Novo vírus de pendrive

rayzen_gg4u · 11 de dezembro de 2008

O negócio é o seguinte, já estudei vírus de pendrive, e o que eu mais via era o ise32.exe que criava um autorun.inf no pendrive configurado como somente leitura, arquivo de sistema e oculto. Esse vírus era simples de se remover, eu entrava no pendrive através do cmd e removia todas atribuições de qualquer arquivo lá dentro através do comando : "attrib -r -h -s", e logo o antivírus acusava sua existência.

O problema agora é o seguinte: o pendrive vem com um vírus (sei disso por causa do ícone do pendrive que fica configurado pra ser uma pasta) e quando eu clico para abrir aparece a janela abrir com e a lista de programas para eu escolher. Sei que faço isso errado, pois ao clicar com o botão direito aparece open, launch comand prompt, explorar, pesquisar, etc. ( o fato de haver opções inglês e português indica o vírus e ao tentar abrir a unidade o vírus já começa a ser executado). Nas propriedades aparece que o pendrive possui 0 bytes livres e 0 bytes em uso, porém com esse vírus não consigo acessar a unidade do pendrive pelo cmd e fazer sua remoção. Eu também não consigo ejetar o pendrive, pois aparece uma caixa dizendo que o pc está conectado ao pendrive.

Neste caso como devo proceder?

Obrigado desde já.

jaiderorjunior · 12 de dezembro de 2008

Caro Rayzen, esse vírus aí está no C: da tua máquina.

tente os seguintes comandos no MS-DOS:

attrib /s -a -s -h -r *ise32* (rode isso em todos os discos, C, D, E, etc)

veja o que você encontra.

após encontrado e retiradas as propriedades de arquivo(a), sistema(s), oculto(h), somente leitura®, voce então usará o comando del /s *ise32*.

lembrando, que geralmente esse tipo de vírus vem acompanhado de outros.

segunda etapa:

dê um attrib no C:

veja todos os arquivos com atributos SHR, veja quais são realmente do Windows (muito cuidado nessa hora, mas esses vírus geralmente têm nomes muito fora do comum)

encontrados os camaradas (principalmente o autorun.inf)

você ira anotar o nome de cada um no bloco de notas, e iniciar as buscas (INDIVIDUALMENTE, pois enquando você busca um o outro já se recriou) no DOS.

uma opção é você fazer um arquivo BAT com os comandos:

attrib /s -a -s -h -r *nome_arquivo2*

del /s *nome_arquivo*

attrib /s -a -s -h -r *nome_arquivo*

del /s *nome_arquivo2*

attrib /s -a -s -h -r *nome_arquivo3*

del /s *nome_arquivo3*

e assim vai, lembrando que cada attrib desse demora, então se a coisa estiver feia, o melhor é rodar o BAT em modo de segurança.

No mais, espero tê-lo ajudado.

rayzen_gg4u · 13 de dezembro de 2008

entendi tudo, mas o problema é o seguinte, quando eu remover os atributos, vou desproteger os arquivos que realmente são do windows né? Ai qualquer usuário poderá apagá-los.

E tem mais, como eu já disse não consigo acessar a unidade do pendrive infectado com o "novo vírus" que não é o ise32.exe, o qual quando você clica para o abrir o dispostivo e aparece a mensagem "E: acesso negado", esse novo abre a janela "abrir com" e nem via cmd eu consigo acessá-lo.

Tem solução isso não?

Junior Zancan · 2 de fevereiro de 2009

Tem outro jeito.

Eu aprendi 2 dicas em algum lugar da net (não lembro aonde)

1ª dica: Crie uma PASTA com o nome autorun.inf dentro dessa pasta crie um arquivo de texto (bloco de notas) com qualquer título e escreva qualquer coisa salve e volte para a pasta raiz do seu pendrive clique com o botão direito em cima da pasta autorun.inf>Propriedades>Marque a opção Somente leitura (normalmente vai aparecer um quadrinho verde claro lá mas clique novamente até aparecer aquele V de confirmado) clique em OK selecione a opção Aplicar as alterações a esta pasta, subpastas e arquivos>Clique em OK e aguarde.

