quarta-feira, 12 de junho de 2013

Eliminando vírus que oculta arquivos do Pen drive.

Tive uma baita dor de cabeça recentemente com um vírus que contaminou meu Pen drive, e na seqüência acabou contaminando minha máquina também.
Infelizmente, o antivírus da máquina infectante não detectou nada, e o da minha até chegou a dar um alerta,mas não foi capaz de deter o vírus.

O vírus cria um arquivo “autorun.inf” , oculta todas as suas pastas e deixa apenas atalhos. Os mais desapercebidos podem até pensar que perderam tudo, mas normalmente o arquivo continua lá:


O vírus também cria outras pastas estranhas que podem variar de nome, no meu caso ele criou a pasta “f1f1” e “4444”.

Abaixo coloco um pouco de minha experiência, para remover essa praga e espero que possa estar ajudando a quem estiver com o mesmo problema.
No final do post você encontra links muito bons e que me ajudaram muito.
Recomendo que antes de iniciar a retirada do vírus, leia todo o post e o conteúdo dos links também.
Se não se sente seguro(a) de fazer, os procedimentos abaixo, procure alguém de sua confiança.

Primeiro passo – Recuperando as pastas e removendo arquivos indesejados:

Vamos começar pelo procedimento mais fácil, primeiro anote a letra que refere ao seu pen drive, ela pode variar de um computador para outro, se não sabe, olhe na barra de endereço da imagem acima como exemplo, no meu caso é a letra E.
 Agora vamos utilizar alguns comandos e tentar dar fim nesse problema, siga os passos abaixo:
1- Tecle e segure o símbolo do Windows mais a tecla R.
2- Digite CMD e de um ENTER.


3-Na tela que aparecer, digite a letra do seu pen drive seguido de dois pontos, e tecle ENTER lembrando que no meu caso é a letra E:
4-Digite o comando abaixo e tecle ENTER, o processo pode durar de segundos a alguns minutos dependendo da quantidade de arquivos, capacidade do pen drive e do computador:
Attrib  -r -a -s -h /d /s


Depois que o comando for executado, feche a janela, e verifique novamente a pasta do pen drive, se deu tudo certo, todas as suas pastas reaparecerão, agora apague tudo que não for seu, as pastas de atalho, as pastas de códigos estranhos e o arquivo autorun.inf


Passe um antivírus, e verifique se esse arquivo autorun.inf  não volta quando é excluído.
Retire o pen drive e conecte de novo, passe novamente o antivírus por segurança e verifique se está tudo ok.

Segundo passo – se o arquivo autorun.inf voltar ao pen drive:

Se o arquivo voltar ao pen drive, é possível que sua máquina também esteja infectada, mas antes vamos fazer o seguinte:
1-Desconecte o pen drive normalmente.
2-Conecte o pen drive segurando a tecla Shift direita do teclado, isso vai evitar que o Windows tente executar programas automaticamente, espere alguns segundos e solte Shift.
3- Tecle e segure o símbolo do Windows mais a tecla R.
4- Digite CMD e de um Enter.
5- digite a letra do seu pen drive seguido de dois pontos.
6-digite DIR de tecle ENTER, dependendo do que você tem no pen drive, vão aparecer os nomes de vários arquivos, verifique se entre eles aparece o autorun.inf
8-digite DEL autorun.inf e tecle Enter para apagá-lo.
9-digite novamente DIR, tecle ENTER e procure novamente pelo autorun.inf verifique se o arquivo realmente sumiu:

10- retire o pen drive normalmente.


Terceiro passo, tirando o vírus da maquina.

Tentei de varias formas tirar o vírus da minha máquina, baixei diversos programas mas sem sucesso, pois os programas simplesmente não rodavam, se você também está com esse problema, tente o seguinte:
1- Dê um Ctrl+Alt+Del
2- Clique em Gerenciador de tarefas
3-Clique na aba processos
4-Dê um clique em WSCRIPT.EXE e em seguida finalizar processo:


5-Feche tudo o que tiver em aberto e rode seu antivírus, no modo escaneamento completo ou algo como full computer scan, não use a opção escaneamento rápido.
6-Siga as informações do seu Antivírus, se ele for bom, vai encontrar o danado.
Reinicie o computador e passe novamente o Antivírus.

