Vírus Picture.VBS transforma arquivos do pendrive em atalho

Mais um vírus causando o mesmo dano, ele transforma os arquivos em atalhos para o vírus e oculta todos os arquivos.

Exemplo:

picturevbs003

Mas fique tranquilo que os arquivos não foram apagados, mas estão ocultos:

picturevbs004

VBS é a abreviação VISUAL BASIC SCRIPT que é um código de Visual Basic feita para ser executada no computador.

Detalhes: http://pt.wikipedia.org/wiki/VBScript

FINALIZAR O PROCESSO QUE MANTEM O VÍRUS FUNCIONANDO

O importante é remover o vírus do computador primeiro e para esse tipo de vírus vamos parar o WSCPRIT.EXE do Windows.

Abra o Gerenciado de Tarefas (CTRL+SHIFT+ESC):

picturevbs002

Clique em WSCRIPT.EXE e depois em FINALIZAR PROCESSO.

REMOVENDO

Nesse próximo passo há duas soluções: utilizar um software ou remove manualmente.

SOFTWARE

Se desejar utilizar um software, o escolhido foi: MALWAREBYTES.

Link para download: http://www.malwarebytes.org/mwb-download/

Faça a instalação do software (tem a opção de português).

Selecione Verificação Completa e clique em Verificar, mas que os drives e confirme. Seja paciente, pois o processo poderá demorar algumas horas de acordo com quantidade de arquivos que houver no computador.

No final clique em Ver Resultados:

picturevbs001

Selecione os itens e clique em Remover Selecionados. Será necessário reiniciar o computador para completar o processo.

MANUALMENTE

1. Inicialização

Clique e Iniciar e localiza Inicializar:

picturevbs007

Clique com o botão direito e em Excluir.

2. Registro

Abra o registro do Windows:

Clique em Iniciar e digite: REGEDIT

picturevbs008

Localize o seguinte local:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

E depois localize PICTURE.VBS

picturevbs009

Botão direito e excluir.

3. Arquivo

A pasta que o arquivo fica é uma pasta de sistema, mas é possível digitar o endereço.

Abra o Windows Explorer e digite o seguinte endereço:

C:\Users\Servidor\AppData\Local\Temp\

Substitua a palavra Servidor pelo nome do seu usuário que é mostrado ao iniciar o computador e no menu iniciar no canto superior direito.

Localize o arquivo PICTURE.VBS

picturevbs010

Botão direito e Excluir e a limpeza foi feita. Lembre-se que o Pendrive ainda está infectado e que ele poderá contaminar novamente o computador.

LIMPANDO O PENDRIVE

1. Abra o Prompt de Comando do Windows como ADMINISTRADOR

Clique em Iniciar e digite CMD, quando aparecer a lista clique com o botão direito e em Executar como Administrador:

picturevbs006

picturevbs011

Digite a letra do drive do pendrive (no exemplo é o drive F).

1. Apagando os links dos vírus

Digite o seguinte: DEL *.lnk

picturevbs012

2. Recuperando os arquivos

Digite o seguinte: attrib –r –s –h /s /d

picturevbs013

Pronto, os arquivos foram recuperados.

picturevbs014

Apague o picture.vbs.

A pasta autorun.inf é um proteção que que coloco em cada pendrive conforme a minha postagem:

http://professorwellingtontelles.blogspot.com.br/2010/04/tutorial-remover-e-proteger-dos-virus.html

Qualquer dúvida entre em contato.

Um comentário: