none
autorun.inf virus de pen drive

    Question

  • galera,

     

    estou com o seguinte problema temos uma rede com mais de 1000 computadores e 4000 usuarios.

    estes comptuadores são usados por usuarios aleatorios ou seja todo mundo conecta em todo mundo (tipo de rede publica para usuarios).

    porem estamos barrando nos virus de pen drive, ao colocar o pen drive infectado o usuario deixa os virus e o autorun.inf.

    Este autorun.inf vai passando para outro pen drive que passa para outro pc que passa para outro pen driver ...................

     

    Fiz muitos testes e consegui chegar a um bom ponto , ao formatar o pc estou desativando a opção "autoexecutar" via gpedit.msc, e peguei um programa que coloca uma pasta chamada autorun.inf , este programa atribui a ela o atributo somente leitura. Então vamos la, quando o usuario coloca o pen drive infectado ele não infecta mais o pc, porque??!!Pois o autoexecutar esta desligado, e este arquivo que foi criado ajuda a não deixar gravar..

    OK até ai tudo lindo parece que funcionou.

     

    Só que estes virus executam com os 2 cliques na unidade em "Meu Computador" , ou seja a minha opção de barrar o autoexecutar quando o usuario colocar o pen drive funciona, porem quando ele da 2 cliques na unidade do pen drive o virus ativa.

     

    vamos as observações para futuras soluções:

    1 - Minha rede não é 2003 ainda, ( estamos com novell , vamos migrar ainda);

    2 - Não posso bloquer USB.

    3 - Se eu fizer regras de caminho para o arquivo autorun.inf corro risco do windows ficar bloqueando o usuario usar o pen drive , e eles não sabem abrir de outra maneira a não ser 2 cliques em "Meu computador".

     

    O que eu gostaria???!!!!!!!!!

    Gostaria de algo que ignorasse o autorun.inf, ou seja ao clicar 2 vezes na unidade ele não executar o autorun.inf.

     

    Peguei na net, este .reg que diz que não executa o autorun.inf , mas não tive a oportunidade de testar

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYSBig SmileoesNotExist"

     

    Vamos tentar colocar o anti-virus para deletar este autorun,inf mas de qualquer maneira gostaria de saber da opinião de voces, o que podemos fazer aqui.... qual melhor solução??? o que voces indicam???

     

     

    valeu gente.

    Saturday, November 01, 2008 2:45 AM

Answers

  • OIá!

    Para proteger os PCs contra os virus de pendrive siga as dicas deste tutorial:

    Proteja seu Pen-drive de infecções

    E para eliminar estes virus de Pendrive nos computadores que já estão infectados siga as dicas deste tutorial:

    Dicas para remover vírus que se propagam por pendrives e outras mídias removíveis:


    Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.


    Friday, December 19, 2008 5:51 PM

All replies

  • instale e atualize o AVAST que ele remove automaticamente.
    http://comosaberfazer.blogspot.com/2008/04/como-retirar-virus-malwares-e-spywares.html
    procure por mais informações no blog.
    espero ter ajudado!!!!!

    Thursday, December 11, 2008 10:26 PM
  • cako valeu pelo post,
    não posso usar outro anti-virus aqui, temos licenciamento de um , e são muitos pcs.
    Postei em alguns topicos o que estou fazendo segue:

    vou postar aqui  quase o mesmo que postei em outro assunto, é bem parecido.


    esse autorun.inf chama os outros arquivos, este arquivo geralmente fica oculto em cada raiz das unidades, seja pendrive, seja C:; D: etc... e até mesmo em unidade mapeada de rede.

    entre no modo de segurança, abra o prompt de comando e vizualize todos os arquivos das raizes.

    exemplo

    c:> dir /a

    assim voce vera todos os arquivos inclusive autoruns, delete todos que voce achar suspeitos ( cuidado com arquivos de sistema).
    vá no msconfig e retire as entradas suspeitas tambem

    o que estamos fazendo na nossa empresa , é ao formatar um computador instalamos o "flash desinfector", este software cria uma pasta chamada "autorun.inf", esta pasta fica oculta e permissão somente leitura, quando o usuario coloca o pendrive com autorun.inf, o mesmo ao tentar ser gravado em nossas unidades não consegue pois ja existe um arquivo de mesmo nome e esta como somente leitura.
    Podemos tambem criar regras de software no gpedit.msc , pra não executar autorun.inf.
    Lembrando que este autorun.inf, é que chama os demais então só de conseguir bloquea-lo, ja é um enorme passo.

