Removendo de Verdade o Vírus "Autorun.inf" do Pendrive e do Computador!

[marcelolimajr]

aqui eu faco mt fácil fácil... bem pratico adivinha? qm tem Linux você enxerga o virus e da um delete... ja era! mt bom! sempre fiz isso! =)

[Sergio-F]

Gostaria de saber se este procedimento vai impedir que eu use o autorun.

Eu tenho um arquivo autorun mas se eu proteger com o penclean, o autorun parará de funcionar?

Não serve deixar o autorun como somente leitura?

[manoel farias]

sjcf5762, no windows 7 nao deu certo comigo, o procedimento é mais diferente nao sei com é ; apareceu o seguinte quando coloquei teu codigo: a adicao d informações pode excluir ou alterar acidentalmente um valor e fazer com q os componentes parem d funcionar.pede para inserir no registro se for confiavel; continuei e pronto coloquei pen drive continua copiando arquivos do computador. tenta ae no windows 7 e passa p mim. gostei da protecao do pen drive. vleu

[JeffMiranda]

voce comentou sobre:

S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx

Me conta como faço pra remover esse virus de meu pendrive?

Já usei varios antivirus e nada,formatei e nada,o que devo fazer?

Obrigado!

E aê gostei muito das soluções! acima

[pplupo]

Uma coisa que eu faço é configurar um autorun.inf meu para mostrar um ícone qualquer. Quando espeto no meu computador e o ícone do drive não é substituído pelo meu ícone, já sei que o autorun foi sobrescrito e que o pendrive tem um vírus. Assim, vou pelo prompt, renomeio o autorun.inf do vírus, abro o pendrive normalmente e ainda vejo no autorun o caminho do executável. Assim identifico também o executável infeccioso. Apago tudo.

Quando estamos na nossa máquina o argumento "uso linux" e similares é muito bom mas muitas vezes usamos pendrive na casa de amigos e parentes e laboratórios de faculdade, lan houses, etc e este recurso é muito útil nestas situações.

[fsitta]

simplesmente instale Panda USB no seu pendrive e no pc .....ele impede autorun.inf.... impede a auto execução salvei clientes importantes com ele problema resolvido fácil e protege seu sistema....e a recompensação e gratidão virão depois..

[TuffTurf]

como não encontrei uma solução satisfatória por software para proteção de unidades baseadas em memória flash (pen drives) estou usando a tecnologia "bitlocker to go" do windows 7

esse método porém só é útil para quem precisa acessar arquivos que estão no dispositivo, ou seja, em modo leitura somente!

requisitos:

o "bitlocker to go" está presente somente nas edições ultimate e enterprise do windows 7

após criptografar a sua unidade removível você poderá utilizá-la normalmente em qualquer computador no qual possua o Windows 7 instalado nas versões que suportam o bitlocker

nas versões que não suportam o bitlocker e no windows vista/xp você poderá utilizar o seu dispositivo em modo leitura somente, sendo assim não é possível que nada seja gravado no mesmo e nem sequer é possível executar um arquivo de dentro do dispositivo, é necessário copiá-lo para um diretório local

quando precisar editar, apagar e ou gravar você terá que fazê-lo através do windows 7 nas versões em que possuem suporte total ao bitlocker

no caso dos vírus que fazem uso do arquivo "autorun" infelizmente o seu dispositivo ainda pode ser contaminado se for utilizado em um windows 7 com total suporte ao bitlocker, pois você poderá realizar tanto leitura como escrita, portanto o mais sensato a se fazer é utilizar um sistema no qual você tenha certeza que está livre de vírus para editar seus arquivos e se for utilizar seu dispositivo no windows 7 nas versões sem suporte ao bitlocker ou vista/xp não precisará se preocupar com esse tipo de vírus

espero ter contribuído com o tópico e qualquer crítica construtiva é bem-vinda!

[nolie]

Muito boa dica! nunca pensei em criar uma pasta ou arquivo pra não ser subscrito. legal.

