Virus “Win32.Agent.pql” – Como remover esse malware que veio atravez de um link do Twitter.

Hoje eu estava no twitter, como de cotidiano acompanhando minha time line da Home e vi um link que me chamou a atenção, com curiosidade entrei no link conforme como sempre costumo entrar nos links das pessoas que sigo! O incrível é que foi tudo tão rápido que não tive tempo de ver de quem foi o link e de onde era, sabe porque? Porque o link era encurtado pelo HTTP://bit.ly .

O fato é, essa introdução é para ficar atentos aos links do Twitter, principalmente em links encurtados com serviços tipo migre.me, byt.ly entre outros porem esses são os mais usados. Eu sou um usuário que não costuma a cair nesse tipo de cilada, porem nunca estamos livres disso!

O link foi aberto e imediatamente meu computador foi infectado com o vírus denominado “Win32.Agent.pql”, reconhecido pelo Spybot e outros anti-virus que tenho instalado que nada puderam resolver, e começou a apresentar falhas no autorun da minha maquina.

Nome do Vírus: Win32.Agent.pql, seu arquivo executável fica localizado na pasta oculta C:\Recycler com o nome pqlmq.exe
Categoria: Malware

Descrição: Win32.Agent.pql copia uma serie de arquivos maliciosos para o diretório do sistema e cria insistentemente aplicações que se inicializam junto com o Windows. Ele não faz absolutamente nada a não ser sobrecarregar o sistema com finalizações de aplicativos e sua única parte que afeta é que ele libera a maquina para download automático de outros Malwares.

Sintomas: A máquina começou a dizer que o Windows Explorer estava sendo reiniciado, isso de forma insistente e sem parar, começou a finalizar sozinha aplicações em execução, processos e Serviços do meu sistema inclusive Anti-Virus (por isso esquece o simples: irei passar o anti-virus).

Como identificar se esta com esse vírus: Ele é extremamente notável ao usuário, porem se quiser certificar utilize o Spybot e passe, ele não conseguira remover, mas ira identificar. Faça o download aqui.

Abaixo esta o passo-a-passo de como remover o infeliz!

ATENÇÃO: Não faça nada se realmente não tiver o vírus, esse procedimento mexe no registro do sistema, qualquer erro poderá causar serios problemas. O procedimento é por sua conta e risco!

Valido para Windows XP/VISTA.

Ferramenta: Clique aqui para baixar o HijackThis

- Salve o HJInstall.exe no seu desktop
- De um duplo clique no arquivo que acabou de salvar.
- Por padrão o programa se instalará em C:\Programs Files\Trend Micro\HijackThis
- Clique em Instalar e um ícone de atalho será criado no Desktop.
- Depois de instalado, abaixo seguira imagens de como prosseguir.

Primeiramente inicie a maquina em Modo de Segurança, para isso reinicie ela e fique apertando F8 aleatoriamente, antes de entrar no Windows ira abrir um Menu perguntando como deseja inicializar, Escolha: MODO DE SEGURANÇA.

1º - Após ja esta em modo de segurança, rode o programa que ja devera ter um icone em seu Desktop, e clique em "Do a system scan and save a logfile, como na imagem:



2º - Quando ele terminar o Scan, ira abrir um Log contendo tudo que ele verificou em seu registro do sistema, Aperte Ctrl+F para fazer uma busca que procure por: "pqlmq.exe" conforme na imagem abaixo. Ele irá identificar a linha do sistema que se encontra o virus. Essa será a linha que deverá ser apagada no próximo passo.



3º - Nessa parte deverá tomar cuidado, pode minimixar o Log gerado no passo anterior, e procure exatamente a linha que foi achada no ultimo passo e selecione ele conforme na imagem abaixo (a imagem abaixo é um exemplo, você deverá selecionar exatamente a que foi achada na parte 2). Depois de selecionar, clique em Fix Checked e confirme sua eliminação.



4º - Após apagar a linha, pode fechar o programa todo e abri-lo denovo. Na tela iniciar dele clique em "Open the misc tools selection". Na tela em que abrir selecione "Delete a file on Reboot...". Preencha o espaço do nome do arquivo com o nome do virus: "pqlmq.exe" e clique em abrir. Ele ira confirmar para reiniciar o computador. (as imagens abaixo estão na sequência dos passos.>







5º - Pode deixar reiniciar a máquina em modo normal. O Virus ja foi eliminado!!!! ;)

Espero que não pequem esse virus más se pegar, esta ai a dica. Fiquem espertos em links encurtados!!!