Jump to content

Foto

`.vbs Virus ! Como remover ?



  • Tópico fechado Tópico fechado
Existem 6 respostas neste tópico

#1 ps2wire    

ps2wire
  • Participante
  • 2 mensagens

Publicado 25 November 2007 - 05:14 PM

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21
[autorun]
0
open=wscript.exe .\`.vbs
0
shell\open=打开(&o)
0
shell\open\command=wscript.exe .\`.vbs
0
shell\open\default=1
0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !


#2 Shadow_Hunter    

Shadow_Hunter
  • Participante
  • 243 mensagens

Publicado 25 November 2007 - 05:31 PM

Vai em Executar
e digita msconfig
vai na aba inicializar e olha se ele ta-la , olha se tem algum suspeito por la
.

#3 f-o-x    

f-o-x
  • Participante
  • 3463 mensagens

Publicado 25 November 2007 - 05:42 PM

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21
[autorun]
0
open=wscript.exe .\`.vbs
0
shell\open=打开(&o)
0
shell\open\command=wscript.exe .\`.vbs
0
shell\open\default=1
0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !


Olá ps2wire

Mande o arquivo wscript.exe p/ o http://www.virustotal.com/pt/

Veja se o problema persiste.

#4 ps2wire    

ps2wire
  • Participante
  • 2 mensagens

Publicado 26 November 2007 - 12:04 AM

Olá Shadow_hunter... o arquivo não está lá na inicialização do sistema, pelo menos não agora que eu já removi as entradas do registro.

Caro, f-o-x, obrigado pela dica !

Entrei no site indicado e enviei o arquivo segue resultado:
MD5: 3adce7346e279c8e7adec5f2428385c6
Date: 2007.11.25 08:54:22 (CET) [<1D]
Results: 0/32
Permalink: resultado.html?4736d65c236622d0088145cca655284f

E no permalink:
Arquivo wscript.exe recebido em 2007.11.25 08:47:20 (CET)
Andamento: Carregando ... na fila aguardando analisando terminado NÃO ENCONTRADO PARADO
Resultado: 0/32 (0%)

Pelo que pude entender o wscript.exe não está infectado. Mas no meu c:\windows apareceu um arquivo "`.vbe", enviei este e aí o resultado foi bem diferente:
Antivírus Versão Última Atualização Resultado
AhnLab-V3 - - VBS/Autorun
AntiVir - - VBS/AutoRun.Q
Authentium - - VBS/Mulu.A
F-Prot - - VBS/Mulu.A
F-Secure - - VBS/Mulu.A
Ikarus - - Virus.VBS.AutoRun.s
Kaspersky - - Virus.VBS.AutoRun.s
ising - - Worm.Script.VBS.Agent.u
Webwasher-Gateway - - Script.AutoRun.Q

Vou tentar mudar o meu anti-virus para o Kaspersky, ouvi dizer que é muito bom. Quanto ao arquivo, vou deixá-lo lá afim de ver se o novo anti-virus irá detectá-lo. Obrigado pelas dicas.

Pelo que estou entendendo, o meu wscript.exe não está infectado, mas é ele que starta o script contido nesses `.vbs ou `.vbe que andam junto com um autorun.inf na intenção de iniciar assim que o pendrive é espetado em alguma máquina.
o Meu windows parou de marcar a flag de "não exibir arquivos ocultos" e o wscript, apesar de continuar lá, não está mais iniciando com o windows.

Grato pessoal e aviso assim que obtiver a solução do caso. Qq dica adicional enviem por favor!!

#5 c13v3r    

c13v3r
  • Participante
  • 1 mensagens

Publicado 03 January 2008 - 12:32 PM

Olá

Eu rodei o AVG Anti-Spyware que removeu o vírus, mas depois disso toda vez que inicializava o Windows aparecia uma mensagem chata de erro, para tirar essa mensagem é só ir no registro do windows (WINDOWS+r e digitar regedit) encontrar a chave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>Currente Version> WinLogon e na direita procurar por Userinit, dá 2 cliques, os dados provavelmente aparecerão assim: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

é só apagar o que tem depois da vírgula, deixando assim
C:\WINDOWS\system32\userinit.exe

não sei se fui claro, mas funciona,

At+

#6 kspedro    

kspedro
  • Participante
  • 18 mensagens

Publicado 11 March 2008 - 02:18 PM

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).
Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).
Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.
Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!

#7 fovalencio    

fovalencio
  • Participante
  • 1 mensagens

Publicado 11 June 2008 - 03:11 PM

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).
Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).
Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.
Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!



Pessoal,

eu estava com um problema parecido, dai lendo este post fiz um processo um pouco amis curto,

1. finalizei o processo de execução do wscript.exe,
2. exclui todos os arquivos infectados no meu casos era o "{Seu-pen-drive-ja-era-se-voce-deletar}.vbs + o Autorun.inf" de todas as unidades, pois o do pendrive eu já tinha removido,
3. vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

e pronto, removido os arquivos