[elvialeal]

Eu vou tentar no pendrive, pois ele nao está sendo mais reconhecido no meu desktop (Win 7), mas funciona normal no meu notebook (Win 7).

[elvialeal]

Pessoal, eu como muitas pessoas que não tem muitas condições financeiras para comprar um HD externo, ou algo mais sofisticado, uso o pendrive para tudo !

Desde backups a transporte de arquivos e etc...

Como muitos sabem, os pen drivers são um ótimo meio para os vírus se espalharem, e infectarem cada vez mais, mais computadores... e um desses vírus é o famoso "Autorun.inf", este singelo vírus, vive nos pendrives infectando cada vez mais máquinas por ai a fora, o vírus modifica alguns arquivos do registro do sistema, e impede o usuário de exibir arquivos ocultos.

Isso já me incomodou demais, mesmo porque se você oculta alguma pasta, ela simplesmente some, e você tem que acessa-la digitando o caminho da mesma.

Para acabar de vez com este vírus necessitamos apenas de 2 procedimentos:

Primeiro: Instale o programa PenClean e coloque o em seu pendrive, após isso abra-o e escaneie a unidade do seu pendrive, e também as demais unidades de discos rígidos.

Segundo: Crie uma pasta em seu Desktop com o nome "Autorun.inf" e logo após rodar o penclean copie a pasta imediatamente para a unidade do pendrive , com isso mesmo que o computador esteja infectado com o vírus ele não poderá ser copiado para seu pendrive, pois já existe um arquivo (a pasta) com o nome "autorun.inf. (faça isso com todas a unidades de disco do seu computador).

Pronto, o vírus está removido. Porém? e os estragos que ele causou tem conserto:confused:

Sim, eles tem conserto... repare que mesmo após remover o vírus ainda não é possível visualizar os arquivos ocultos... para isso temos uma solução modificando alguns números no registro do sistema:

1) Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

2) Localize a seguinte subchave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\

Explorer\Advanced\Folder\Hidden\SHOWALL

3) Verifique o valor de CheckedValue. Ele deve ser do tipo REG_DWORD. Se for, siga para o passo 4; caso contrário pule para o passo 5.

4) Dê um duplo-clique para editar a entrada. Em "Dados do valor" coloque o número 1-> dê Ok e saia do Editor do Registro.

5) Caso o tipo do valor CheckedValue seja REG_SZ será necessário apagá-lo (delete-o e confirme). Clique com o botão direito sobre a chave SHOWALL -> Novo -> Valor DWORD. Escreva CheckedValue no campo nome. Dê duplo-clique sobre o mesmo, altere o valor de dados para 1, dê Ok e saia do Editor do Registro.

Seu novo valor de registro deverá ficar assim:

Nome - Tipo - Dados

CheckedValue REG_DWORD 0x00000001(1)

Após isso, feche o editor de registro, abra o Explorer e vá em Opções de pasta/Modo de exibição e clique em "exibir arquivos ocultos", aplicar/ok.

Pronto, agora você estará livre do vírus e poderá acessar novamente seu arquivos ocultos

OBS: Caso o tutorial não faça os arquivos ocultos visíveis, significa que infelizmente o vírus ainda está instalado no seu sistema, e neste caso eu recomendo uma varredura completa de um anti-vírus e anti-malware descente (Nod32/Kasperky/Avira) e após isto, refazer o tutorial.

-------------------------------------------------------------------------------

Acabei de encontrar mais alguns Vírus que podem ser impedidos de atuar da mesma maneira que o Autorun.inf, abaixo a lista do nome das pastas a serem criadas:

1j038que.exe

2ul.exe

9rfpp.exe

fcphol.exe/csrcs.exe

killVBS.vbs

t2hjo0.exe

0u.cmd

Obs: "/" significa "subpasta"

e Atenção, a pasta "RECYCLER" existe por padrão em sistemas de arquivo NTFS e a lixeira dentro da mesma, porém alguns vírus estão se instalando dentro da lixeira em sistemas FAT, FAT32 e até no próprio NTFS, o nome é o seguinte:

S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx

Abraços! Boa Sorte !