    Passe o antivirus quando voce estiver no modo de segurança tambem

    programas ja citados como combofix, banker fix, realmente são bons para tentar desinfectar os ja infectados.


    uma vez infectado, estes virus alteram uma chave do registro do windows para ficar chamando-os, quando da double clik nas unidades elas não abrem, pois como no registro ja esta configurado para chamar um programa ( virus ) e talvez o mesmo ja não exista mais, ou mapeou em outra unidade ela não acha e pede para proucurar o programa.

    pegue estas linhas eu vou te mandar salve no notepad, com extenção .reg, e execute, no pc que estiver acontecendo isso, porem tem que retirar ou virus, pois eles vão alterar o registro novamente, valeu.
    essa é uma chave de USERS, ou seja execute-a usando a mesma conta que da problema. ( mas este tipo de virus rapidamente vai para todos os perfis, pois fica nas raizes das unidades)


    muito obrigado.
    +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++



    Windows Registry Editor Version 5.00

    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

    Saturday, December 13, 2008 6:03 PM
  • Ainda recomendo a implementação de outros valores de segurança como o amigo ali em cima citou sobre o Avast mais como a maioria deve saber o avast é para usuários domésticos simples ou seja usuários básicos que não tem muito a fazer no computador como entrar em orkut msn e instalar jogos comprados no camelo carregados de malwares :-)

    Recomendo a instalação de outros componentes de segurança como o Avira Antivir Free se puder comprar o Security Suite você poupa o trabalho de instalações de outros adicionais como anti-spyware e firewall, se for usar o free recomendo fazer um combo com o Sygate Personal Firewall e Windows Defender.
    Procure desabilitar as unidades do pen-drive se for o caso, recomendo a utilização de um desses programas: WinPolicy, Protect XP, Me Protect. para efetuar tais mudanças mais não sei se eles tem as opções de desabilitar unidades.

    Encontrei este método para bloquear a inicialização de autorun's pelo regedit (não testei por que não tenho nenhum pen-drive).
    Abra o editor do Registro do Windows (Iniciar > Executar > regedit) e navegue até a chave:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

    Feito isso clicamos duas vezes em "NoDriveTypeAutoRun", modificamos o valor padrão de "95 0 0 0" para "91 0 0 0" e fechamos a janela do registro do Windows.
    Será necessário reiniciar o computador para que as alterações entrem em vigor. De agora em diante o autorun só funcionará se você clicar com o botão direito do mouse sobre a unidade e escolher a opção Autoexecutar.

    Espero ter ajudado.
    Abraços

    Sunday, December 14, 2008 11:39 PM
  • Poxa galera,
    valeu a dicas de todos.

    Elger quanto a configuração do "Autoexecutar" eu tambem uso este recurso , ajuda muito.
    quanto a desabilitar o pen drive, não podemos fazer isso aqui, pois é um recurso muito utilizado e importantes para os nossos sitemas aqui.

    Quanto ao anti-virus a empresa ja paga por uma licença de um anti-virus de grande nome no mercado mundial  ( não vou falar qual para não gerar propraganda), mas sempre temos que fazer nossa parte para tentar proteger rsrsrsrsrsrs.

    valeu gente, pelas dicas.
    Monday, December 15, 2008 8:49 PM
  • Existe várias ferramentas que você pode estar axando na net só da uma varrida boa pelo Google, eu só não procuro para você por que to corrido com muitas tarefas e vou viajar
    Minha última alternativa é você se cadastrar nesse fórum sobre hacking e segurança e tirar informações com o pessoal de lá, eles são muito legais xD
    Acesse: http://www.darkers.com.br/
    Thursday, December 18, 2008 2:56 AM
  • Bom dia amigo !

    tive esse mesmo problema que vc !

