Virus autorun.inf Worm/AutoRun

[bobdealer]

@ bobdealer, seria conveniente expurgar o pc de eventuais vírus que tenham causado isso. De modo que podes curar uma consequência mas deixas a causa a hibernar. Que tal checares o teu pc através dum registo do HijackThis?

De qq forma vai a dica: p/ a questão dos fich. ocultos poderás corrigir a situação c/ esta ferramenta (não necessita de instalação): RRT

P.S.: Procura eliminar a causa...

obrigado Kissol, usei esse programa (rrt.exe) e consegui resolver o problema dos ficheiros ocultos.
apos o seu uso, abriu-se-me uma pagina ( http://en.sergiwa.com/modules/mydownloads/singlefile.php?cid=2&lid=6 ) que me dizia que "para resolver o problema por completo" teria de usar um programa (CaSIR v2.1) que saquei, mas que é visto como um virus, ou similar, pelo meu antivirus (mcafee) e entao optei por nao o utilizar.

devo entao fazer uso do tal hijackthis?

 

[jahmal]

Também tenho o mesmo problema. O AVG detecta-mo, mas não consigo fazer nada :S

abraço

 

[XZOR]

ESET NOD32 does the trick.

 

[Kissol]

@ bobdealer e jahmal, engraçado a mim não me manda para essa página.

De qualquer forma não liguem ao que a página diz - a intenção é vender esse software - não faça o download que não é preciso para nada!

Utilize o RRT só para o efeito indicado. Se o manda para outro lado mande-o bugiar...

@ bobdealer sugiro colocar uma mensagem na Linha Defensiva onde analisarão o seu log do HijackThis - e assim terá a certeza que não tem qualquer problema residual. Leia as instruções antes de postar. Coloque e aguarde a resposta - são excelentes especialistas na área.

 

[bobdealer]

ok Kissol, muito obrigado, mais uma vez, pela ajuda.

registei-me entao nesse forum e vou entao la colocar o log para ver o que eles dizem

se eles entretanto me derem mais alguma soluçao, eu coloco aqui, sempre pode ajudar outros utilizadores que tenham o mesmo problema.

um abraço

 

[Kissol]

Força! Alguma coisa te dirão. E pelo menos ficas descansado caso não tenhas restos da virulência no PC.

 

[killframe]

Autorun.inf

Meus Irmãos,
fica dificil ler os vossos post acerca dúm tal AUTORUN.INF. É claro k xte ficheiro executa automaticamente um virus guardado em seu computador, estando ele na C:\, ou C:\WINDIWS e bla bla.

Pra km tm esse problema, é muito simples d resolver sem ajuda necessaria de softwares terceiros.

1. Execute ou "Run" o MSCONFIG, vai em arranque e verifique c tm alguns programas k desconhece, caso tiver é so desmarca-los. depois APLICAR "APPLY" e fechar o MSCONFIG e aperte em "sair sem reiniciar".

2. Criar um novo documento.txt e guarda-lo como AUTORUN.inf

3. Mover ou copiar o AUTURUN.inf criado por si para a C:\ e click em substituir.

4. Reiniciar.

Mas seria bom se scanear seu pc com 1 antivirus antes d reiniciar, eu uso o AVAST Home 4.7 pork tem uma opçao de busca ao reiniciar o pc e axo k ele é muito bom.

depois d reiniciar a sua makina "et voilá" tudo Ok. Abra o MSCONFIG e verifique se os programas k desmarcou ainda estao marcados caso ñ, entao a sua makina ta operacional.

OBS: Quando usarem uma pendrive, evitem dar os dois cliques para abrir, façam sempre o seguinte: click direito, abrir. c aparecer "execuçao automatica", convem sustituir o AUTORUN.inf (situado na pendrive) e scanear a pen, pois o virus xta dentro dela e caso der os dois clicks para abrir a pen o AUTURUN copia o virus pro seu computador.

Espero k tenha ajudado em alguma coisa!

 

[[ThunderS]]

Bem, para quem tem este virus a resolução é simples:

Esse worm encontra-se em todas as partições e pen´s USB que tenham colocado nesse computador (e o mais provável é ter sido assim que apanharam).

Por mais que sigam as opiniões dadas noutros posts não se safam, por vários motivos, não só porque o ficheiro não se deixa apagar, como está bem escondido.


1 - Desactivar os restauros do sistema de todas as partições.

2 - Pressionar CTRL+ALT+DEL e em processos fechar "CTFMON.exe"

3 - Menu Iniciar > Programas > Arranque > > Eliminar o CTFMON.EXE

4 - Menu Iniciar > Executar > > msconfig

Ir ao separador "arranque" e des-seleccionar o "CTFMON.EXE"

5 - Menu Iniciar > Executar > > cmd

6 - Uma vez na linha de comandos vão escrever "cd\", vão escrever "attrib -r -s -h autorun.inf"e depois vão escrever "del autorun.inf" e confirmar que querem apagar o ficheiro.

