Conteúdo: Default Ardósia Uva Barbie Morango Pôr do sol Banana Folha Chocolate Madeira
Fundo: Default Ardósia Uva Barbie Morango Pôr do sol Banana Folha Chocolate Madeira
Desenho: Liso Onda Linha Retalho Madeira Rocha Couro Colméia Vertical Triângulo
Bem-vindo ao Fórum do BABOO!

Desde 2000 o Fórum do BABOO tem ajudado milhões de internautas de Windows a resolverem seus problemas e dúvidas, além de ajudar na remoção de vírus e malwares de seus computadores. Somos o único fórum brasileiro coordenado por um especialista com reconhecimento internacional pela sua competência em Windows, então se você tem uma dúvida ou problema que nenhum outro fórum resolve, poste-a aqui pois o MVP Babooadora desafios!
  

O Fórum do BABOO também conta com a participação exclusiva do administrador da área de Segurança MVP Mr.Million que tem reconhecimento internacional da Microsoft pelo seu incansável trabalho ajudando os internautas a remover vírus e malwares dos seus computadores. Se o seu computador está infectado por algum vírus, ele te ajudará a removê-lo!
  

Nosso time de especialistas também inclui Patropi  Osvaldomp  Caze  Ciro-Mota  XERLOUCO ROUMS  Tatha que responderão suas dúvidas sobre diversos assuntos.
 

Participe da nossa comunidade! 

Entre para seguir isso  
Seguidores 0
ps2wire

`.vbs Virus ! Como remover ?

7 posts neste tópico

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21

[autorun]

0

open=wscript.exe .\`.vbs

0

shell\open=打开(&o)

0

shell\open\command=wscript.exe .\`.vbs

0

shell\open\default=1

0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vai em Executar

e digita msconfig

vai na aba inicializar e olha se ele ta-la , olha se tem algum suspeito por la

.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21

[autorun]

0

open=wscript.exe .\`.vbs

0

shell\open=打开(&o)

0

shell\open\command=wscript.exe .\`.vbs

0

shell\open\default=1

0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !

Olá ps2wire

Mande o arquivo wscript.exe p/ o http://www.virustotal.com/pt/

Veja se o problema persiste.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Shadow_hunter... o arquivo não está lá na inicialização do sistema, pelo menos não agora que eu já removi as entradas do registro.

Caro, f-o-x, obrigado pela dica !

Entrei no site indicado e enviei o arquivo segue resultado:

MD5: 3adce7346e279c8e7adec5f2428385c6

Date: 2007.11.25 08:54:22 (CET) [<1D]

Results: 0/32

Permalink: resultado.html?4736d65c236622d0088145cca655284f

E no permalink:

Arquivo wscript.exe recebido em 2007.11.25 08:47:20 (CET)

Andamento: Carregando ... na fila aguardando analisando terminado NÃO ENCONTRADO PARADO

Resultado: 0/32 (0%)

Pelo que pude entender o wscript.exe não está infectado. Mas no meu c:\windows apareceu um arquivo "`.vbe", enviei este e aí o resultado foi bem diferente:

Antivírus Versão Última Atualização Resultado

AhnLab-V3 - - VBS/Autorun

AntiVir - - VBS/AutoRun.Q

Authentium - - VBS/Mulu.A

F-Prot - - VBS/Mulu.A

F-Secure - - VBS/Mulu.A

Ikarus - - Virus.VBS.AutoRun.s

Kaspersky - - Virus.VBS.AutoRun.s

ising - - Worm.Script.VBS.Agent.u

Webwasher-Gateway - - Script.AutoRun.Q

Vou tentar mudar o meu anti-virus para o Kaspersky, ouvi dizer que é muito bom. Quanto ao arquivo, vou deixá-lo lá afim de ver se o novo anti-virus irá detectá-lo. Obrigado pelas dicas.

Pelo que estou entendendo, o meu wscript.exe não está infectado, mas é ele que starta o script contido nesses `.vbs ou `.vbe que andam junto com um autorun.inf na intenção de iniciar assim que o pendrive é espetado em alguma máquina.

o Meu windows parou de marcar a flag de "não exibir arquivos ocultos" e o wscript, apesar de continuar lá, não está mais iniciando com o windows.

Grato pessoal e aviso assim que obtiver a solução do caso. Qq dica adicional enviem por favor!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Eu rodei o AVG Anti-Spyware que removeu o vírus, mas depois disso toda vez que inicializava o Windows aparecia uma mensagem chata de erro, para tirar essa mensagem é só ir no registro do windows (WINDOWS+r e digitar regedit) encontrar a chave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>Currente Version> WinLogon e na direita procurar por Userinit, dá 2 cliques, os dados provavelmente aparecerão assim: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

é só apagar o que tem depois da vírgula, deixando assim

C:\WINDOWS\system32\userinit.exe

não sei se fui claro, mas funciona,

At+

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).

Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).

Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.

Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).

Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).

Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.

Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!

Pessoal,

eu estava com um problema parecido, dai lendo este post fiz um processo um pouco amis curto,

1. finalizei o processo de execução do wscript.exe,

2. exclui todos os arquivos infectados no meu casos era o "{Seu-pen-drive-ja-era-se-voce-deletar}.vbs + o Autorun.inf" de todas as unidades, pois o do pendrive eu já tinha removido,

3. vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

e pronto, removido os arquivos

Compartilhar este post


Link para o post
Compartilhar em outros sites

Visitante
Este tópico é muito antigo e está impedido de receber novos posts. Se você quiser ajuda ou suporte, crie um novo tópico.
Esse tópico é útil para você?
Então compartilhe e ajude outros internautas!
Entre para seguir isso  
Seguidores 0

O site BABOO está no ar para informar e ajudar o internauta de Windows. Este site foi publicado em 1999 por Aurélio "Baboo", engenheiro e um dos maiores especialistas brasileiros em Windows, que trabalha profissionalmente com esse sistema operacional desde 1987. Desde 2004 ele é premiado anualmente pela Microsoft como MVP (Most Valuable Professional) pela sua contribuição e ajuda à comunidade de usuários de Windows.

Em 2001 foi criado o
Fórum do BABOO para ajudar o internauta brasileiro a solucionar problemas e dúvidas sobre Windows, Segurança, Office, Hardware e outros temas. Desde 2010 a Microsoft também tem premiado o Mr.Million, administrador da área de Segurança do Fórum do BABOO, pelo seu incansável trabalho ajudando os internautas a remover vírus e malwares dos seus computadores. Atualmente ele é o único MVP brasileiro de Segurança em desktop.

O BABOO é o único site brasileiro coordenado por um especialista com reconhecimento internacional pela sua competência em Windows e que participa diariamente e ativamente nos comentários e discussões do site e fórum BABOO.