Conteúdo: Default Ardósia Uva Barbie Morango Pôr do sol Banana Folha Chocolate Madeira
Fundo: Default Ardósia Uva Barbie Morango Pôr do sol Banana Folha Chocolate Madeira
Desenho: Liso Onda Linha Retalho Madeira Rocha Couro Colméia Vertical Triângulo
Bem-vindo ao Fórum do BABOO!

Desde 2000 o Fórum do BABOO tem ajudado milhões de internautas de Windows a resolverem seus problemas e dúvidas, além de ajudar na remoção de vírus e malwares de seus computadores. Somos o único fórum brasileiro coordenado por um especialista com reconhecimento internacional pela sua competência em Windows, então se você tem uma dúvida ou problema que nenhum outro fórum resolve, poste-a aqui pois o MVP Babooadora desafios!
  

O Fórum do BABOO também conta com a participação exclusiva do administrador da área de Segurança MVP Mr.Million que tem reconhecimento internacional da Microsoft pelo seu incansável trabalho ajudando os internautas a remover vírus e malwares dos seus computadores. Se o seu computador está infectado por algum vírus, ele te ajudará a removê-lo!
  

Nosso time de especialistas também inclui Patropi  Osvaldomp  Caze  Ciro-Mota  XERLOUCO ROUMS  Tatha que responderão suas dúvidas sobre diversos assuntos.
 

Participe da nossa comunidade! 

 

Entre para seguir isso  
Seguidores 0
ps2wire

`.vbs Virus ! Como remover ?

7 posts neste tópico

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21

[autorun]

0

open=wscript.exe .\`.vbs

0

shell\open=打开(&o)

0

shell\open\command=wscript.exe .\`.vbs

0

shell\open\default=1

0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi pessoal !

Preciso de uma ajuda e sei que todos daqui são experts e por isso estou aqui (Y) .

Outro dia percebi um arquivo `.vbs no meu flash drive, percebi só no trabalho, pois em casa ele não aparecia. O anti-virus do trabalho removeu automaticamente. Em casa percebi que o arquivo não estava mais no pendrive, mas quando fui nas opções do explorer , verifiquei que a flag "ocultar arquivos do sistema operacional" estava marcada (eu sempre deixo desmarcada). Quando desmarquei o arquivo estava lá de novo.

O wscript.exe tenta executar quando eu inicio o windows. Estressado, eu apaguei o wscript.exe, mas ele sempre volta. Sei que se trata de um vbscript que está rodando na minha máquina só que o meu anti-virus não está removendo. Estou com o AVG, tirei o Norton (licenciado) que tinha há 1 mês ...

Como identificar e remover esse vírus ?

Junto com esse `.vbs que apareceu no meu pendrive, havia um autorn.inf que continha o seguinte:

Gover7.21

[autorun]

0

open=wscript.exe .\`.vbs

0

shell\open=打开(&o)

0

shell\open\command=wscript.exe .\`.vbs

0

shell\open\default=1

0

Não achei nenhuma referência a remoção desse script. Em meu c:\windows\system32 apareceram alguns arquivos .vbe ocultos que eu também removi. Mas estou preocupado, pois a flag mencionada acima do windows explorer teima em ficar marcada, tenho que desabilitá-la várias vezes pra poder enxergar esses arquivos ocultos.

Removi todos os arquivos e removi todas as entradas do registro que continham o wscript.exe pra ter certeza de que esse cara não seria mais executado.

Desculpem o texto longo. Alguma idéia do que pode ser e como removê-lo ?

Tks !

Olá ps2wire

Mande o arquivo wscript.exe p/ o http://www.virustotal.com/pt/

Veja se o problema persiste.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Shadow_hunter... o arquivo não está lá na inicialização do sistema, pelo menos não agora que eu já removi as entradas do registro.

Caro, f-o-x, obrigado pela dica !

Entrei no site indicado e enviei o arquivo segue resultado:

MD5: 3adce7346e279c8e7adec5f2428385c6

Date: 2007.11.25 08:54:22 (CET) [<1D]

Results: 0/32

Permalink: resultado.html?4736d65c236622d0088145cca655284f

E no permalink:

Arquivo wscript.exe recebido em 2007.11.25 08:47:20 (CET)

Andamento: Carregando ... na fila aguardando analisando terminado NÃO ENCONTRADO PARADO

Resultado: 0/32 (0%)

Pelo que pude entender o wscript.exe não está infectado. Mas no meu c:\windows apareceu um arquivo "`.vbe", enviei este e aí o resultado foi bem diferente:

Antivírus Versão Última Atualização Resultado

AhnLab-V3 - - VBS/Autorun

AntiVir - - VBS/AutoRun.Q

Authentium - - VBS/Mulu.A

F-Prot - - VBS/Mulu.A

F-Secure - - VBS/Mulu.A

Ikarus - - Virus.VBS.AutoRun.s

Kaspersky - - Virus.VBS.AutoRun.s

ising - - Worm.Script.VBS.Agent.u

Webwasher-Gateway - - Script.AutoRun.Q

Vou tentar mudar o meu anti-virus para o Kaspersky, ouvi dizer que é muito bom. Quanto ao arquivo, vou deixá-lo lá afim de ver se o novo anti-virus irá detectá-lo. Obrigado pelas dicas.

