none
Virus wscript.exe

    Question

  • Boa noite pessoal, estou com um vírus no servidor, ele utiliza o wscript.exe para executar, ele cria uns arquivos (e146.js e246.js), ele também cria pastas ocultas em (appdata\roaming) pastas com o nome (a31) e atalhos no startup, bloqueia a opção de pastas e não deixa abrir o msconfig, só depois que eu finalizo o wscript.exe no gerenciador de tarefas é que consigo abrir, entrei modo de seguranca removi os arquivos que eu encontrei, mas toda vez que eu faço um login/logoff, ele volta, minha pagina inicial também alterou para uma bandeira do Brasil, alguém já pegou algo parecido?

    ja passei varios antivirus pagos, combofix e outros, mas não consigo encontrar onde está sendo gerado esses arquivos!

    Thursday, May 16, 2013 11:05 PM

Answers

  • Boa tarde,

    Concordo com o Diego, mas se não quiser seguir o conselho, faça uma varredura com a ferramenta online abaixo:

    http://www.microsoft.com/security/scanner/pt-br/

    .

    Vinicius Mozart

    Monday, May 20, 2013 5:11 PM
  • Olá Eber,

    Particularmente eu tenho uma posição radical quanto a servidores com vírus e eu recomendaria a você nesse momento: REBUILD!

    Ainda que você encontre mais detalhes sobre o vírus, nunca terá a segurança efetiva de que ele foi completamente removido ou ainda quais foram as "sequelas" que ele deixou no seu servidor. O tempo investido em formatar e configurar a máquina será muito mais produtivo e seguro do que tentar achar o que ele faz ou fez pra remover...

    Ainda que pareça mais trabalhoso, vai lhe poupar de possíveis dores de cabeça no futuro.

    []

    Saturday, May 18, 2013 5:36 PM
  • Esse vírus está me cansando nas máquinas do trabalho, mas acho que consegui removê-lo hoje.

    Conforme você disse, ele cria uma pasta em AppData\Roaming do usuário do computador e, pelo menos no meu caso, também na raiz na unidade C. Os nomes das pastas foram um pouco diferentes, mas sempre um nome curto que mistura algumas letras e números.

    Primeiramente, temos que encerrar o processo wscript.exe, através do Gerenciador de Tarefas do Windows ou outro aplicativo semelhante. Quando este processo não estiver mais em execução, iremos conseguir abrir o msconfig e ele não irá mais criar as pastas estranhas quando as apagarmos. Depois teremos que remover uma entrada com nome parecido com os das pastas na guia de Inicialização de Programas do msconfig. Pelo msconfig só consegui desativar a entrada, mas não consegui removê-la definitivamente, para isso eu tive que usar o CCleaner, que também usei pra fazer uma limpeza no registro do Windows. Posteriormente, pelo Prompt de Comando, temos que remover as pastas indevidas de C:\ e de AppData\Roaming (usei o comando rd caminho\do\diretorio /s).

    Caso o computador tenha mais de uma conta de usuário, temos que fazer isso para cada usuário.

    Comigo deu certo, espero que também consigam.

    Sunday, June 09, 2013 3:05 AM

All replies

  • Olá Eber,

    Particularmente eu tenho uma posição radical quanto a servidores com vírus e eu recomendaria a você nesse momento: REBUILD!

    Ainda que você encontre mais detalhes sobre o vírus, nunca terá a segurança efetiva de que ele foi completamente removido ou ainda quais foram as "sequelas" que ele deixou no seu servidor. O tempo investido em formatar e configurar a máquina será muito mais produtivo e seguro do que tentar achar o que ele faz ou fez pra remover...

    Ainda que pareça mais trabalhoso, vai lhe poupar de possíveis dores de cabeça no futuro.

    []

    Saturday, May 18, 2013 5:36 PM
  • Bom dia!

    Uma boa tentativa é desativar a restauração do sistema e realizar a varredura no servidor em modo de segurança.

    Abraços,

    Sunday, May 19, 2013 1:36 PM
  • Boa tarde,

    Concordo com o Diego, mas se não quiser seguir o conselho, faça uma varredura com a ferramenta online abaixo:

    http://www.microsoft.com/security/scanner/pt-br/

    .

    Vinicius Mozart

    Monday, May 20, 2013 5:11 PM
  • Esse vírus está me cansando nas máquinas do trabalho, mas acho que consegui removê-lo hoje.

    Conforme você disse, ele cria uma pasta em AppData\Roaming do usuário do computador e, pelo menos no meu caso, também na raiz na unidade C. Os nomes das pastas foram um pouco diferentes, mas sempre um nome curto que mistura algumas letras e números.

