oswaldobass

Não achei nada em português sobre isto... vamos lá!

Ao abrir o firefox você recebeu uma mensagem estranha e ele fechou logo em seguida? Trata-se de um vírus chatinho, muito chatinho; já quebrei a cabeça com eles em vários pcs aqui no trabalho, por isso que estou repassando pra quem tem (ou poderá ter um dia) possa solucionar


Entendendo o vírus


Quando você vai abrir o Firefox, abre também uma nova popup e exibe a seguinte mensagem: "I DNT HATE MOZILLA BUT USE IE OR ELSE..." (traduzindo: Eu não odeio mozilla mais uso IE ou outro) e com o título: "USE INTERNET EXPLORER YOU DOPE" (Use internet explorer seu estúpido). Depois o firefox fecha automaticamente.




Além do Firefox, ele também bloqueia a abertura do YouTube e o Orkut pelo Internet Explorer com as mensagens:






(Tradução: "Orkut é proibido, enganou você, Os administradores não mexem neste programa, adivinha quem fez? MUHAHAHA!"); mesma coisa com o youtube. E fecha a janela imediatamente.

Como falei, o nome do worm é W32.USBWorm, ele propaga através de drives USB; afeta o firefox, orkut, youtube e vários recursos do Windows XP, como o editor de registros e o gerenciador de tarefas, por exemplo. Tem também um arquivo. Wav (o que soa como "muhahaha!) Sempre que o pop-up aparece.

Como funciona?


Ele cria uma pasta com o nome heap41a na unidade C, disfarçado como uma pasta oculta do sistema.
O processo em execução que é responsável por isso é svchost.exe. Como sempre tem mais de um processo com este nome, ele poderá ser identificado por está no nome do usuário (no Gerenciador de tarefas, Ctrl+Alt+Del > Processos). Ele irá também fazer uma entrada no registro, de modo que ele será iniciado automaticamente, toda vez que o sistema for ligado.

Conteúdo da pasta "heap41a"

• Svchost.exe –
  Este é o principal programa executando.
• Script1.txt –
  Contém o script para exibir as mensagens e o som do arquivo wav, dependendo de aplicação solicitada.
• Std.txt –
  É responsável pela entrada no registro e execução do svchost.exe.
• Reproduce.txt –
  É responsável por reproduzir a mesma estrutura de diretórios e a entrada no registro cada vez que o sistema reinicia. Juntamente com estes, haverá um arquivo de áudio e uma lista, que contém o texto por omissão de todos os alfabetos A…Z

Como remover este worm?

Alternativa 1:

Baixe o: < w32.USBWorm Blocker Worm Fix >.
Salve-o no Desktop!
Descompacte-o e,execute o arquivo: fix.exe Worm
Clique em Remove.

Para remover manualmente (Passo 2):

• Terminar o processo svchost. Lembre-se que terá mais de um svchost. Você tem que apagar apenas o que está com o nome do usuário.

• Delete a pasta heap41a de seu sistema. Lembre que ela está oculta. A opção mostrar arquivos ocultos não funciona. Você pode usar a pesquisa com opções avançadas para encontrá-la, ou ir em Iniciar > Executar e digitar "C:\heap41a" sem aspas (se a sua unidade for C, senão, substitua). Outra opção é Iniciar > Executar > regedit e aperta ENTER.
  Navegue em HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Explorer > Advanced > Folder > Hidden > SHOWALL,
  clique duplo e mudar o valor para 1.

• Remova a seguinte entrada do registro que ele não volte quando iniciar.
  HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > Explorer > Run
  e remova a chave winlogon. Esta entrada será responsável pela fase de arranque "C:\heap41a\svchost.exe", (abrir arquivo sempre que iniciar o seu Windows).

• Também remova qualquer arquivo autorun.inf no seu pen drive e uma pasta com extensão .exe. Será normalmente com o nome "Nova pasta".

Observação: algumas vezes, este worm também desabilita o "taskmanager" e "regedit" para evitar que seja removido a partir destes locais!

Se ainda não funcionar, você pode ativá-los novamente seguindo as instruções que são fornecidas pela microsoft neste link: http://support.microsoft.com/kb/555480

Alternativa 2:

Baixando e executando o hijackthis:

Copie e cole o resultado aqui http://www.hardware.com.br/comunidade/v-f/59 para que te ajudem

Desculpem pela tradução, não sou um expert em inglês (não mesmo), mais espero ter ajudado!

abraços

*Acrescentado dica do Fire Dragon e link p/ baixar Hijackthis, por Wings

__________________
Se você é jovem ainda, jovem ainda, jovem ainda, amanhã velho será, velho será, velho será...

Edson A. F.

Muito legal tua contribuição!