7 - Vão continuar no mesmo local (linha de comandos do Ms-Dos) e escrever "cd recycled" que vos vai entrar dentro da pasta "recycled". Uma vez dentro dessa pasta vão efectuar as seguintes operações:

"attrib -r -s -h"

"del autorun.inf"
"del ctfmon.exe"

8 - No caso de existirem mais partições, terão de efectuar a mudança de partição para a respectiva letra da drive dessa partição (ex: d: ) e efectuar as mesmas operações a partir do ponto 6.

9 - Podem reiniciar o PC.

10 - Confirmem se resultou.



IMPORTANTE:

- Este exemplo é dado para o Win XP em PORTUGUÊS;
- Não coloquem a PEN SEM A FORMATAR, pois se o FIZEREM irão voltar a passar o virus automaticamente para o computador.
- Para quem entende mais de computadores, pode verificar com o comando attrib que dentro da pasta recycled pode existir mais ficheiros para além dos que eu mencionei, fica ao critério de cada um apagar ou não tais ficheiros.
- Sei que este método funciona, pois a contar com o dia de ontem (11 de Março) já limpei 7 computadores com este problema.
- Fica ao critério de cada um ligar ou não a restauração do sistema, pessoalmente, não gosto de ligar, mas isto, sou eu com os meus motivos.


1 abraço

 

[Bruxinha]

De facto também apanhei este vírus. Na realidade penso que os pc's da minha faculdade estão infestados e como levo sempre a pen para imprimir coisas...enfim, lol

Bom, apenas queria dizer que tenho o AVG free e, como já referido, ele não consegue eliminar o problema.

Decidi então seguir o procedimento do killframe, mas não resultou, isto porque passado 2 ou 3 segundos depois de substituir o autorun.inf, ele voltava a desaparecer (oculto) e ficava como anteriormente (devido à restauração do sistema, talvez).

Houve uma altura em que pensava que o tinha eliminado, mas ao reiniciar o pc, ele estava lá novamente.

Pedi então ajuda ao [ThunderS] e ele conseguiu eliminar com sucesso o virus pelo procedimento que mais tarde colocou aqui, por isso podem seguir o procedimento pois resulta.

Neste momento continuo a usar a pen, mas tenho que enviar os ficheiros do meu pc para o gmail e na faculdade transfiro para a pen, para ir imprimir, para nao contaminar novamente o pc, lol.

Boa sorte para os infestados

 

[rrodri]

a minha Pen tambem teve esse problema...mas depois ficou outro ...agora aparece uma mensagem a dizer para inserir um disco na unidade
e nao abre nem em explorar ou abrir...

alguem sabe como o resolver??

 

[vascorama]

Yup, existe para aí refundido um setup.exe, mesmo que o apagues á mão ele vai voltar, e volta, e volta....
Solução, muda de antivirus, foi a unica forma que consegui resolver isso...

ps: e toma atenção onde metes a pen, no meu caso veio mesmo dum pc do trabalho....(auto-meteu-se na pen e depois no meu pc :S)

 

[Kissol]

a minha Pen tambem teve esse problema...
alguem sabe como o resolver??

Procura resolver utilizando estas ferramentas:
1- As indicadas neste post.
2- Usa o ninja pendisk! - recomenda-se - do membro deste fórum, Nuno Brito.

 

[ti17]

tambem ja me aconteceu isso.. e utilizo um programa mt bom para isso k se chama flash desinfector.. saka-o.. e executa-o.. e resolve o problema

 

[giba]

Virus dificil

As vezes ele é dificil de eliminar, noutras é mais fácil.
Tem que eliminar o virus que tá no computador ( através do autorun.inf ) e na pen também.

Faça um hijackthis do pc e ponha neste site www.hijackthis.de e faça uma análise.
Faça um ponto de restauro, ou grave primeiro o registry.
Depois faça corrigir o que achar ser o virus.
Na pen deve apagar o virus.
Se não conseguir ver o virus - faça o opção de ver ficheiros escondidos ( já dito aqui anteriormente ).
Já me disseram para formatar a pen assim format volume /FS: /X
isto se não conseguir apagar simplesmente
De qualquer forma para apagar simplesmente tem quando não ve faça
attrib autorun.inf -s -h -r
isto na pasta ou na pen onde está o maldito ficheiro autorun.inf que executa o virus

vai tentando até conseguir
boa sorte.

 

[Diced]

tipo eu tb ja tive assim um 'virus' desses, criava um autorun.inf e um recycler que só era possível ver atraves duma opção na mesma aba das pastas ocultas que era 'esconder ficheiros protegidos do sistema'.....apanhei isso na escola e cada vez que metia a pen num pc de lá ficava sempre infectada então o que fiz foi criar uma pasta chamada autorun.inf e pus 'só de leitura' e 'oculta' e nunca mais fikei infectado.

Experimentam e vejam se resulta =)