Pelo que estou entendendo, o meu wscript.exe não está infectado, mas é ele que starta o script contido nesses `.vbs ou `.vbe que andam junto com um autorun.inf na intenção de iniciar assim que o pendrive é espetado em alguma máquina.

o Meu windows parou de marcar a flag de "não exibir arquivos ocultos" e o wscript, apesar de continuar lá, não está mais iniciando com o windows.

Grato pessoal e aviso assim que obtiver a solução do caso. Qq dica adicional enviem por favor!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Eu rodei o AVG Anti-Spyware que removeu o vírus, mas depois disso toda vez que inicializava o Windows aparecia uma mensagem chata de erro, para tirar essa mensagem é só ir no registro do windows (WINDOWS+r e digitar regedit) encontrar a chave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>Currente Version> WinLogon e na direita procurar por Userinit, dá 2 cliques, os dados provavelmente aparecerão assim: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

é só apagar o que tem depois da vírgula, deixando assim

C:\WINDOWS\system32\userinit.exe

não sei se fui claro, mas funciona,

At+

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).

Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).

Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.

Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom, vou ressucitar esse tópico, pois era um problema meu e poderia ser de muitos outros...

acabei de resolvê-lo e venho aqui compartilhar com todos como foi resolvido...

baixei o AVG Anti-Spyware como disse nosso amigo c13v3r. Porém, ao contrário do que ele relatou, aqui não removeu. Até removeu, mas os arquivos voltam a aparecer menos de 10 segundos depois (o killVBS.vbs e o autorun.inf). Pensei bastante sobre as soluções dadas aqui e em outros lugares que procurei, mas nenhuma efetivamente funcionou. Por isso, eu tentei juntar uma com a outra + um toque de quebra-galho e consegui resolver.

Primeiro passe o AVG Anti-Spyware. Scaneie o pendrive, o registro e a pasta system32 (C:\Windows\system32).

Enquanto passa o scanner, abra o pendrive (com o botão direito e "Abrir") e fique de olho na janela e nos arquivos. Quando terminar de scanear irá aparecer Worm.Anur.a na lista. E na coluna da direita irão aparecer as informações e o caminho dele (G:\killVBS.vbs provavelmente).

Peça para excluí-lo clicando em cima de "Quarentena" e mudando a opção para "Excluir". Você poderá notar que mesmo excluindo pelo AVG, ele volta, mas mesmo assim o AVG "descontamina" alguns arquivos essenciais. Agora vem a parte do improviso. Vá na janela do pendrive, veja se os arquivos killVBS.vbs e autorun.inf ainda encontram-se lá. Se sim, selecione os dois, delete-os e rapidamente, assim que forem deletados, você remove o pendrive do PC, não deixando assim, que o PC, ainda infectado, passe o vírus novamente para o pendrive. Depois que fizer isso, vá em "Análise" no AVG Anti-Spyware e na aba processos procure pelo processo "wscript.exe", selecione-o e clique em "encerrar aplicativo(s)". Você também pode fazer isso pelo gerenciador de tarefas do Windows.

Agora vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

espere uns 5 minutos e atualize a pasta que se encontra o registro "Userinit" e veja se o valor dele continua apenas com o padrão (C:\Windows\System32\userinit.exe). Se sim, reinicie o computador, replugue o pendrive no PC (se você tiver errado a hora de tirar o pendrive no passo anterior os arquivos voltarão) e clique ainda com o botão direito na unidade do pendrive e dps em abrir. Os arquivos terão sumido. Mesmo assim, repasse o scanner do anti-spyware no pendrive,registro e no system32. Vá no registro novamente, no mesmo lugar e veja se continua com o valor que colocamos anteriormente e depois, só por precaução, verifique os processos rodando e veja se o wscript.exe não se encontra lá.

Pronto... removido

Pelo menso aqui deu certo! abraços!

Pessoal,

eu estava com um problema parecido, dai lendo este post fiz um processo um pouco amis curto,

1. finalizei o processo de execução do wscript.exe,

2. exclui todos os arquivos infectados no meu casos era o "{Seu-pen-drive-ja-era-se-voce-deletar}.vbs + o Autorun.inf" de todas as unidades, pois o do pendrive eu já tinha removido,

3. vá no registro de sua máquina (Iniciar>Executar>regedit) e procure pela chave "Userinit", que se encontra em HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

Assim que achar, dê um duplo clique e apague tudo que está escrito depois da vírgula (deixe somente C:\Windows\System32\userinit.exe) e clique em Ok.

e pronto, removido os arquivos

Compartilhar este post


Link para o post
Compartilhar em outros sites

Visitante
Este tópico é muito antigo e está impedido de receber novos posts. Se você quiser ajuda ou suporte, crie um novo tópico.
Esse tópico é útil para você?
Então compartilhe e ajude outros internautas!
Entre para seguir isso  
Seguidores 0