__________________
[ ]`s
________ _ _______

oswaldobass

Obrigado Edson; quem tiver algo a acrescentar ou sugerir um novo titulo pode postar ai! abraços

__________________
Se você é jovem ainda, jovem ainda, jovem ainda, amanhã velho será, velho será, velho será...

oswaldobass

up... para fins de leitura

__________________
Se você é jovem ainda, jovem ainda, jovem ainda, amanhã velho será, velho será, velho será...

patrick.cs

Foi o caso que aconteceu no computador da minha cliente!!
Nunca tinha visto esse!

__________________
Patrick Carvalho - Web Design - Soluções Web.
www.patrickcarvalho.com.br

rhumberto

Muito bom oswaldobass!

A 1ª alternativa é mais facil!

Mas confio muito mais na 2ª, você concorda comigo?!

Para remover virus, uso somente o auxilio do programa Hijackthis para saber onde o infeliz está! Na minha opnião foi um dos melhores programas que já inventaram até hoje...

Quando ajudo o pessoal aqui, sempre tento ajudar usando o seu segundo modelo de remoção...



Esse tópico vai ajudar muitas pessoas!

Ta de parabéns!

Fica com Deus!

__________________

Paulo Sousa

Muito bom o tópico!
Irá auxiliar muita gente que sofre com este problema!

Grande abraço, Oswaldo!!

__________________

Fire Dragon

Belo exterminio com o Hijack (qual bloqueia entrada de navegadores), espero que não confundam com o HijackThis que é um programa.
Mesmo que não uso Firefox no Win.

A segunda dica você deveria complementar: Caso o taskmgr não funcione, use o Process Explorer. Mas funciona os 2 sim, vá na pasta C:\Windows\System32, procure por regedit ou taskmgr, e clique com o botão direito do mouse, e coloque executar como, execute como administrador, mas infelizmente, não temos acessos rápidos, mas pode fazer isso no gpedit.msc, alguns deixam rastros, mas infelizmente a Microsoft fez essa ferramente para o XP Professional.

oswaldobass

Pois é, tinha dado uma olhada em seu tópico e o hijackthis mandou ver ;

abraços

Concordo sim; o Hijackthis é um programa excelente e já me ajudou bastante, apesar de ainda não saber usá-lo bem, pelo fato que as vezes precisa de outros programas em conjunto para deletar algo...

Obrigado e fica com Deus

Espero que sim, pode ajudar a não criar muitos tópicos repetidos também...

Abraço Mestre P. S.

Não sabia que tinha hijack e hijackthis hehe legal...

Esse problema também aconteceu com o patrick.cs e o navegador em questão era o internet explorer, ou seja, essa dica funciona para os 2 navegadores (O IE não abre Orkut e Youtube).

Na verdade essa parte é da 3ª dica, vou editar lá; coloquei os 3 metodos para remoção, porque quem tiver problema com um pode consegui por outro, cada caso é um caso...

Obrigado pela dica e quem tiver mais dicas, críticas e sugestões, posta aí que estaremos ajudando de forma mais fácil a quem um dia possa precisar...

abraços

__________________
Se você é jovem ainda, jovem ainda, jovem ainda, amanhã velho será, velho será, velho será...

Fire Dragon

Ainda bem que uso Opera, quase nem existe hijack para ele.
E tem um jeito sim de "desocultar" as pastas do sistema, nas opções de pastas, coloque para "mostrar arquivos ocultos" e desmarque a opção "Ocultar arquivos protegidos por sistema operacional", e tem mais uma opção manualmente:
Vá em iniciar - executar - cmd:
cd C:\
rd /s /q heap41a
Faça isso em modo seguro (mais aconselhável).

0.anonymous

-Como nosso amigo >Fire Dragon> citou acima, também gosto e aprovo o Opera, e também curto muito o Safari...ambos grátis no Baixaki...
-Sobre esse verme Worm, uso e recomendo o Kaspersky Internet Security...
-Kaspersky em Português BR...
http://baixaki.ig.com.br/download/Ka...t-Security.htm

__________________
...O mundo gira em torno dos computadores, se você dominar os computadores, vai dominar o Mundo....

6 |)) /-/
...Valeu...

oswaldobass

Então Fire Dragon, postei esta dica depois de fazer estes procedimentos em 4 máquinas com o mesmo problema e em relação ao worm em questão (W32.USBWorm), não tem jeito, o Windows não desoculta pastas, sejam do sistema ou não, não abre o regedit nem o Gerenciador de tarefas, nem em modo normal, nem em modo seguro, a não ser pelo modo que falei (pode ser que tenha outro, mais ainda desconheço, mais por estes metódos tentei em todos e não abre); mais vou fazer mais testes com outros métodos e edito a dica.
Quanto ao Opera, nunca usei, mais ouvi falar bem dele sim, obrigado pela postagem, abraços

Obs.: Esta pasta é do worm, não do sistema, mesmo assim as pastas do sistema também ficam ocultas, não tem como habilitar a opção.