     

     

    vc pode notar que quanod vc clica em c: ele  abri uam janela perguntando com qual aplicativo vc deseja aplicar o c: alem disso , vc naum consegue ver os arquivos ocultos do sistema !

     

     

    alem do mais se vc entrar no pront e digitar

     

    c:\dir /ah

     

    vc vera 2 arquivos que vaum chamar sua atenção 1 autorun.inf de +ou-  450 kb e outro executavel ( pode variar o nome ) por exemplo lky.exe de aproximadamente 600kb

     

    a unica forma de conseguir remover seria atras ve um antivirus

     

    no caso como vc tem uma rede grande, aconselho a vc instalar o Kaspersky Administration Kit no servidor e atras dele vc instala remotamente os antivirus nos pc clientes, configura atualização , firewaal, enfin td !

     

    e o melhor de tudo é que vc tem 30 dias para usar gratuitamente !

     

    apos isso , vc pode desistala o antivirus das estações de trabalho remotamente tbm !

     

     

    OBS: talvez em algumas maquinas msm apos ele identificar esse virus, o autorun.inf estara presente, no caso é  soh vc ir em opçoes de pasta e colokar mostrar arquivos ocultos e remover manualmente o autorun.inf , pois agora vcconseguira ! Feito reinicie o Pc e estara redondo !

     

     

    qq coisa me add no msn

     

    luiz.oliveira@sanson.com.br

     

     

    Atenciosamente,

     

     

     

    Luiz Fernando de Oliveira

     

    Sistemas de Telecomunicações e Informática
    Engenharia de Redes
    (Tel: +55 14 3372-6111
    ÊFax: +55 14 3372-6111
    *
    e-mail: joelma.frasson@sanson.com.br

    Internet: http://www.sanson.com.br

     

                

     

     

     

    Friday, December 19, 2008 1:09 PM
  • OIá!

    Para proteger os PCs contra os virus de pendrive siga as dicas deste tutorial:

    Proteja seu Pen-drive de infecções

    E para eliminar estes virus de Pendrive nos computadores que já estão infectados siga as dicas deste tutorial:

    Dicas para remover vírus que se propagam por pendrives e outras mídias removíveis:


    Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.


    Friday, December 19, 2008 5:51 PM
  • Eu desenvolvi um pequeno programa que pode resolver a questão: AutoRunExterminator.

    Sua função é bem simples: fica monitorando todas as unidades lógicas [de C: a Z:] para ver se alguma delas tem na raiz o arquivo autorun.inf. Se encontrar, o software exclui o arquivo.

     

    Acho que isso, junto com a desativação da função Execução Automática do Windows, creio que resolve o problema. Obs.: O AutoRunExterminator deve ser colocado para iniciar junto com o Windows (isso deve ser feito "manualmente").

     

    Para fazer o download é só ver a postagem abaixo do meu blog:

    http://insidewindows.spaces.live.com/blog/cns!7B5B8694EF7FBB05!325.entry

     

    Espero que seja útil.

    Monday, December 22, 2008 3:26 PM
  • use o avast anti virus ele remove esse virus facilmente.
    http://comosaberfazer.blogspot.com/2008/04/como-retirar-virus-malwares-e-spywares.html
    espero que ajude.....

    Tuesday, January 06, 2009 11:11 AM
  • Bom dia galera eu achei essa solução e achei interessante.

    abra o notepad e cole esses comandos

    <@echo off
    :: SET_NO_DRIVE_OTORUN
    reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0ff /f

    :: GET_DRIVES
    for /f "tokens=1 delims=:" %%j in ('reg query hklm\system\mounteddevices ^| findstr \DosDevices\') do (
    echo %%j >> drives
    )

    :: REMOVE_\DosDevices\_PREFIX
    for /f "tokens=3 delims=\" %%j in (drives) do (
    echo %%j >> drives.txt
    )
    del /q /f drives > nul

