#

Jump to content

  • Login via Facebook Login com Twitter
  • Cadastre-se no Fórum do BABOO!





 

Foto

`.vbs Virus ! Como remover ?


Minimizar/MaximizarImagens para Papel de Parede

  • Arte Digital - 62
  • Cavalos - 35
  • Ferrari - 33
  • Insetos - 23
  • Carro-conceito 06
  • 3D - cubos brancos
  • Jogos - 48
  • Flores - 52
  • Natureza Morta - 56
  • Paisagens e animais - 44

  • Tópico fechado Tópico fechado
Existem 6 respostas neste tópico

#1
Link desta mensagem
ps2wire

ps2wire
  • Participante
  • 2 mensagens

Publicado 25/nov/07 05:14 h

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21
[autorun]
0
open=wscript.exe .\`.vbs
0
shell\open=打开(&o)
0
shell\open\command=wscript.exe .\`.vbs
0
shell\open\default=1
0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !

Publicidade
Publicidade

#2
Link desta mensagem
Shadow_Hunter

Shadow_Hunter
  • Participante
  • 243 mensagens

Publicado 25/nov/07 05:31 h

Vai em Executar
e digita msconfig
vai na aba inicializar e olha se ele ta-la , olha se tem algum suspeito por la
.

#3
Link desta mensagem
f-o-x

f-o-x
  • Participante
  • 3.463 mensagens

Publicado 25/nov/07 05:42 h

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21
[autorun]
0
open=wscript.exe .\`.vbs
0
shell\open=打开(&o)
0
shell\open\command=wscript.exe .\`.vbs
0
shell\open\default=1
0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !


Olá ps2wire

Mande o arquivo wscript.exe p/ o http://www.virustotal.com/pt/

Veja se o problema persiste.

#4
Link desta mensagem
ps2wire

ps2wire
  • Participante
  • 2 mensagens

Publicado 26/nov/07 12:04 h

Olá Shadow_hunter... o arquivo não está lá na inicialização do sistema, pelo menos não agora que eu já removi as entradas do registro.

Caro, f-o-x, obrigado pela dica !

Entrei no site indicado e enviei o arquivo segue resultado:
MD5: 3adce7346e279c8e7adec5f2428385c6
Date: 2007.11.25 08:54:22 (CET) [<1D]
Results: 0/32
Permalink: resultado.html?4736d65c236622d0088145cca655284f

E no permalink:
Arquivo wscript.exe recebido em 2007.11.25 08:47:20 (CET)
Andamento: Carregando ... na fila aguardando analisando terminado NÃO ENCONTRADO PARADO
Resultado: 0/32 (0%)

Pelo que pude entender o wscript.exe não está infectado. Mas no meu c:\windows apareceu um arquivo "`.vbe", enviei este e aí o resultado foi bem diferente:
Antivírus Versão Última Atualização Resultado
AhnLab-V3 - - VBS/Autorun
AntiVir - - VBS/AutoRun.Q
Authentium - - VBS/Mulu.A
F-Prot - - VBS/Mulu.A
F-Secure - - VBS/Mulu.A
Ikarus - - Virus.VBS.AutoRun.s
Kaspersky - - Virus.VBS.AutoRun.s
ising - - Worm.Script.VBS.Agent.u
Webwasher-Gateway - - Script.AutoRun.Q

Vou tentar mudar o meu anti-virus para o Kaspersky, ouvi dizer que é muito bom. Quanto ao arquivo, vou deixá-lo lá afim de ver se o novo anti-virus irá detectá-lo. Obrigado pelas dicas.

Pelo que estou entendendo, o meu wscript.exe não está infectado, mas é ele que starta o script contido nesses `.vbs ou `.vbe que andam junto com um autorun.inf na intenção de iniciar assim que o pendrive é espetado em alguma máquina.
o Meu windows parou de marcar a flag de "não exibir arquivos ocultos" e o wscript, apesar de continuar lá, não está mais iniciando com o windows.

Grato pessoal e aviso assim que obtiver a solução do caso. Qq dica adicional enviem por favor!!

#5
Link desta mensagem
c13v3r

c13v3r
  • Participante
  • 1 mensagens

Publicado 03/jan/08 12:32 h

Olá

Eu rodei o AVG Anti-Spyware que removeu o vírus, mas depois disso toda vez que inicializava o Windows aparecia uma mensagem chata de erro, para tirar essa mensagem é só ir no registro do windows (WINDOWS+r e digitar regedit) encontrar a chave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>Currente Version> WinLogon e na direita procurar por Userinit, dá 2 cliques, os dados provavelmente aparecerão assim: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

é só apagar o que tem depois da vírgula, deixando assim
C:\WINDOWS\system32\userinit.exe

não sei se fui claro, mas funciona,

At+

#6
Link desta mensagem
kspedro

kspedro
  • Participante
  • 18 mensagens

Publicado 11/mar/08 02:18 h

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).
Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).
Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.
Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!

#7
Link desta mensagem
fovalencio

fovalencio
  • Participante
  • 1 mensagens

Publicado 11/jun/08 03:11 h

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).
Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).
Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.
Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!



Pessoal,

eu estava com um problema parecido, dai lendo este post fiz um processo um pouco amis curto,

1. finalizei o processo de execução do wscript.exe,
2. exclui todos os arquivos infectados no meu casos era o "{Seu-pen-drive-ja-era-se-voce-deletar}.vbs + o Autorun.inf" de todas as unidades, pois o do pendrive eu já tinha removido,
3. vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

e pronto, removido os arquivos


  Publicidade  
Publicidade