Ir ao conteúdo
  • Cadastre-se
H@nt3d

Solução Para Remoção do "Autorun.inf"

Recommended Posts

Bem galera, vi que muita gente aqui no Fórum sofre com esse Verme Maldito hehehe.

Pesquisando um pouco sobre esse "arquivinho" que se auto-deleta e depois se auto-copia novamente, descobri uma maneira de acabar com ele.

Quando um fanático por Linux começa a mexer no Registro do Windows é um sinal de perigo hehehhehee.

É o seguinte:

Seu PenDrive está infectado com o "Autorun.inf", logo terá junto a ele uma pasta oculta chamada "Recycler". Quando você tenta deletar ele, ele se oculta do sistema dentro dessa pasta e logo se auto-copia novamente para o seu PenDrive e também para o seu HD. Não adianta tentar deletar esta pasta, pois o Arquivo é protegido.

Vamos logo ao que interessa. Fuçando no Registro do Windows achei algumas chaves relacionadas aos arquivos .ini de um CD por exemplo.

Desabilitando a execução destes, se torna fácil impedir a execução deste arquivo, podendo assim deletá-lo sem problema algum.

Vou disponibilizar aqui as Edições de Registro num arquivo .reg.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.ini]

@="SYS:DoesNotExist"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000095

Copie esse texto, abra o Bloco de Notas e cole. Salve este arquivo como: NoAutoRun.reg (note que a extensão deve ficar como ".reg")

Após isso execute e adicione estas instruções no Registro.

Reinicie a máquina e faça o teste.

Bom, qualquer dúvida postem

PS: Aos Moderadores

Peço desculpas se estou postando no local errado, mas não achei em nenhuma outra parte algo relacionado a remoção de malwares.

Espero que possa ter contribuido.

bY H@nt3d

Compartilhar este post


Link para o post
Compartilhar em outros sites

Para remover este tipo de virus do pendrive e de seu PC é só seguir as dicas deste tutorial:

Dicas para remover vírus que se propagam por pendrives e outras mídias removíveis

Siga também esta dica do blog do Ciro Mota:

Faça o download do USB WriteProtector

O programa não requer instalação apenas crie uma pasta no seu pen-drive com o nome de UsbWriteProtect e descompacte os arquivos para esta pasta.

A ferramenta possui o idioma Português de Portugal, o que não será um empecilho de uso para as pessoas que não possuem conhecimento em Inglês. Para mudar o idioma, na caixa Sprache / Language: clique na caixa de lista suspensa e selecione Portuguese.

O uso desta ferramenta é muito simples. Acesse sua pasta no seu pen-drive e execute o arquivo UsbWriteProtect.exe onde será aberta uma janela.

Para ativar a proteção, clique em Proteção de escrita USB - Activa

Para desativar a proteção, clique em Proteção de escrita USB - Inactiva

Aguarde alguns instantes até que a ferramenta aplique a restrição.

É recomendado que efetue a restrição de escrita no seu PC pessoal, depois que obtiver a certeza de que está com o PC limpo.

OBS: Com a proteção ativa, não será possível salvar arquivos no pen-drive, apenas cópia e leitura.

Para PC’s compartilhados:

Faculdades, lan-houses, empresas e demais locais onde se utilizam vários PC’s e são usados por várias pessoas também devem seguir algumas orientações básicas para evitar infecções.

A primeira delas e ter um bom antivirus devidamente configurado. Alguns antivírus realizam a detecção destas infecções, porém não conseguem remover por completo, por estarem mal configurados ou sua base de dados é insuficiente. Mais de qualquer forma, já é um diferencial para conter a infecção.

Atualmente o mercado já possui algumas soluções antivírus que são dedicadas a tratar deste tipo de infecções, porém ainda não estão completamente precisas.

Segundo ponto é desabilitar o Autorun das unidades, impedindo assim que o malware seja instalado no momento do uso do pen-drive. Há um utilitário simples para esta função:

Download AutoPlayConfig

Descompacte o arquivo em seguida execute o arquivo AutoPlayConfig.exe.