    :: REMOVE_SPACE
    for /f "tokens=1 delims= " %%j in (drives.txt) do (
    echo %%j: >> drives
    )
    del /q /f drives.txt > nul

    :: CHECK_DRIVE_TYPE
    for /f %%j in (drives) do (
    fsutil fsinfo drivetype %%j | findstr "Fixed " >> fdtype
    fsutil fsinfo drivetype %%j | findstr "Removable " >> frtype
    )
    del /q /f drives > nul

    :: GET_FDRIVES
    for /f "tokens=1* delims= " %%j in (fdtype frtype) do (
    echo %%j >> dtype
    )
    del /q /f fdtype > nul
    del /q /f frtype > nul

    :: REMOVE_SPACE1
    for /f "tokens=1 delims= " %%j in (dtype) do (
    echo %%j >> drives
    )
    del /q /f dtype > nul

    :: DEL_DRIVE_A_FROM_LIST
    sort drives >> sort
    type sort | findstr "A" > nul
    if errorlevel 0 for /f "tokens=1 skip=1" %%j in (sort) do (
    echo %%j >> sorted
    )
    del /q /f drives > nul
    del /q /f sort > nul

    :: CREATE_OTORUN_FOLDER
    for /f %%j in (sorted) do (
    md %%j\<i>AUTORUN.INF</i>
    attrib +s +h +r /d /s %%j\<i>AUTORUN.INF</i>
    )
    del /q /f sorted > nul

    echo Press any key to close this window..
    pause > nul>

    Salve no seu desktop como DISABLE.BAT

    e execute, na rede da empresa funcionou!

     

    Monday, March 16, 2009 11:29 AM
  • Veja algumas dicas de como se proteger nesse Site:  Desativar o autorun do Pen drive
    Saturday, March 21, 2009 7:11 PM
  • Cara! vlw mesmo! Você me resolveu um problemão! O vírus tá excluído. Bgdu.
    Thursday, December 09, 2010 5:20 PM
  • é frequente este problema com muitos usuario no Brasil, pois isto ainda esta relacionado com algumas pragas que surgiram em meados de 2009/2010 do tipo worm.donwnad e conficker.Para isso sugiro que você rode em uma rede deste tamanho em todas as estaçoes o seguinte utilitario .

    http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=353&lang_loc=1 - é um fix da trendmicro para este problema, que limpa e corrige algumas vulnerabilidades relacionado a este problema do autorun.inf com pendrive.

    Obs: ao utilizar esta ferramenta se preferir também, insira os pendrives de todos os seus usuarios nas estações neste momento para diminuir as propragações em novas estações.Pois, esta ferramenta remove estes malwares e imuniza as estações para que este problema não retorne novamente.

    Outro fato importante : adquira para uma rede deste tamanho antivirus de segmento corporativo. Pois somente estes poderão manter seu ambiente mais seguro posso citar alguns aqui que conforme o WWW.NSSLABS.COM recomenda como o melhor e eficaz do mercado que são TRENDMICRO OFFICESCAN ou SYMANTEC SECURITY ENTERPRISE  estes conforme laboratiorios de analise de risco do tipo NSSLABS considera os melhores do mercado.

     

     

    • Proposed as answer by Alberto Danin Sunday, January 30, 2011 1:25 PM
    Sunday, January 30, 2011 1:25 PM
  • Olá, solucionado o seu problema?

    para este tipo de problema sempre usei o USB disk Security.

     

    abraço

     

    Tuesday, February 15, 2011 4:03 PM
  • E se eu colocar este bat no iniciar do windows sem o press key do final será que funfa?
    Thursday, September 01, 2011 12:54 PM
  • o que voce pode fazer é bloquear a raiz do pen drive, dai nao é possivel fazer nada na raiz, ai cria uma pasta para colocar os dados dentro.

     

    segue tutorial para bloquear raiz do pen drive:

    http://www.help1.com.br/?pg=noticia&id=119


    Tiago Dal Toé Westrup | www.dwsul.com.br
    Monday, September 19, 2011 11:05 PM