Obs.: Depois de tudo terminado, quando for conectar o Pen drive novamente, repita todo o segundo passo pela ultima vez, só para ter certeza que ele ainda não esteja com o vírus que possa contaminar o computador de novo.

Links:



16 comentários:

Anônimo disse...

Olá Luciano, tudo bem?
Meu nome é Gabrielle. Vii seu comentário na página do professor Wellington Telles e entrei no seu blog porque estou com esse mesmo problema sobre o autorun, que está na minha maquina no diretório wscript.exe, dentro de uma pagina chamada System32. Mas o maior problema é que eu não consigo excluir o vírus do pendrive, e eu fiz a besteira de formatar ele antes de conseguir excluir o vírus (em uma tentativa de conseguir excluir), ou seja, perdi tudo, nao tem pasta nenhuma, e agora quando sigo esses passos o autorun não é detectado.
Estou tentando excluir o vírus do meu computador e dps vou tentar excluir novamente do meu pendrive. Mas se você souber de algo que possa me ajudar nesse sentido ficarei muito grata!

Desde já agradeço pelo tutorial!

Anônimo disse...

Sou eu de novo!
Ah, detalhe .. Quando coloco o pendrive no pc ele começa a reconhecer mais de 40 vírus ... Fica apitando que "uma ameaça foi detectada" sem parar, e quando abro a pasta do pendrive começam a aparecer varias coisas (pq eu não sei o que são aquelas coisas) como se fossem vários documentos e com nomes muito estranhos.

Socorro!

Luciano disse...

Olá Gabrielle,

Obrigado por visitar o blog.

Bom, vamos ver se consigo entender.
Vamos trabalhar no computador primeiro. O Antivirus detecta mas não consegue excluir os vírus?
Verifique nas mensagens do antivirus se ele menciona outros arquivos com extensão .EXE, repita o terceiro passo com essas extensões.

Anônimo disse...

Luciano cara me ajuda ai. to tentando executar esse attrib mais o cmd nao reconhece a midia. no caso o pen drive ta no G: mais ele não reconhece, e os atalhos que ele criou no local Destino que ta em propriedades ta no sistem32. tambem não to conseguindo resolver por ali. e o meu avast não detectou nada. Ajuda aê te agradeço.

Anônimo disse...

Também tentei executar o "attrib" mas aparece "Arquivo não encontrado" e meu pen drive continua ocultando os arquivos, sem deixar atalho algum, ele apenas oculta e nem mudando as opções de arquivos ocultos, as pastas não aparecem. O que faço?

Anônimo disse...

Muito obrigado, funcionou perfeitamente!

Anônimo disse...

Bom artigo. Tem esse script no sourceforge que voce baixa executa e ele mostra seus aquivos novamente, exclui os atalhos desnecessários e remove o virus do computador onde esta sendo executado para que não continue infectando outros pendrives. Ou seja ele automatiza essas tarefas acima. É um script .bat, ou seja é só abrir e ver que ele é confiável e o mais importante funciona! É só copiá-lo para o pendrive e executá-lo. Pode executar pelo atalho mesmo que funciona mesmo.

Pagina do projeto http://sourceforge.net/projects/muti/ Download: http://sourceforge.net/projects/muti/files/Muti.bat/download


Anônimo disse...

Resolveu :) Obrigada

manoel.melkiades disse...

Solucionou cara.
Qnd eu segurei shift direita o pen drive appareceu tudo. Antes não aparecia nenhum arquivo.

Anônimo disse...

Amei esse post! Solucionou meu problema de forma super simples. Obrigada pela atenção, Luciano. Abraços.

Anônimo disse...

Funcionou perfeitamente, todos os arquivos apareceram novamente.

Anônimo disse...

Ótimo! Valeu!

Unknown disse...

Muito bom. Funcionou perfeitamente.

Aylin disse...

Cara, suas dicas são muito boas. Valeu mesmo.

Unknown disse...

Eu Prefiro o USBClean que é gratuito e esta disponivel no link http://www.bertinijr.com.br/usbclean/

Duda Batista disse...

Muito obrigada, Luciano! Suas instruções foram de grande valia para mim e o primeiro comando já foi capaz de solucionar meu problema por completo. Abraço!