É o seguinte, meu pendrive Sandisk Cruzer 8Gb funciona normalmente no meu notebook com Win 7 Home Premium 64bits, porém ele não funciona de jeito nenhum no meu outro PC com Win 7 Ultimate (pirata)... já fiz de tudo.... ele é lido normalmente quando plugo na TV, DVD, receptor... mas já deu problema no PC de meu sobrinho que usa Win XP... o que pode ser???

[julianovmachado]

amigo estou com um problema com meu pendrive e gostaria de saber se você consegue me ajudar ! de uma hora pra outra , quando precisei usar o pendrive , apareceu antes de conseguir abri-lo uma mensagem dizendo que ele precisa ser formatado para poder ser usado e ocultou meus quase 8 giga de arquivos que tenho !!! gostaria de saber o que fazer para arrumar isso ??

Pessoal, eu como muitas pessoas que não tem muitas condições financeiras para comprar um HD externo, ou algo mais sofisticado, uso o pendrive para tudo !

Desde backups a transporte de arquivos e etc...

Como muitos sabem, os pen drivers são um ótimo meio para os vírus se espalharem, e infectarem cada vez mais, mais computadores... e um desses vírus é o famoso "Autorun.inf", este singelo vírus, vive nos pendrives infectando cada vez mais máquinas por ai a fora, o vírus modifica alguns arquivos do registro do sistema, e impede o usuário de exibir arquivos ocultos.

Isso já me incomodou demais, mesmo porque se você oculta alguma pasta, ela simplesmente some, e você tem que acessa-la digitando o caminho da mesma.

Para acabar de vez com este vírus necessitamos apenas de 2 procedimentos:

Primeiro: Instale o programa PenClean e coloque o em seu pendrive, após isso abra-o e escaneie a unidade do seu pendrive, e também as demais unidades de discos rígidos.

Segundo: Crie uma pasta em seu Desktop com o nome "Autorun.inf" e logo após rodar o penclean copie a pasta imediatamente para a unidade do pendrive , com isso mesmo que o computador esteja infectado com o vírus ele não poderá ser copiado para seu pendrive, pois já existe um arquivo (a pasta) com o nome "autorun.inf. (faça isso com todas a unidades de disco do seu computador).

Pronto, o vírus está removido. Porém? e os estragos que ele causou tem conserto:confused:

Sim, eles tem conserto... repare que mesmo após remover o vírus ainda não é possível visualizar os arquivos ocultos... para isso temos uma solução modificando alguns números no registro do sistema:

1) Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

2) Localize a seguinte subchave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\

Explorer\Advanced\Folder\Hidden\SHOWALL

3) Verifique o valor de CheckedValue. Ele deve ser do tipo REG_DWORD. Se for, siga para o passo 4; caso contrário pule para o passo 5.

4) Dê um duplo-clique para editar a entrada. Em "Dados do valor" coloque o número 1-> dê Ok e saia do Editor do Registro.

5) Caso o tipo do valor CheckedValue seja REG_SZ será necessário apagá-lo (delete-o e confirme). Clique com o botão direito sobre a chave SHOWALL -> Novo -> Valor DWORD. Escreva CheckedValue no campo nome. Dê duplo-clique sobre o mesmo, altere o valor de dados para 1, dê Ok e saia do Editor do Registro.

Seu novo valor de registro deverá ficar assim:

Nome - Tipo - Dados

CheckedValue REG_DWORD 0x00000001(1)

Após isso, feche o editor de registro, abra o Explorer e vá em Opções de pasta/Modo de exibição e clique em "exibir arquivos ocultos", aplicar/ok.

Pronto, agora você estará livre do vírus e poderá acessar novamente seu arquivos ocultos

OBS: Caso o tutorial não faça os arquivos ocultos visíveis, significa que infelizmente o vírus ainda está instalado no seu sistema, e neste caso eu recomendo uma varredura completa de um anti-vírus e anti-malware descente (Nod32/Kasperky/Avira) e após isto, refazer o tutorial.