Clique em Enable para ativar a restrição.

Para verificar se há alguma restrição, clique no botão Check Autoplay Status.

Creio que seguindo estas dicas, será possível reduzir ou até mesmo zerar (um pouco otimista) o índice deste tipo de infecção.

Fonte: http://www.ciromota.net/2008/10/proteja-seu-pen-drive-de-infeccoes/

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antonio,

eu já tinha feito este teste antes, e não adiantou. O problema é que este malware ainda não foi estudado , ele retorna sempre então o que eu queria

era fazer um comando pra impedir ele fazer o que faz porque ele se instala de novo mesmo formatando o pen e ele contamina o pc tb, ai fica um ciclo. O comando do cara dá uma msg de erro. A sua solução eu já testei e não resolveu.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Também tentei, e não deu certo, no meu caso o vírus com a pasta RECYCLER está alojado no cartão de memória do meu celular, que não consigo excluir, usei o PenClean e não adiantou, me ajudem por favor :)

Compartilhar este post


Link para o post
Compartilhar em outros sites

tambem estou com esse virus a algus dias

e tb nao consigo desinfecta o meu pendrive

ele sempre volta!!! agora uma duvida

esse virus pode causar algum estrago grande?

pode destruir meu pen? grato pela compreenção!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Código editado e funcionando. :D

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.ini]

@="SYS:DoesNotExist"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000095

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá pessoal!

Se mesmo seguindo as dicas acima o problema continuar, sigam as instruções deste tópico e postem um log do Hijackthis na seção de Remoção de Malwares para que o problema seja resolvido.

Awe Antonio valeu amei essa dica

refiz direitinho o procedimento

e o virus saiu,e com esse programa

que bloqueia o gravamento de qualquer

koisa no pendrive ate agora o virus

nao voltou mais,desde, obrigado

caso ele volte posto aqui,fuixxx.

SO TEM UMA COISA ANTONIO!!! O AVAST ESTA RECONHECENDO

ESSE PROGRAMA UsbWriteProtect.exe COMO SENDO VIRUS,

A DESCRIÇAO DO VIRUS É : Win32:Trojan-gen {other}

PODERIA ME EXPLICAR PORQUE SUCEDE ISTO? OBRIGADO DESDE

AMANHA VEJO aqui.FUIXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Compartilhar este post


Link para o post
Compartilhar em outros sites
Awe Antonio valeu amei essa dica

refiz direitinho o procedimento

e o virus saiu,e com esse programa

que bloqueia o gravamento de qualquer

koisa no pendrive ate agora o virus

nao voltou mais,desde, obrigado

caso ele volte posto aqui,fuixxx.

Que legal que o problema foi resolvido, ficamos felizes :)

SO TEM UMA COISA ANTONIO!!! O AVAST ESTA RECONHECENDO

ESSE PROGRAMA UsbWriteProtect.exe COMO SENDO VIRUS,

A DESCRIÇAO DO VIRUS É : Win32:Trojan-gen {other}

PODERIA ME EXPLICAR PORQUE SUCEDE ISTO? OBRIGADO DESDE

AMANHA VEJO aqui.FUIXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Isso certamente é um falso-positivo (um engano por parte do Avast). Normalmente essas ferramentas de proteção são reconhecidas como sendo virus, mesmo quando são seguras. É o caso por exemplo do Combofix, Smitfraudfix, Bankerfix e outras mais que os antivirus classificam como virus, mas sabemos que são ferramentas totalmente seguras.

Fiz um teste dos arquivos deste programa USB WriteProtector no site Virus Total (que analiza os arquivos por vários antivirus ao mesmo tempo) e o resultado foi este:

http://www.virustotal.com/pt/analisis/b588c651096064c10e9d52f3a9a3d16e

http://www.virustotal.com/pt/analisis/272c25995a437578fcccf87b8796f795

Em um dos arquivos nenhum dos 36 antivirus não detectou nada de errado. E no outro arquivo 3 antivirus dos 36 que analizaram, encontraram algo suspeito, mas certamente é um falso-positivo neste caso.

