Vírus jwgkvsq.vmx - remoção completa

Ô dor de cabeça que tive para removê-lo! Mas consegui 100% de resultado. Entretanto é necessário um certo conhecimento e facilidade com informática, recomendo não continuar caso não se sinta seguro, pois editar arquivos do sistema pode causar um grave prejuízo no computador e inutilizar o sistema operacional.

Aprecie a leitura.
(Para os mais apressados, a resolução começa no - - -)

Tudo começou em um dia que deixei o "Spyware Terminator" / "ClamAV" desativados para fazer uns testes de rede na minha casa. Esqueci de reativá-los. Fiz a gentileza para meu irmão e pedi um pendrive para salvar o arquivo. Esqueci que ele é uma múmia leigo em tudo que se relaciona a informática e quando coloquei o pendrive dele no computador, este "pensou" muito para abrir os arquivos. Bastou eu ativar o anti-vírus para ele exclamar que haviam processos rodando no computador. Fiquei puto da vida um pouco bravo, mas acabei recuperando meu sistema e 3 trojans de autorun que se instalaram só de colocar o pendrive. Escaneando o pendrive dele, foram vários arquivos contaminados e só apaguei alguns *.exe e devolvi o pendrive dele, que nunca mais usarei.

Dias depois, pouco antes de uma viagem, vou utilizar o pendrive e um erro de DLL aparece, afirmando não encontrar o jwgkvsq.vmx. Plugo outro pendrive meu e o mesmo erro aparece. (ainda bem que fui viajar sozinho e esfriei a cabeça) No dia anterior havia feito compras com meu cartão de crédito pelo computador, fiquei com isso na cabeça até retornar.
Caso dê algum problema na minha fatura, retornarei ao tópico para informar, mas se o tópico não tiver atualizações no final da postagem, significa que pegar números de CC não é a finalidade dele.

- - -

Pesquisando sobre o vírus, encontrei muita gente com dificuldade e já consegui me situar dos seguintes fatos:

- O malware (uma variação de vírus) funciona em Loop: Você desinfecta o pendrive, mas ao plugar na máquina infectada ele reinfecta o pendrive e vice-versa.
- Não é um vírus comum, mas sim um rootkit: É um código malicioso que se utiliza de arquivos necessários para o funcionamento do computador, para ele também funcionar. Neste caso, o rundll.exe. Não é possível editar o arquivo manualmente e nem apagá-lo, pois é fundamental para o computador. Em uma analogia com o corpo humano, seria um órgão doente.
- A maior parte dos antívirus não o detecta, pois aqueles pesquisam por arquivos e processos estranhos em execução, mas não fazem uma varredura interna nos códigos dos processos do windows. Salvo anti-rootkits específicos e o Norton (segundo relatos).

* A título de curiosidade, um dos primeiros e mais famosos rootkits (que não me lembro o nome agora) infectou 15 milhões de computadores em 2009.

FASE 1.1: Não espete o pendrive em seu pc antes de qualquer um destes procedimentos.
(créditos para: http://www.babooforum.com.br/forum/index.php?/topic/691086-autoruninf-e-jwgkvsqvmx/ Usuário: Mr. Million)

- Desabilite seu antivirus > baixe e instale o Combofix em: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(ainda vou dar upload para o meu servidor)

- Baixe o Hijack This em:
http://www.baixaki.com.br/download/hijackthis.htm
(ainda vou dar upload para o meu servidor)

- - -
FASE 1.2

- Instale o Combofix, e siga as instruções na tela. Não é necessário instalar o software de recuperação dele. Ele irá emitir uma mensagem dizendo ter encontrado um rootkit em seu computador e será necessário reinicializá-lo. Siga as instruções.

- Uma nova verificação será feita e irá gerar um log.ini

- Execute o Hijackthis, peça um scan do sistema com log.

FASE 1.3
(certamente a mais complicada)

- Com o comando Ctrl + F, procure, em ambos os logs por:

-autorun (somente quando relacionado a algum comando de setup)
-mountpoints
-mountpoints2
-aixac.dll
-:/bin
- .vmx

- Caso você não encontre nenhum dos marcadores acima em nenhum log (sem o "-"), avance para a fase 4.
- Caso você encontre algum dos marcadores acima, há duas opções: Seguir no exemplo disponível em: "http://www.babooforum.com.br/forum/index.php?/topic/691086-autoruninf-e-jwgkvsqvmx/" e criar comandos para o Combofix, ou seguir para a fase 3 e editar pelo próprio windows.