-------------------------------------------------------------------------------

Acabei de encontrar mais alguns Vírus que podem ser impedidos de atuar da mesma maneira que o Autorun.inf, abaixo a lista do nome das pastas a serem criadas:

1j038que.exe

2ul.exe

9rfpp.exe

fcphol.exe/csrcs.exe

killVBS.vbs

t2hjo0.exe

0u.cmd

Obs: "/" significa "subpasta"

e Atenção, a pasta "RECYCLER" existe por padrão em sistemas de arquivo NTFS e a lixeira dentro da mesma, porém alguns vírus estão se instalando dentro da lixeira em sistemas FAT, FAT32 e até no próprio NTFS, o nome é o seguinte:

S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx

Abraços! Boa Sorte !

[Lorrayne Lindsay]

meu cartão de memória do celular pegou esse "mardito"

e ele não aparece mais no celular

quando conecto no computador, ele abre e fica oculto depois de 5 segundos

e não tem programa que consegue detectar ele

como vou fazer pra remover o vírus???

e nem dá pra formatar também, mas também não quero

tenho arquivos no cartão que preciso

preciso de ajuda, please

[Ualasse Paganini]

É o seguinte, meu pendrive Sandisk Cruzer 8Gb funciona normalmente no meu notebook com Win 7 Home Premium 64bits, porém ele não funciona de jeito nenhum no meu outro PC com Win 7 Ultimate (pirata)... já fiz de tudo.... ele é lido normalmente quando plugo na TV, DVD, receptor... mas já deu problema no PC de meu sobrinho que usa Win XP... o que pode ser???

Provavelmente o DVD Pirada do Windows 7 está com problemas rsr.

voce comentou sobre:

S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx

Me conta como faço pra remover esse virus de meu pendrive?

Já usei varios antivirus e nada,formatei e nada,o que devo fazer?

Obrigado!

E aê gostei muito das soluções! acima

Aconselho que você formate seu PC, instale um anti-vírus bom, mesmo que temporário, e depois formate a pendrive, pois provavelmente seu PC está infectado.

[luishfilho]

minha luta anti-autorun.inf vem de muito tempo, atualmente ele ainda tá aqui impregnado no PC e nas unidades que nele se conectam, mas vou passar algumas dicas/sugestões de coisas que fiz e que deram certo

mas antes será necessário baixar o Unlocker, que vai ajudar bastante ^^ tem em qualquer lugar pra baixar (freeware) mas de preferência que seja uma versão atualizada

o que costumava funcionar comigo era usar o Unlocker no "autorun.inf", deletá-lo e imediatamente criar uma pasta homônima no diretório em que ele costumava surgir (C:/D:/E:/etc)

mas o vírus modernizou, e ele passou a excluir a pasta autorun.inf pra possibilitar o próprio surgimento (não poderia ser criado enquanto existisse no mesmo diretório uma pasta com o mesmo nome)

daí eu modifiquei as permissões da pasta autorun.inf que eu criava antes. tipo, eu criei uma pasta autorun.inf no desktop, colocava uns arquivos quaisquer, os criptografava (não sei se isso ajudava mesmo ou não) e depois ia mexer nas permissões da pasta. desse modo ela não poderia ser excluída nem por mim mesmo.. como é um processo meio complicado e talvez vocês já saibam fazê-lo, não explico agora, mas se alguém quiser ensino a mexer nas permissões da pasta pra torná-la inapagável.

então, com a pasta pronta e inapagável, eu pendurava ela no "Copiar", desbloqueava o autorun.inf vírus com o Unlocker, deletava-o, e imediatamente colava a pasta antes que o vírus voltasse...