Você pode ver que este programa está disponível para download em sites totalmente seguros e confiáveis como a Softpedia.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Que legal que o problema foi resolvido, ficamos felizes :)

Isso certamente é um falso-positivo (um engano por parte do Avast). Normalmente essas ferramentas de proteção são reconhecidas como sendo virus, mesmo quando são seguras. É o caso por exemplo do Combofix, Smitfraudfix, Bankerfix e outras mais que os antivirus classificam como virus, mas sabemos que são ferramentas totalmente seguras.

Fiz um teste dos arquivos deste programa USB WriteProtector no site Virus Total (que analiza os arquivos por vários antivirus ao mesmo tempo) e o resultado foi este:

http://www.virustotal.com/pt/analisis/b588c651096064c10e9d52f3a9a3d16e

http://www.virustotal.com/pt/analisis/272c25995a437578fcccf87b8796f795

Em um dos arquivos nenhum dos 36 antivirus não detectou nada de errado. E no outro arquivo 3 antivirus dos 36 que analizaram, encontraram algo suspeito, mas certamente é um falso-positivo neste caso.

Você pode ver que este programa está disponível para download em sites totalmente seguros e confiáveis como a Softpedia.

A cara valeu mesmo,agora entendi,awe so tem uma koisa

que gostaria de saber tipow esse programa UsbWriteProtect

tipow uma vez ativado,estara ativo em qualquer pc que eu

venha a colocalo,ou em cada pc diferente tenho de ativa-lo?

e no caso do AutoPlayConfig segue as mesmo proceder

pergutado acima? para que ele venha a impedir o

auto-executamento do virus tem de esta enable,ou disable?

grato desde,já.fuixxxxxxxxxxxxxxxx

Compartilhar este post


Link para o post
Compartilhar em outros sites
Bem galera, vi que muita gente aqui no Fórum sofre com esse Verme Maldito hehehe.

Pesquisando um pouco sobre esse "arquivinho" que se auto-deleta e depois se auto-copia novamente, descobri uma maneira de acabar com ele.

Quando um fanático por Linux começa a mexer no Registro do Windows é um sinal de perigo hehehhehee.

É o seguinte:

Seu PenDrive está infectado com o "Autorun.inf", logo terá junto a ele uma pasta oculta chamada "Recycler". Quando você tenta deletar ele, ele se oculta do sistema dentro dessa pasta e logo se auto-copia novamente para o seu PenDrive e também para o seu HD. Não adianta tentar deletar esta pasta, pois o Arquivo é protegido.

Vamos logo ao que interessa. Fuçando no Registro do Windows achei algumas chaves relacionadas aos arquivos .ini de um CD por exemplo.

Desabilitando a execução destes, se torna fácil impedir a execução deste arquivo, podendo assim deletá-lo sem problema algum.

Vou disponibilizar aqui as Edições de Registro num arquivo .reg.

Copie esse texto, abra o Bloco de Notas e cole. Salve este arquivo como: NoAutoRun.reg (note que a extensão deve ficar como ".reg")

Após isso execute e adicione estas instruções no Registro.

Reinicie a máquina e faça o teste.

Bom, qualquer dúvida postem

PS: Aos Moderadores

Peço desculpas se estou postando no local errado, mas não achei em nenhuma outra parte algo relacionado a remoção de malwares.

Espero que possa ter contribuido.

bY H@nt3d

Aqui funcionou, muito obrigado amigo.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Bem galera, vi que muita gente aqui no Fórum sofre com esse Verme Maldito hehehe.

Pesquisando um pouco sobre esse "arquivinho" que se auto-deleta e depois se auto-copia novamente, descobri uma maneira de acabar com ele.

Quando um fanático por Linux começa a mexer no Registro do Windows é um sinal de perigo hehehhehee.

É o seguinte:

Seu PenDrive está infectado com o "Autorun.inf", logo terá junto a ele uma pasta oculta chamada "Recycler". Quando você tenta deletar ele, ele se oculta do sistema dentro dessa pasta e logo se auto-copia novamente para o seu PenDrive e também para o seu HD. Não adianta tentar deletar esta pasta, pois o Arquivo é protegido.