  • NOVIDADES DO SITE BABOO

  • Posts

    • Eu tenho uma certa experiência com placas de som USB, essas placas baratinhas não precisam de driver, somente aquelas mais caras com 5.1 ou 7.1 virtual, mas elas nunca entragam o que prometem, nunca entregam som surround como as mais caras, sempre são estéreo com microfone mono isso qdo o microfone funciona. Eu tenho uma Siberia que foi cara, placa muito boa com 5.1 virtual e uma dessas baratinhas com som estéreo horrível e microfone que não funciona, que é uma queixa comum.
    • Olá! Trabalho na área de hardware e essa impressora tem esse problema característico de fábrica. O problema é de peças: placa, cabo flat, isso se o usuário tem certeza que o cartucho está funcionando. Tem vezes que não compensa consertar a impressora.
    • Olá, recentemente abri meu notebook HP Pavilion G4 para fazer uma limpeza. Tirei um pouco de poeira de dentro, principalmente do teclado e da ventoinha. Depois que voltei a montar uma das entradas usb não funciona mais. Qualquer dispositivo que eu coloque lá não liga. Imagino se só a assistência técnica resolva isso.Tive muito cuidado com todo o processo de montagem e desmontagem. Já verifiquei a BIOS e ao que parece também não está listada no gerenciador de dispositivos, embora eu não esteja certo por ter uma lista grande de entradas. Alguém tem alguma sugestão antes de eu mandar para a assistência?
    • Olá amigos do fórum. Procuro uma solução para uma situação que não chega a ser um problema, mas que seria muito cômodo se conseguisse. Tenho um HP Pavilion G4. O Sistema Operacional nativo dele era o Windows 7. Acontece que no Gerenciador de Dispositivos de Áudio do Windows 7, a minha placa de som estéreo também era reconhecida na aba microfone. Então, ao utilizar programas como Hangouts, Skype, etc, eu conseguia facilmente transmitir o som que estava saindo das minhas placas de som para outras pessoas com 100% da qualidade original sem a necessidade de o microfone nativo do notebook ter que receber e reenviar esse som. Isso era muito útil às vezes. Como eu falei, não se trata de uma necessidade, e sim uma comodidade. Ao migrar para o Windows 10, ela continuou lá, no entanto, ao fazer uma restauração do computador (formatação limpa), a mesma já não se encontra na lista. Tem algo que eu possa fazer quanto a isso? Gostaria de algo mais simples, como comandos no prompt ou inclusões de chave no registro. Não gosto muito de ficar instalando programas à toa. Obrigado  
    • Troquei a CPU, porém mantive meu HD, o mesmo desativou a chave do Windows, e agora está solicitando senha, e não me lembro de ter senha nesta máquina, usei a do notebook, porém não deu certo. Pesquisei aqui no site mas não consegui encontrar nada de como resolver. alguém pode me dar um caminho para resolução desse caso? Grato.  
    • Não estou conseguindo configurar o Windows Update para procurar atualizações para outros produtos. Tenho o Office 2010 instalado e o Microsoft Security Essentials. Aparece a mensagem "Obtenha atualizações para outros produtos Microsoft. Saiba Mais" mas ao clicar aparece uma página web instruindo a carregar o Windows Update a partir do computador. Se tento atualizar por algum programa do Office no menu Ajuda, aparece a mesma coisa. Como procedo? Obrigado.
    • A placa da EVGA tem frequências um pouquinho maiores do que a Gigabyte.
    • Boa tarde. Por ser Plug & Play, não deverá precisar instalar drivers.
    • Olá amigos do fórum. Sempre tive só uma conta no meu Windows 7, que era administrador, de repente surgiu uma nova conta se dizendo administrador, que se eu clicar aparece um perfil temporário do Windows, algumas coisas estranhas acontecem, como o drive de cd/dvd só funciona no perfil temporário e em nenhum deles consigo abrir a pasta "documents and setting" Alguém sabe o que acontece?
O site BABOO está no ar para informar e ajudar o internauta de Windows. Este site foi publicado em 1999 por Aurélio "Baboo", engenheiro e um dos maiores especialistas brasileiros em Windows, que trabalha profissionalmente com esse sistema operacional desde 1987. Desde 2004 ele é premiado anualmente pela Microsoft como MVP (Most Valuable Professional) pela sua contribuição e ajuda à comunidade de usuários de Windows.

Em 2001 foi criado o
Fórum do BABOO para ajudar o internauta brasileiro a solucionar problemas e dúvidas sobre Windows, Segurança, Office, Hardware e outros temas. Desde 2010 a Microsoft também tem premiado o Mr.Million, administrador da área de Segurança do Fórum do BABOO, pelo seu incansável trabalho ajudando os internautas a remover vírus e malwares dos seus computadores. Atualmente ele é o único MVP brasileiro de Segurança em desktop.

O BABOO é o único site brasileiro coordenado por um especialista com reconhecimento internacional pela sua competência em Windows e que participa diariamente e ativamente nos comentários e discussões do site e fórum BABOO.