com o tempo, esse procedimento começou a não funcionar, já que não se pode copiar uma pasta com permissões "personalizadas" pra um drive que não seja o do próprio HD, e quando o autorun.inf desses outros drives eram executados automaticamente pelo HD, conseguia de algum modo apagar a pasta inapagável que tava no drive do HD, meio complicado mesmo @_@

pensei em outra maneira de me livrar desse miseravel autorun que apesar de parecer inofensivo, deixa o PC lento e pode prejudicar em outras coisas, e aí pensei em abrir o autorun.inf pelo bloco de notas e editar seus dados. não sei se isso realmente muda ou ameniza o efeito original do vírus, mas até agora quando tenho aberto o autorun.inf pelo bloco de notas, tá tudo vazio...

caso funcione mesmo, tudo que você tem que fazer é abrir o bloco de notas, e mande salvar o documento vazio mesmo.. direcione para o drive que você quer editar o autorun, mas NÃO clique em salvar.. lembrando que como ele tá oculto, você terá que digitar o nome dele ao invés de selecioná-lo na hora de salvar... então, digite o nome e tudo pronto pra só precisar clicar em salvar, e então vá nas propriedades do vírus e desselecione "Somente Leitura", depois desbloqueie-o com o Unlocker, então volte à janela do bloco de notas e clique em salvar. tudo isso tem que ser rápido para o vírus não voltar a seu estado original

ah, uma coisa que pode ajudar é fazer uma pequena alteração nas diretivas de grupo... para tal, clique no Menu Iniciar e, em seguida, na opção Executar. então digite (sem aspas) “gpedit.msc”. abra “Configuração do Computador“ > “Modelos Administrativos“ > “Sistema“. dentro dessa pasta você deverá localizar o item “Desativar AutoExecutar” e clicar duas vezes sobre essa opção. na caixa que abrirá você deverá marcar a opção “Ativado“ e onde tiver "Unidades de CD-ROM" você coloca "Todas as unidades". clique em OK para concluir a operação e feche todas as janelas abertas nesse procedimento. essa alteração vai impedir que o autorun.inf dos drives que você conectar no PC autoexecute.

é isso aí, talvez isso só tenha funcionado aqui, mas espero que isso tenha ajudado quem está com o mesmo problema, mas é sempre bom divulgar sugestões e resoluções pra ajudar, assim podemos erradicar o maldito "autorun.inf"

ps: malz pelo post colossal @_@'

[marcmira]

Achei interessante sua visão luishfilho e lhe desejo boas vindas ao fórum.

Como o vírus de autorun costuma se esconder algumas vezes no recycler da unidade, uma forma de bloquear a gravação e acesso a esse lugar também não seria interessante?

[Ualasse Paganini]

Obrigado luishfilho pela contribuição sua no fórum ! acho que toda opinião é válida !

Atualmente, estou utilizando o ESET NOD32 Antivirus, e este tem se comportado muito bem em relação ao "autorun.inf". Inclusive já fiz testes com pendrives que estavam infectados, e sempre os bloqueou de forma eficiente, nunca aconteceu de eu parar de ver meu arquivos ocultos, nem nada do tipo...

Então, acredito que seja uma opção para quem queira proteção, sem precisar dos tutoriais.

[luishfilho]

opa, valeu as respostas

poderia ajudar sim, mas só seria possível bloquear o acesso da RECYCLER do HD, ou seja, os outros drives não estariam imunizados, mas com o autorun intacto, que poderia até agir sobre a pasta ao qual acesso estaria bloqueado no HD

mas o vírus não se esconde só lá também, no Root do drive fica o "autorun.inf" propriamente dito, um ms-dos maleficente de nome aleatório que pertence ao autorun, as vezes um exe de nome aleatório, e as vezes a pasta recycler, onde se esconde um arquivo *.vmx

o que eu não consigo entender é como o autorun.inf pode se autocriar em qualquer circunstâncias, mesmo sem internet, ou rede, basta conectar um pendrive num PC recém-formatado e este se infectará tambem @_@ digo, deve haver algum ponto de partida pra a criação do dito cujo... ou será que ele surge tão naturalmente em sistemas NTFS e FAT32 quanto os 4kb de clusters iniciais? e quais seriam os efeitos do virus no sistema..?

t+

edit: também uso o ESET Nod32, mas o online, que ocupa só uns 200mb, além do SalityKiller.cmd, mas às vezes ele nem consegue identificar o autorun.inf após a scan, deixando pra eu resolver manualmente

[railtec]

no meu caso, entrei com um cd botável com linux e deletei o arquivo. simples!

ou até mesmo aquele Express Gate que vem nas placas Asus!