Vamos logo ao que interessa. Fuçando no Registro do Windows achei algumas chaves relacionadas aos arquivos .ini de um CD por exemplo.

Desabilitando a execução destes, se torna fácil impedir a execução deste arquivo, podendo assim deletá-lo sem problema algum.

Vou disponibilizar aqui as Edições de Registro num arquivo .reg.

Copie esse texto, abra o Bloco de Notas e cole. Salve este arquivo como: NoAutoRun.reg (note que a extensão deve ficar como ".reg")

Após isso execute e adicione estas instruções no Registro.

Reinicie a máquina e faça o teste.

Bom, qualquer dúvida postem

PS: Aos Moderadores

Peço desculpas se estou postando no local errado, mas não achei em nenhuma outra parte algo relacionado a remoção de malwares.

Espero que possa ter contribuido.

bY H@nt3d

Cara Funcionou! :D muito boa dica!!

Abraço

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi! Quando você diz:

"Após isso execute e adicione estas instruções no Registro.

Reinicie a máquina e faça o teste."

Tem que ter muito cuidado ao manipular o registro do windows. Portanto quero saber,

como adiciono estas instruções no Registro?

Grato

Compartilhar este post


Link para o post
Compartilhar em outros sites

ué.. pc.. pra adiciona.. é só executar o arquivo q você acabo de fazer.. ou então... vai no braço e faz as instruçoes q o cara t deixou de mao beijada ae.... NEM AGRADEce. BRINCADEIRA....

valeu AE H@nt3d... você é o cara!!!!

ps... so uma coisa... esse registro corta a funçao autorun dos cds... tb???

Compartilhar este post


Link para o post
Compartilhar em outros sites

Como executar e adicionar nos registros??

Bem galera, vi que muita gente aqui no Fórum sofre com esse Verme Maldito hehehe.

Pesquisando um pouco sobre esse "arquivinho" que se auto-deleta e depois se auto-copia novamente, descobri uma maneira de acabar com ele.

Quando um fanático por Linux começa a mexer no Registro do Windows é um sinal de perigo hehehhehee.

É o seguinte:

Seu PenDrive está infectado com o "Autorun.inf", logo terá junto a ele uma pasta oculta chamada "Recycler". Quando você tenta deletar ele, ele se oculta do sistema dentro dessa pasta e logo se auto-copia novamente para o seu PenDrive e também para o seu HD. Não adianta tentar deletar esta pasta, pois o Arquivo é protegido.

Vamos logo ao que interessa. Fuçando no Registro do Windows achei algumas chaves relacionadas aos arquivos .ini de um CD por exemplo.

Desabilitando a execução destes, se torna fácil impedir a execução deste arquivo, podendo assim deletá-lo sem problema algum.

Vou disponibilizar aqui as Edições de Registro num arquivo .reg.

Copie esse texto, abra o Bloco de Notas e cole. Salve este arquivo como: NoAutoRun.reg (note que a extensão deve ficar como ".reg")

Após isso execute e adicione estas instruções no Registro.

Reinicie a máquina e faça o teste.

Bom, qualquer dúvida postem

PS: Aos Moderadores

Peço desculpas se estou postando no local errado, mas não achei em nenhuma outra parte algo relacionado a remoção de malwares.

Espero que possa ter contribuido.

bY H@nt3d

Compartilhar este post


Link para o post
Compartilhar em outros sites

Gente, to com um problema, e nao é só no meu pc.

Acho que o problema é com meu celular.

Independente do pc eu conecto ele com o USB e ele nao aparece a janela de Reproduçao Automatica. e nem em Meu Computador ele aparece.

Pra mim conseguir ter acesso ao cartao de memoria dele é só tirando e inserindo num adaptador de pendrive, ai ele reproduz :/

nao sei o que aconteceu. Se alguem tiver como ajudar, agradeço ^^

Beeeijos

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×