domingo, novembro 09, 2008

Orkut is banned muhahaha

Hoje acabei de conhecer mais um vírus, seu nome é W32.USB Worm, acredito que seja um virus novo, basicamente o virus funciona impedindo o acesso ao orkut e youtube, e se você tiver o Firefox instalado em sua máquina e tentar iniciar o firefox vai aparecer a mensagem abaixo:


E ao acessar o orkut ou youtube aparecia a seguinte mensagem:



E tocava um SOM irado..!! eheheheh...
ele executa o arquivo dentro do diretório C:\heap41a\2.mp3

Na real este vírus é fácil de remover, basicamente ele roda um processo chamado "svchost.exe", o Windows roda também um processo chamado svchsot.exe só que roda com o usuário SYSTEM, este virus cria um diretório chamado C:\heap41a se não aparecer para você é porque as configurações não estão mostrando pastas e arquivos ocultos, o que pode ser mudado através das opções de pastas no windows explorer.
Para remover este virus eu segui os seguintes passos:
Finalizei o processo que estava rodando com o usuário longado:
svchost.exe

Removi a pasta C:\heap41a
Removi as seguintes entradas no registro do windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\
C:\heap41a\offspring\MicrosoftPowerPoint.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\
C:\heap41a\svchost.exe
HKEY_USERS\S-1-5-21-1957994488-1383384898-1801674531-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\heap41a\svchost.exe

Reiniciei a máquina é não apareceu mais o problema.

Um comentário:

jamisson disse...

GOSTEI MESMO MANO ...

eu tinha removido já alguns arquivos do virus..mas nao tinha conseguido tirar ele...
ja tinha encontrado as pastas dele e tudo mas nao sabia remover.
achei ele atraves do EVEREST.
deletei tudo que vi do virus mas , só consegui remoer com o teu poste awe ...
faltava deletar outro ainda !
valew awe !