Info Soluções: REMOVER O VÍRUS MUHAHAHA (W32.USB WORM)

O QUE É: Um spyware/malware bem interessante e bem projetado.

COMO AGE: Funciona como um keylogger e também como uma espécie de scanner de IP.

O QUE FAZ: Sempre que for digitado a palavra "ORKUT" ou "YOUTUBE" no browser ou for digitado em mecanismos de busca o browser executará um script mostrando uma mensagem na tela seguida de uma risada sinistra e fechará o browser.

RISCO: Mínimo, já que trata-se de uma brincadeira que apenas afeta o Orkut e Youtube (Itens pertencentes ao Google Inc)

RESUMO: Não se consegue acessar o ORKUT nem YOUTUBE por nenhum tipo de browser. Tem risco leve, já que não está em busca de dados do seu computador ou de contas bancarias e e-mails, e também não danifica o SO Windows.

HORA DE TRABALHAR!

Há alguns dias um vírus vem tirando a paciência dos usuários de Orkut e Youtube, trata-se do W32.USB Worm, um vírus que se propaga através de dispositivos USB.

O vírus entra em ação quando algum site relacionado ao Google é acessado e tem como características, a mensagem:

‘Orkut is banned you fool, The administrators didnt write this program guess who did?? MUHAHAHA!!”

with title ORKUT IS BANNED.

Em seguida o navegador é fechado.

Esta mensagem não surge somente quando se tenta abrir a página do orkut, mas qualquer página que na URL contenha alguma palavra ligada aos sites do Google será interceptada pelo muhahaha, inclui aí Google, youtube, orkut, etc.

Nem todos antivírus detectam o W32.USB Worm, mais conhecido como ORKUT MUHAHAHA, porém não é difícil de remover o Orkut MUHAHAHA manualmente.

Ele se instala na pasta heap41a, no diretório raiz do sistema operacional geralmente “C:\heap41a” o problema é que esta pasta não vai aparecer facilmente, nem mandando exibir arquivos ocultos, o que tem que se fazer é digitar o

endereço C:\heap41a no Windows explorer ou com o comando EXECUTAR, aí sim o conteúdo da pasta do vírus será exibido.

Este vírus gera uma entrada no registro que deverá ser apagada, mas antes disso, é necessário fechar seu executável, ele se disfarça para parecer com o svchost.exe do próprio Windows. Ao abrir o Gerenciador de Tarefas (Ctrl+Alt+Del), clicando na aba processos, é necessário localizar o processo svchost.exe que esteja sendo executado pelo usuário atual. Não se deve fechar o svchost.exe, caso ele esteja sendo executado por LOCAL SERVICE, SYSTEM ou NETWORK SERVICE.

A próxima etapa é deletar o diretório C:\heap41a. Como não é possível isto através do windows explorer, é necessário fazer através do CMD, indo em Iniciar >> Executar, digite CMD e clique ok. Após abrir a tela do Dos, apague o diretório com o seguinte comando: rmdir c:\heap41a pressione enter.

Após ter apagado a pasta, é necessário remover a entrada do vírus no registro do Windows, para isto, vá em Iniciar >> Executar, digite regedit, e clique ok. No editor do registro, vá em Editar >> Localizar e faça uma busca por heap41a, o registro deve localizar a entrada c:\heap41a\std.txt, basta deletar esta entrada e fechar o regedit e pronto, o W32.USB Worm, ou orkut MUHAHAHA foi removido.

CONTINUAÇÃO DO PROCESSO DE REMOÇÃO

Vá em INICIAR >> EXECUTAR e digite:

REGEDIT

dê ENTER

Depois vá até esta pasta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Dê dois cliques em “CheckedValue” e mude o valor para 1.

Agora podemos ver os arquivos ocultos!

PARA REMOVER O VÍRUS DO PEN-DRIVE

Abra o pendrive e vá no menu

Ferramentas >> Opções de pasta… >> Modo de exibição

então DESMARQUE a opção: Ocultar arquivos protegidos do sistema operacional (recomendado)

e MARQUE a opção: Mostrar pastas e arquivos ocultos dê OK agora, basta deletar os arquivos.

ACESSANDO PASTAS QUE TIVERAM ATRIBUTOS MODIFICADOS NO WINDOWS

Quem estiver com dificuldades para reexibir arquivos ocultos ou arquivos somente de leitura vai um comando que resolve isso. O comando ATTRIB.

Digite o atalho Win+R (abre o aplicativo EXECUTAR), digite CMD e dê enter.

Você entrará no Prompt de Comando do Windows.

Lá dentro vá para a raíz do sistema operacional (geralmente localizada em C:\)

Para chegar à raiz do disco você deve digitar o comando CD.. (e dar enter), faça várias vezes o CD.. até chegar a um estado que não volte mais nenhum nível.

Seu CMD deve ficar assim:

Então digite

ATTRIB -R -A -S -H HEAP41A

*Preferencialmente só execute o comando ATTRIB dentro da pasta que está oculta… após achar a pasta com o comando CD.. pelo CMD.

Para entrar em uma pasta digite CD e depois o nome da pasta (dê enter).

Ex.: CD nova pasta

-------------------------------------------------

Informações sobre o comando ATTRIB

Cada uma das letras refere-se a um comando diferente, desde busca de arquivos até mudança de atributos. Para saber qual o necessário, no CMD basta digitar HELP ATTRIB (e dar enter) os comandos do ATTRIB estarão

listados.

+ Define um atributo.

- Limpa um atributo.

R Atributo de arquivo de somente leitura.

A Atributo de arquivo de leitura-gravação.

S Atributo de arquivo de sistema.

H Atributo de arquivo oculto.

/S Processa os arquivos correspondentes na pasta atual e em todas as subpastas.

/D Inclui pastas no processamento.

Exemplo: ATTRIB /S /D -R -A -S -H NOMEDAPASTA

-------------------------------------------------

Quando o ATTRIB trocar os atributos da máquina você poderá acessar as propriedades das pastas normalmente, podendo marcar ou desmarcar os arquivos ocultos, somente leitura, etc.

Lembre-se que deve ser feito na raíz do sistema. Normalmente na unidade C: quando for do sistema ou outra letra de unidade quando for Pen-Drive.

Créditos também ao parceiro: Informatizando

Caso seu problema seja solucionado, ou não, por este tutorial, por gentileza volte aqui e faça seu comentário. Com dúvidas, críticas ou sugestões. Para que possamos sempre mantê-lo atualizado e com todos os links ativos contribuindo com novas dicas e resoluções.

Você faz parte do nosso sucesso!!!

Grato

LEIA-ME