Também recomendo e uso, mais nem todos podem ter um vírus shareware e as vezes o pessoal é pego de surpresa, principalmente quem não tem muita experiência com informática em geral.

abraços

__________________
Se você é jovem ainda, jovem ainda, jovem ainda, amanhã velho será, velho será, velho será...

0.anonymous

-Se vc quiser o Kaspersky...
-É para quem não conseguiu a chave por 1 ano, tem um consolo de 3 meses
neste site da Kaspersky da Alemanha.

http://62.134.200.252/cobi/relicense.php
-Basta colocar um email válido...

__________________
...O mundo gira em torno dos computadores, se você dominar os computadores, vai dominar o Mundo....

6 |)) /-/
...Valeu...

eyamamoto

Eu prefiro o Avira. Fis uns testes e o Kaspersky não pegou uns 5 virus que o avira deletou....

__________________

oswaldobass

Valeu, mais como já disse, já uso o Kaspersky a um bom tempo, comprei 2 licenças e estou satisfeito com tudo dele, anti-virus/spware, firewall, controle dos pais, ele é tudo em um...

Essa dica é muita boa pra quem quiser utilizá-lo também

abraços

Já fiz vários teste e foi ao contrário, o Kaspersky quem pegou o que o avira deixou passar; mais acho que esse assunto de melhor ou pior vai ser um discussão que nunca terá fim, questão de gosto, simpatia, sei lá...

O avira é muito bom, uso ele em quase todas as máquinas no meu trabalho e não me deixa na mão (mesmo com esses operadores daqui que só me dão trabalho ).

abraços

Atenção.: Acabei de pegar um pc com esse worm e o avira instalado e atualizado; ele não resolveu, removi ele com o fix e exclui a pasta manualmente... fica aí a observação.

__________________
Se você é jovem ainda, jovem ainda, jovem ainda, amanhã velho será, velho será, velho será...

ONADROJ

galera... o noegocio e o seguinte""" agora eu consigo acessar o site tube e orkut porém quando eu tento fazer login o orkut fica redirecionando por horas, até eu perder o restinho da paciencia.


acabei de refazer todo o processo solicitado novamente e segue meu log pra que vcs me ajudem...

Logfile of HijackThis v1.99.1
Scan saved at 15:14:50, on 29/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe
C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\MMQ\MasterFaturamento.exe
C:\Documents and Settings\Fat\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mp...bPluginABN.cab
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Arquivos de programas\Arquivos comuns\SolidWorks Shared\Service\SolidWorksLicensing.exe


Galera vcs são dez!!!!!!!!!!!
Valeu!!!!!!!!!!!!!!!!!!!!!1

aureoh

Tambem e mais popularmente conhecido como virus do Pendrive,ele se instala no Pendrive e executa quando voce clica 2x em cima do icone do Pendrive.

Para detectar esse virus no Pendrive e so ir nas Opçoes de pasta e desmarcar para Mostrar os arquivos ocultos,em seguida explore o Pendrive e abra o arquivo autorun.inf e veja qual arquivo ele manda executar (no meu caso quando eu peguei essa praga o arquivo era powerpoint.exe),depois exclua o executavel e depois o autorun.inf.

ONADROJ

amigo ja fiz isso que vc me auxiliou porém naum axei nenhuma pasta com nome de autorun. o q faço agora????????????????

valeu!!!!!!!

Gui°

Galera é o seguinte...
So novo ake, e o meu problema, é que meu pendrive tah com virus,
so que a pasta está oculta e a opção de mostrá-las não ta funfando!
Não sei se é o mesmo virus, porq eu uso orkut e youtube normal, o problema mesmo é que quando plugo o pendriver no pc, não para de de acusar que tem virus, e por mais ki eu vá excluindo... ele continua...
Como faço pra que minhas pastas ocultas apareçam... eu sei que ja falaram, mas não entendi mto bem.
Quando eu vou no painel de controle, os unicos arquivos Svchost.exe que tem, está com o nome de System, LOCAL SERVICE e NETWORK SERVICE. ¬¬
desde já obrigadO

sasukeric

Guiº

*- Baixe o programa abaixo e salve-o no desktop
http://rmejias.100webspace.net/PenClean/
*Conecte todos os pen driver e mp3,tudo desse tipo que tiver no pc.
*Extraia todo o seu conteúdo
*Duplo clique em PenClean.exe
*Atenção!!!...o procedimento irá apagar o conteúdo da lixeira também. Se tiver algo nesta pasta desejado salve em outro local.
*Selecione a opção "Verificar o computador" e clique no botão "Verificar"
*Será informado se algo foi encontrado, caso positivo será solicitado para reiniciar, clique em "Não"
*Selecione a opção "Verificar unidade", na caixa de seleção, selecione "Todas as unidades" e clique no botão "Verificar"
*Será informado se algo foi encontrado, caso positivo será solicitado para reiniciar, clique em "Sim"
*Cole o resultado criado em C:\PenClean.txt

__________________
Rock n' Roll !!