Como remover o trojan JS:Banker e variações manualmente

Problema com trojans levam os bancos a atualizarem constantemente seus plugins, o Banco do Brasil constantemente solicita o download de um aplicativo  que altera as configurações do navegador, checando as informações de conexão e corrigindo-as.

Nós já publicamos um artigo, sob o título Cuidado com o phishing… não morda a isca! onde alertamos sobre os sites fakes de banco, porém muitas pessoas ainda caem nessas armadilhas.

O JS:Banker tem um ¨modus operandi¨ interessante… aliás, uma coisa que eu admiro nos crackers (programadores que usam seu conhecimento para fins maléficos) é a lógica, como tudo acontece durante a execução do trojan… foi-se o tempo em que os códigos eram simplesmente executados via comando, agora eles fazem um trabalho tão interessante que deixa o técnico perdido.

Leia a matéria sobre esse trojan aqui e uma dica básica (porém ineficiente) de como removê-lo.

Este trojan, que vem em forma de phishing via email, captura o hostname (nome do computador) cria um arquivo de texto com o nomedopc.txt e grava-o na pasta inicial do usuário (C:\USERS\NOMEDOUSUARIO\APPDATA\LOCAL\TEMP\), que contém isntruções para alterar as configurações de proxy do navegador, também altera o registro do sistema para carregar o arquivo durante a execução do sistema e bloqueia o acesso às configurações.

Existem boas ferramentas para remove-lo, como o Kaspersky Virus Removal, porém o divertido é excluí-lo manualmente.

Primeiramente inicie o sistema no modo seguro somente comando.

Depois, acesse o modo comando (INICIAR/EXECUTAR e digite CMD e <enter> ou clique em OK) e na tela de comandos, entre na pasta do usuário (no Windows 7 é C:\USERS\NOMEDOUSUARIO\APPDATA\LOCAL\TEMP\) e verifique se existe um arquivo do tipo texto com o nome do computador),

Dica: Para saber o nome do computador clique com o botão direito sobre o ícone Computador (ou Meu Computador no XP) e escolha propriedades e procure por Nome do Computador) – ou ainda, clique em INICIAR/EXECUTAR digite CMD e via comando digite HOSTNAME.

Apague tudo que estiver dentro da pasta C:\USERS\NOMEDOUSUARIO\APPDATA\LOCAL\TEMP\ usando o comando DEL *.*

Após apagar o arquivo, abra o Painel de Controle, clique no ícone Opções daInternet e clique na guia Conexões e clique no botão Configurações Avançadas)

Dica: Você pode também abrir o navegador (IE, no caso) e clicar em Ferramentas e em Opções da Internet)

Clique na guia Conexões e depois no botão configurações Avançadas e verifique o endereço apontado pelo proxy

Corrigir configurações do Internet Explorer, baixe o arquivo Fix It e execute-o

Mas eu prefiro fazer isso manualmente, para isto, abra o Editor de Registros (Clique em INICIAR/EXECUTAR e digite REGEDIT e <enter> ou clique no botão OK) e, pressione a tecla F3 e digite o nome do arquivo de texto (NOMEDOPC.TXT) ou os primeiros caracteres como aparece no endereço proxy…

E APAGUE TODAS AS ENTRADAS QUE ENCONTRAR

Com as entradas e o arquivo do script apagados, pronto, o trojan já era.

Se não baixou/executou o FIXIT, por segurança faça isto agora – pra garantir.

Reinicie o computador e pronto!!

Fonte: Veia digital Via @netto_info