[PauloSSR]

Muito bom, isso me incomodava muito, e tem também um tal de "Facebook Hacker", que fica aparecendo, Eu deleto e ele aparece de novo, 5 pendrives meus estão com esse problema, alguém sabe algo sobre isso?

[SPnaveia]

Obrigado pelo tuto amigo!!!

[Claudiobhte]

Bacana demais este tópico. Eu uso muito Pen Drives em minha máquina, até porque tenho uma empresa de pré impressão e impressões em vegetais, Lasers filmes e Photolitos para gráficas. O tempo todo tem clientes com pen drives e é em 90% dos casos chegam com virus e tal. Uso demais o ESET NOD 32 e um programinha chamado USB Disk Security. Agora até o prezado momento tive pouquissimos problemas com virus. Sempre este USB Disk capta os virus dos pen drives e sempre deleto tudo mesmo.

[Paraense]

ola cavalheiros, aqui lhes fala um quase leigo...

pois bem, primeiramente gostaria de parabenizar os colaboradores deste topico, de grande valia. estou pesquisando como me livrar do que cria "cópias" de nossos arquivos com estensao .exe .. bem como do que cria varios arquivos maliciosos.. com um "porn" rsrs...

bom, seguindo as ideias aqui, algumas nao pegam no XP rsr.. até ai beleza...

então la foi eu criar pastas com os nomes dos virus (no xp nao tem aquela aba de segurança em propriedades), detalhe é que, toda vez que crio a pasta "autorun.inf", meu antivirus detecta ela (uso o AVIRA-engraçado se fosse o virus num pegava..aushauhs) ao que vi... então mesmo sendo so uma pasta criada por mim, sempre vai acusar pelo antivirus, isso em principio pode deixar confuso... onde eu colocar vai acusar como virus ai ja viu.. o mesmo ocorre com as vacinas aqui citadas.. então esse é um "probleminha" que terei de conviver??

mas uma duvida, essa vacina, cria uma pasta, fica la o icone da pasta, como arquivo oculto, o autorum malicioso, caso consiga entrar e substituir a pasta, nao ficara com aquele mesmo icone ("desenhinho") de pasta certo?? fica como bloco de notas sempre??? ai daria para saber quem é quem...

so pra constar... pensei eu em meu pouco conhecimento de causa... (ainda sem usar as vacinas) em juntar umas ideias aqui... pois bem, criei uma pasta "autorun.inf"... e então... joguei no .rar a pasta, "somente leitura" e senha, isso no pc... ao jogar para o pen... tira todas as propriedades... o AVIRA nao deixa mexer.. e o Winrrar tambem nao deixa mexer...rrsrr...então nem serviu para muita coisa...

[Fascinador]

Estou com um virus em um pendrive, que em vez de ocultar os arquivos tranbsforma eles em atalhos, quando voce clica ele pergunta se quer executar...

Ja é o seugndo pendrive que pego com esse problema.

Consegui as seguintes informações:

buuax.exe

buuaax.exe

autorun-gen3@bhv [wrm]

win32: dropper-eom [drp]

pude ver que somente alguns arquivos fica infectado, como jpg, todas as pastas do pendrive, algumas versões ".doc" (as que sao infectadas ficam com icone de bloco de nota e vira atalho).

Power point, paginas da internet salvas pelo chrome e alguns word2007 nao foram infectados.

alguem pode ajudar?

[marcmira]

já leu o tópico que criei sobre problemas com pendrive em destaque? se não o faça.

att e bem vindo(a) ao forum

[Visitante]

Muito bom, me ajudou muito.

Obrigado !!!