FASE 2
Agora, já bem informado, vamos começar eliminando o Loop causado pelo pendrive:
(trecho retirado de: http://tecvirtual.wordpress.com/2010/11/20/attrib-removendo-virus-de-pendrive-manualmente )

****

1º Passo: Va ate o menu iniciar – executar e digite: gpedit.msc. Isso fará com que abra a janela “Diretivas de Grupo” do Windows XP.

2º Passo: Dentro das “Diretivas de Grupo“, abra “Configuração do Computador“, “Modelos Administrativos“, “Sistema“. Dentro da pasta “Sistema” você deverá localizar o item “Desativar AutoExecutar” e clicar duas vezes sobre essa opção. Abrirá então a caixa “Propriedades de Desativar AutoExecutar” onde você deverá marcar a opção“Ativado“.Clique em OK para concluir a operação e feche todas as janelas abertas nesse procedimento.

3º Passo: Após marcar a opção “Ativado” nas “Propriedades de Desativar AutoExecutar” é necessário escolher a opção “Todas as unidades” na caixa “Desativar Executar automaticamente em” que aparecerá após selecionada a opção “Ativado“. É esse detalhe que garantirá que nenhuma unidade estará apta à inicialização automatica.

****
FASE 3
Ok, vamos desinfectar o computador:

- Atualize e rode seu anti-vírus no seu HD interno.

- Iniciar > executar > regedit
*Pode fazer um ponto de restauração do sistema neste ponto, caso se sinta mais seguro.

- Editar> localizar > jwgkvsq.vmx e zere TODAS as chaves com esta informação.

* E digite todas as variáveis em 1.3.
Para apagar as chaves com os códigos de 1.3 deve-se ter cuidado. Os procedimentos devem ser executados apenas em chaves que estejam relacionadas com o malware. "Como saber?": Na janela há duas divisões, na da esquerda há várias pastas, na da direita há um arquivo com um "valor". Verifique quais as pastas que antecedem a chave.
Uma chave localizada em shell32 > autorun > %systemroot/system32/rundll32;e:/bin/setup esta relacionada com o vírus, já uma chave em microsoft games > age of empires > autorun > setup, de nada está relacionado com o vírus.
Certamente é um procedimento cauteloso, caso não esteja seguro de modificar este registro, pode pular esta etapa, é possível que as chaves percam sentido sem um código para iniciar o comando. Mas as chaves jwgkvsq devem ser necessariamente zeradas.

- Iniciar > localizar > todos arquivos e pastas > jwgkvsq.vmw (se achar alguma coisa, apague definitivamente)

***
FASE 4
Plugue o pendrive infectado (como você desativou o autorun antes, nada será reinstalado em seu computador)

- Iniciar > executar > cmd

- Digite "e:" (no lugar do "e" digite a unidade relativa ao seu pendrive)

- Digite cd recycler

- Vai aparecer "E:/>RECYCLER"

- Digite "cd.."

- Digite "del recycler"

- Pressione S

- Digite "attrib"

- Vai aparecer "SHR autorun.inf"

- Digite "attrib -S -H -R"

- Digite "del autorun.inf"

(Mais uma vez agradeço ao Tecvirtual, citado na fonte anterior pelo código attrib)

****
FASE5 (opcional, mas muito recomendada)

- Ainda no CMD digite "format e:/"

- Retire o pendrive

****
FASE6 (necessariamente deve ser feita a fase 5, é uma confirmação de que não há mais infecção)

- Entre em "meu computador", clique com o botão direito sobre o drive do pendrive > propriedades. Você vai verificar apenas 4kb ocupados.

- Retire o pendrive, feche a janela e plugue-o novamente. Vá novamente em propriedades.

* Qualquer valor acima de 4 KB (32 ou 76) significam que o vírus não foi removido.
* Se mantiver os 4 KB, seu computador foi desinfectado.

- Entre no CMD, digite "e:/" e depois "cd recycler". Se não existir, seu computador e pendrive estão desinfectados.

Ufa!
Postem os resultados. Fiz em uma máquina WinXP SP3.