2ª dica:

AVISO: O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

Se houver uma disqueteira de CD-ROM anexada ao seu computador, é aconselhável desativar a execução automática de CD-ROMs (a execução automática de um CD ou a reprodução automática de um CD-ROM de áudio). Se a execução automática de CD-ROMs estiver ativada com uma disqueteira de CD-ROM, cada vez que você inserir um novo CD-ROM em uma das bandejas, o Windows irá fazer o ciclo em cada bandeja na disqueteirar.

Não há opção para ativar ou desativar a execução automática de CD-ROMs na interface de usuário. Para ativar ou desativar a execução automática de CD-ROMs, é necessário editar o Registro:

Clique em Iniciar, em Executar, digite regedit na caixa Abrir e pressione ENTER.

Localize e clique na seguinte chave do Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom

Para desativar a execução automática de CD-ROMs, altere o valor Autorun para 0 (zero). Para ativar a execução automática de CD-ROMs, altere o valor Autorun para 1 (zero).

Reinicie o computador.

OBSERVAÇÃO: Este método desativa a execução automática de CD-ROMs. Se quiser desativar a execução automática de CD-ROMs dependendo do CD-ROM inserido na unidade de CD-ROM, é possível manter pressionada a tecla SHIFT enquanto insere o CD-ROM.

Informações adicionais

Existem duas chaves do Registro que podem afetar essa funcionalidade:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun = 0x00000095

e

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun = 0x00000095

O valor correto para cada é 0x00000095.

--------------------------------------------------------------------------------

A informação contida neste artigo aplica-se a:

Microsoft Windows 2000 Server

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Professional Edition

Microsoft Windows 2000 Datacenter Server

Microsoft Windows NT Server 4.0 Standard Edition

Microsoft Windows NT Workstation 4.0 Developer Edition

Obs: Essa dica vale tambem para pen drives

Fonte: http://support.microsoft.com/kb/155217/pt-br

Pronto seu pendrive está protegido contra ALGUNS vírus que infectam o arquivo autorun.

kinder_ovu · 4 de fevereiro de 2009

Pessoal pra deletar o autorun.inf e o virus nao precisa ficar dando attrib, entra pelo cmd e digita "dir /AHS" vão aparecer os arquivos ocultos e de sistemas depois é só digitar: "del /AHS autorun.inf" e "del /AHS hfgebt.exe" e se vão todos.

Realizar o procedimento em todas as unidades do PC inclusiva celulares que são reconhecidos como disco removivel, cuidado com os nomes dos arquivos pra nao deletar coisa que nao deve.

Aconselho fechar todos os programas e finalizar todos os processos (Inclusive Explorer) antes de realizar o procedimento senao ele sempre volta.

Abraços !!

Qq coisa [email protected].

marcelovieira · 8 de março de 2009

Ola pessoal! To passando por aqui pra dizer que criei um programa para nos proteger desses virus. O programa é muito simples e executa em icone de bandeija. Ele detecta pendrive ou qualquer unidade removível e procura autorun.inf e move ele para outra pasta imediatamente ao inserir o pendrive. Move também as pastas que normalmente se encontram os virus. É simples e completo. O programa é gratuito e está no link:

http://www.4shared.com/file/91814121/f2609643/Detector_de_Virus_de_Pendrive.html

Isso é uma tentativa de redução para esses virus de pendrive

Victor Teixeira · 22 de junho de 2010

Eu com o mesmo problema, consigui resolver com o programinha "HP USB Disk Storage Format Tool" . tentei formatar em FAT, não deu certo. ai perdi quase todas as esperanças depois de ficar muito tempo procurando a solução. Mas eu insisti e então tentei formatar como FAT32, dei Adeus aos 0 bytes, adeus ao windows nao pode formatar, adeus a inacessibilidade, acabou! Meu Pendrive de 8GB saiu dos 0 bytes para 8GB .... ALELUIAAAAAAAAAAA!!!!