Instruções para remoção do W32.USBWorm

Ao abrir o firefox você recebeu uma mensagem estranha e ele fechou logo em seguida? Trata-se de um vírus W32.USBWorm que é propagado através dos drivers USB(pen-drives, etc).

Entendendo o vírus

Os efeitos ocorrem quando você vai abrir o Firefox. Ao clicar no ícone ele abre uma nova popup e exibe a mensagem: "I DNT HATE MOZILLA BUT USE IE OR ELSE..."
(traduzindo: Eu não odeio mozilla mais uso IE ou outro), com o título: "USE INTERNET EXPLORER YOU DOPE"
(Use internet explorer seu estúpido ), depois o firefox fecha automaticamente.


Além do Firefox, ele também bloqueia a abertura do YouTube e o Orkut pelo Internet Explorer com as mensagens: It gives the alert "Orkut is banned you fool, The administrators didn’t write this program guess who did?? MUHAHAHA!!"



(Tradução: "Orkut está proibido seu bobo. Os administradores não escreveram esse programa adivinha quem foi? MUHAHAHA!"); o mesmo ocorre com o youtube e a janela imediatamente. 

Como falei, o nome do worm é W32.USBWorm, ele propaga através de drives USB; afeta o firefox, orkut, youtube e vários recursos do Windows XP, como o editor de registros e o gerenciador de tarefas, por exemplo. Tem também um arquivo. Wav (o que soa como "muhahaha!) Sempre que o pop-up aparece.

Como funciona?

Ele cria uma pasta com o nome heap41a na unidade C, disfarçando-a como uma pasta oculta do sistema. O processo em execução que é responsável por isso chama-se svchost.exe. É normal existir mais de um processo com este nome e ele será identificado por ser executado pelo usuario logado no momento(ao lado do processo é exibido o nome do usuario). Ele irá também fará uma entrada no registro, de modo que será iniciado automaticamente, toda vez que o computador for ligado.

Conteúdo da pasta "heap41a"

• Svchost.exe – Este é o principal programa.
• Script1.txt – Contém o script para exibir as mensagens e o som do arquivo wav, dependendo de aplicação solicitada.
• Std.txt – É responsável pela entrada no registro e execução do svchost.exe.
• Reproduce.txt – É responsável por reproduzir a mesma estrutura de diretórios e a entrada no registro cada vez que o sistema reinicia. Também haverá um arquivo de áudio e uma lista.

Como remover este worm? Alternativa 1:

1. Baixe o programa: w32.USBWorm Blocker Worm Fix. 
2. Salve no Desktop!
3. Descompacte e execute o arquivo através do comando: fix.exe Worm
4. Clique em Remove.

Como remover este worm? Alternativa 2:

1. Terminar o processo svchost. Lembre-se que terá mais de um svchost. Você tem que apagar apenas o que está sendo executado com o nome do usuário.
2. Apague a pasta heap41a. Lembre-se que ela está oculta. A opção mostrar arquivos ocultos não funciona. Você pode usar a pesquisa com opções avançadas para encontrá-la ou ir em Iniciar > Executar e digitar "C:\heap41a" sem aspas (lembrando que o C é referente a unidade do disco). Outra opção é Iniciar > Executar > regedit e aperta ENTER. Navegue em HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Explorer > Advanced > Folder > Hidden > SHOWALL, clique duplo e mudar o valor para 1.
3. Clique em Iniciar > Executar > digite Regedit e clique em OK.
4. Localize a entrada do registro HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > Explorer > Run e remova a chave winlogon. Esta entrada será responsável pela fase de inicialização do arquivo "C:\heap41a\svchost.exe", (abrir arquivo sempre que iniciar o seu Windows).
5. Remova qualquer arquivo autorun.inf no seu pen drive e uma pasta com extensão .exe. Normalmente com o nome "Nova pasta".

Observação

Algumas vezes, este worm também desabilita o "taskmanager" e "regedit" para evitar que seja removido a partir destes locais!

Ficha Técnica do acesso:
IP: 38.107.191.115
Agora: 17:07:07
Navegador: Unknown