS\system32\bolenjx.exe.vir

=======================================================

Deleting the following registry value(s):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[bolenjx] - deleted

=======================================================

Trojan Remover forced a System Restart by terminating WINLOGON.EXE.

The Cleanup Utility was used to remove locked registry keys.

28/1/2008 22:20:35: Trojan Remover closed

************************************************************

***** NORMAL SCAN FOR ACTIVE MALWARE *****

Trojan Remover Ver 6.6.5.2510. For information, email support@simplysup1.com

[unregistered version]

Scan started at: 28/1/2008 22:16:15

Using Database v6919

Operating System: Windows XP Professional Service Pack 2 (Build 2600)

File System: NTFS

Data directory: C:\Documents and Settings\Leticia_Arq\Dados de aplicativos\Simply Super Software\Trojan Remover\

Logfile directory: C:\Documents and Settings\Leticia_Arq\Meus documentos\Simply Super Software\Trojan Remover Logfiles\

Program directory: C:\Arquivos de programas\Trojan Remover\

Running with Administrator privileges

**************************************************

**************************************************

22:16:16: Scanning ----------WIN.INI-----------

WIN.INI found in C:\WINDOWS

**************************************************

22:16:16: Scanning --------SYSTEM.INI---------

SYSTEM.INI found in C:\WINDOWS

**************************************************

22:16:16: ----- SCANNING FOR ROOTKIT SERVICES -----

No hidden Services were detected.

**************************************************

22:16:16: Scanning -----WINDOWS REGISTRY-----

--------------------

Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

--------------------

Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

This key's "Shell" value calls the following program(s):

File: Explorer.exe

C:\WINDOWS\Explorer.exe

1035264 bytes

Created: 9/9/2002

Modified: 13/6/2007

Company: Microsoft Corporation

----------

This key's "Userinit" value calls the following program(s):

File: C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\system32\userinit.exe

24576 bytes

Created: 9/9/2002

Modified: 4/8/2004

Company: Microsoft Corporation

----------

This key's "System" value appears to be blank

----------

This key's "UIHost" value calls the following program:

File: logonui.exe

C:\WINDOWS\system32\logonui.exe

515072 bytes

Created: 9/9/2002

Modified: 4/8/2004

Company: Microsoft Corporation

----------

--------------------

Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

--------------------

Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Value Name: load

--------------------

Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Value Name: SoundMan

Value Data: SOUNDMAN.EXE

C:\WINDOWS\SOUNDMAN.EXE

-R- 55296 bytes

Created: 13/2/2005

Modified: 16/7/2003

Company: Realtek Semiconductor Corp.

--------------------

Value Name: AVG7_CC

Value Data: C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

579072 bytes

Created: 26/4/2007

Modified: 20/12/2007

Company: GRISOFT, s.r.o.

--------------------

Value Name: !AVG Anti-Spyware

Value Data: "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

6731312 bytes

Created: 11/6/2007

Modified: 11/6/2007

Company: GRISOFT s.r.o.

--------------------

Value Name: MSConfig

Value Data: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

159744 bytes

Created: 13/2/2005

Modified: 4/8/2004

Company: Microsoft Corporation

--------------------

Value Name: TrojanScanner

Value Data: C:\Arquivos de programas\Trojan Remover\Trjscan.exe

C:\Arquivos de programas\Trojan Remover\Trjscan.exe

737872 bytes

Created: 28/1/2008

Modified: 3/1/2008

Company: Simply Super Software

--------------------

Value Name: bolenjx

Value Data: bolenjx.exe

C:\WINDOWS\system32\bolenjx.exe

14336 bytes

Created: 28/1/2008

Modified: 28/1/2008

O LOG É MUITO GRANDE....APAGUEI O RESTANTE....CASO SEJA NECESSÁRIO POSSO ENVIAR POR EMAIL.

Ingo

[RenatoMejias]

Qual problema acusou após executar o Hijackthis?

[ingo]

Simplesmente nem roda... Dei duplo clique sobre o ícone e absolutamente nada acontece; clicando com o botão direito do mouse sobre a fução "abrir" não acontece nada....

Valeu...

[RenatoMejias]

Tente isso:

Faça o download do Deckard's System Scanner - DSS e salve no seu desktop.

Atenção: Para rodar a ferramenta terá de usar uma conta com privilégios de Adminstrador.

• Dê um duplo clique sobre o DSS.exe e siga as instruções.
• Quando terminar, será gerado um log.
• Cole o resultado deste log na sua próxima resposta.
• Através do Windows Explorer (clique direito no botão iniciar e escolha "Explorar"), procure a pasta C:\Deckard\System Scanner. Nessa pasta estarão dois logs: main.txt e extra.txt
• Abra o main.txt no bloco de notas, copie e cole esse log na sua próxima resposta.

Obs: Se der certo, poste em Remoção de Malwares.

Obs2: Me dê o link do LinhaDefensiva que você abriu o tópico, seu log deve ser analisado em apenas um fórum, como eu sou analista no LinhaDefensiva eu posso fechar o tópico lá.

[ingo]

Mas esse vírus virou o administrador do sistema, eu não tenho mais o acesso ao painel de controle...para você ter idéia eu não posso nem parar uma pendrive no USB.

Eu havia comentado isso no outro fórum....quando me falaram para utilizar o ComboFix que necessitava desativar o firewall...mas eu não tenho mais acesso ao Firewall.

O link do outro fórum http://linhadefensiva.uol.com.br/forum/ind...showtopic=61048

Obrigado

Ingo

Editado Janeiro 30, 2008 por ingo

[RenatoMejias]

Seu caso já está sob análiseno LinhaDefensiva, siga as instruções do José Melo.

[Duduh_Capixaba]

Pernambuco??? de onde você tirou isso??? hahaha :P

Os sintomas da minha máquina eram os mesmos, e além de tudo, desativou o firewall do Windows tb. Dê uma olhada nos serviços do Windows (execute services.msc) e veja se acha algo de estranho que esteja sendo carregado automaticamente. Nessa máquina que eu estava analisando, haviam dois serviços muitos estranhos que eu nunca vi. Por segurança, deixei os dois desativados.

Repare nessa linha do seu log: "C:\WINDOWS\system32\bolenjx.exe - process is either not running or could not be terminated"

Pode ser que o Trojan Remover não esteja conseguindo interromper o serviço do vírus. Tente enterrompê-lo com a ferramenta da Mcafee. E logo após execute o Trojan Remover novamente.

Boa sorte!

[Guest --ingo --]

Bom rapaziada, não consegui rodar mais nada...o micro começou a travar muito e acabei formatando ele e reinstalando tudo....ficou muito tempo parado e agora está na hora de recomeçar...pelo menos o backup estava em dia....beleza.

Acho te estava com mais problemas do que esse maldito bolenjx.exe mas agora está tudo resolvido.

Agradeço muito a ajuda e vou indicar para meus amigos o fórum.

Vlw e feliz 2008, com dinheiro, saúde e alegria...pois hoje é carnaval

Abs

Ingo