    Primeiramente, temos que encerrar o processo wscript.exe, através do Gerenciador de Tarefas do Windows ou outro aplicativo semelhante. Quando este processo não estiver mais em execução, iremos conseguir abrir o msconfig e ele não irá mais criar as pastas estranhas quando as apagarmos. Depois teremos que remover uma entrada com nome parecido com os das pastas na guia de Inicialização de Programas do msconfig. Pelo msconfig só consegui desativar a entrada, mas não consegui removê-la definitivamente, para isso eu tive que usar o CCleaner, que também usei pra fazer uma limpeza no registro do Windows. Posteriormente, pelo Prompt de Comando, temos que remover as pastas indevidas de C:\ e de AppData\Roaming (usei o comando rd caminho\do\diretorio /s).

    Caso o computador tenha mais de uma conta de usuário, temos que fazer isso para cada usuário.

    Comigo deu certo, espero que também consigam.

    Sunday, June 09, 2013 3:05 AM
  • Boa noite,

    Obrigado por retornar e parabéns.

    .

    Vinicius Mozart

    Monday, June 10, 2013 10:08 PM
  • Hem vai no, roaming/Microsoft/Windows/menu iniciar/programas/inicializar/ e exclui 2c8d
    Friday, July 12, 2013 7:55 PM
  • Cara, tive o mesmo problema, mas é muito fácil de resolver basta que vc excluia da pasta suytem32 do windows um arquivo chamado Wscrpit e pronto...

    Espero poder ter ajudado um grande abraço...

    Saturday, August 03, 2013 7:49 PM
  • MEIO QUE CONSEGUI PARA RETIRAR ESTA PESTE DE VIRÚS, MAS ATENÇÃO SÓ RETIRE OS QUE TEM UMA FIGURA DE UMA QUADRADO COM UMA ANTENA, SE TIVER DIS TIRE OS DOIS, UM ABRAÇO.

    LUIZ  
    Remoção do arquivo wscript.exe Vírus URL:Malware no Avast
    Como esse arquivo é alterado e é de PROPRIEDADE do usuário "TrustedInstaller" é preciso antes mudar o usuário proprietário e em seguida os direitos de acesso a esses arquivos. Sendo assim abaixo segue um passo a passo para realizar esse procedimento.
    1)Primeiro e mais importante você precisa reiniciar o computador infectado em Modo Seguro do Windows usando o usuário ADMINISTRADOR. É importante lembrar que não basta logar com usuário com poderes de administrador, precisa mesmo ser o usuário ADMINISTRADOR.
    2)Logado como Administrador abra uma janela do Windows Explorer, escolha seu drive principal (Geralmente drive local C). Pesquise por arquivos com 'wscript.exe'. Vão aparecer provavelmente DUAS opções de arquivos, ambas devem ser apagadas do computador.
    3)Para apagar esses arquivos antes você precisa mudar os proprientários e em seguida alterar os direitos de acesso a esses arquivos. Para isso clique com botão direito e selecione PROPRIEDADES, SEGURANÇA, AVANÇADAS. Na nova janela selecione a guia PROPRIETÁRIO. Nela você vai perceber que o usuário indicado com proprietário é "TrustedInstaller". Clique em EDITAR e selecione o usuário ADMINISTRADOR e em seguida clique em todos os "OK" ativando a mudança.
    4)Voltando a janela do Windows Explorer onde você pesquisou o arquivo clique novamente com o botão direito do mouse e selecione PROPRIEDADES. Na guia SEGURANÇA agora vamos clicar em EDITAR. Selecione o usuário ADMINISTRADOR e logo abaixo marque o check box "Controle Total". Em seguida clique em "OK" em todas as janelas.
    5)Voltamos novamente a janela do Windows Explorer onde agora será possível APAGAR o arquivo onde fizemos as alterações. Lembrando que esse mesmo procedimento deve ser repetido para todas as ocorrências do arquivo "wscript.exe".Ao final de todo esse processo reinicie o computador em modo normal com seu usuário padrão. Verifique que gora a abertura de páginas não mais apresentará a janela de URL:Malware do Avast.

    Thursday, September 26, 2013 2:19 PM
  • Faça o seguinte processo descrito no video→http://www.youtube.com/watch?v=FHl01w4-XNY

    meu pc pegou essse virus de uma cartao de memoria e me deu maior trabalho

    Tuesday, April 15, 2014 1:27 PM
  • Simples, prático, rápido e funcional. Valeu Luis!  ;)
    Thursday, July 03, 2014 5:28 PM