Atualização: 30/05/2017 (dica nova)
Se o pendrive estiver com vírus que transforma os arquivos em atalho. Não adianta limpar o pendrive mas não limpar o computador.
Verifique no "Menu Iniciar" em Inicializar se existe o atalho "Start" que liga a uma pasta oculta dentro da pasta Roaming em "C:\Users\NOME-USUARIO\AppData\Roaming". Dentro existem arquivos de script VBS e o aplicativo Windows Script:
Este aplicativo sempre inicia com o windows. Assim todas as vezes que ligar um pendrive ou cartão de memória os arquivos serão transformados em atalho.
Resumindo: apague o atalho "Start" do "Menu Iniciar" e pasta com nome estranho junto com os arquivos VBS na pasta Roaming (em C:\Users\NOME-USUARIO\AppData\Roaming)
Para outros tipos de vírus, leia abaixo:
-----------------------------------------------------------------------------------------
Em: 24/10/2013
Eu fiz algumas modificações no arquivo LimpaPendrive.bat (script DOS) - que facilita na solução do problema de arquivos que foram ocultos e transformados em atalhos.
Se o pendrive estiver com vírus que transforma os arquivos em atalho. Não adianta limpar o pendrive mas não limpar o computador.
Verifique no "Menu Iniciar" em Inicializar se existe o atalho "Start" que liga a uma pasta oculta dentro da pasta Roaming em "C:\Users\NOME-USUARIO\AppData\Roaming". Dentro existem arquivos de script VBS e o aplicativo Windows Script:
Este aplicativo sempre inicia com o windows. Assim todas as vezes que ligar um pendrive ou cartão de memória os arquivos serão transformados em atalho.
Resumindo: apague o atalho "Start" do "Menu Iniciar" e pasta com nome estranho junto com os arquivos VBS na pasta Roaming (em C:\Users\NOME-USUARIO\AppData\Roaming)
Para outros tipos de vírus, leia abaixo:
-----------------------------------------------------------------------------------------
Em: 24/10/2013
Eu fiz algumas modificações no arquivo LimpaPendrive.bat (script DOS) - que facilita na solução do problema de arquivos que foram ocultos e transformados em atalhos.
O códigoo original verificava apenas o "vírus" hidden e autorun. Adicionei mais alguns na verificação: ms32dll, ise32dll, recycler, wscript, help e csrcss.
Para ficar mais rápido e automatizado, ele pesquisa a porta USB:
1. Executa como Administrador:
ECHO - Verificando se é um Administrador
SET "ExecADM=Administrador"
if "%USERNAME%" NEQ "%ExecADM%" (
RUNAS /user:%ExecADM% "cmd /c %~f0"||PAUSE
GOTO:EOF
)
net user Administrador active:yes
2. Verifica se existe algum dispositivo na porta USB
CD\
FOR /F "delims=" %%a IN ('cd') DO set letrapen=%%a
%letrapen%:
3. Modifica o registro do windows para exibir os arquivos ocultos
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V Hidden /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V ShowSuperHidden /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V SuperHidden /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V HideFileExt /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\FolderHidden\SHOWALL" /V CheckedValue /T REG_DWORD /D 0x00000001 /F
4. Apaga os arquivos do AutoRun do Windows:
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce"
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx"
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V wscript.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V wscript.exe
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V inetsrv.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V inetsrv.exe
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /V NoDriveTypeAutoRun REG_DWORD /D 0x00000095 /F
REG ADD "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /V NoDriveTypeAutoRun REG_DWORD /D 0x00000095 /F
5. Desabilita a função autorun do CD\DVD e Pendrive:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /t REG_SZ /f
REG ADD "HKLM\System\CurrentControlSet\Services\CDRom" /V AutoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKLM\Software\CurrentControlSet\Services\CDRom" /V AutoRun /T REG_DWORD /D 0x00000000 /f
REG ADD "HKLMS\System\CurrentControlSet\Services\USBSTOR" /V AutoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /V NoDriveTypeAutoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer" /V NoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKLM\System\CurrentControlSet\Control\Termina l Server" /v AllowTSConnections /t REG_DWORD /d 0x00000000 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Termina l Server" /v fDenyTSConnections /t REG_DWORD /d 0x00000000 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Termina l Server" /v fAllowToGetHelp /t REG_DWORD /d 0x00000000 /f
6. Finaliza a interface do windows para facilitar a limpeza, no final do processo ela é reniciada:
TASKKILL /F /IM explorer.exe
TASKKILL /F /IM inetsrv.exe
TASKKILL /F /IM svchost.exe
7. Verifica a presença dos vírus no pendrive:
1. Executa como Administrador:
ECHO - Verificando se é um Administrador
SET "ExecADM=Administrador"
if "%USERNAME%" NEQ "%ExecADM%" (
RUNAS /user:%ExecADM% "cmd /c %~f0"||PAUSE
GOTO:EOF
)
net user Administrador active:yes
2. Verifica se existe algum dispositivo na porta USB
CD\
FOR /F "delims=" %%a IN ('cd') DO set letrapen=%%a
%letrapen%:
3. Modifica o registro do windows para exibir os arquivos ocultos
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V Hidden /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V ShowSuperHidden /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V SuperHidden /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /V HideFileExt /T REG_DWORD /D 0x00000001 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\FolderHidden\SHOWALL" /V CheckedValue /T REG_DWORD /D 0x00000001 /F
4. Apaga os arquivos do AutoRun do Windows:
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce"
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx"
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V wscript.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V wscript.exe
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V ISE32.exe
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /V inetsrv.exe
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /V inetsrv.exe
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /V NoDriveTypeAutoRun REG_DWORD /D 0x00000095 /F
REG ADD "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /V NoDriveTypeAutoRun REG_DWORD /D 0x00000095 /F
5. Desabilita a função autorun do CD\DVD e Pendrive:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /t REG_SZ /f
REG ADD "HKLM\System\CurrentControlSet\Services\CDRom" /V AutoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKLM\Software\CurrentControlSet\Services\CDRom" /V AutoRun /T REG_DWORD /D 0x00000000 /f
REG ADD "HKLMS\System\CurrentControlSet\Services\USBSTOR" /V AutoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /V NoDriveTypeAutoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer" /V NoRun /T REG_DWORD /D 0x00000000 /F
REG ADD "HKLM\System\CurrentControlSet\Control\Termina l Server" /v AllowTSConnections /t REG_DWORD /d 0x00000000 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Termina l Server" /v fDenyTSConnections /t REG_DWORD /d 0x00000000 /f
REG ADD "HKLM\System\CurrentControlSet\Control\Termina l Server" /v fAllowToGetHelp /t REG_DWORD /d 0x00000000 /f
TASKKILL /F /IM explorer.exe
TASKKILL /F /IM inetsrv.exe
TASKKILL /F /IM svchost.exe
IF EXIST AUTORUN.inf GOTO existe1IF NOT EXIST AUTORUN.inf GOTO nao1
Caso exista irá para ":existe1" realizar a limpeza:
:existe1ECHO - Arquivo AUTORUN encontrado
ECHO - Encerrando Processos:
TASKKILL /f /im inetsrv.exe
TASKKILL /f /im svchost.exe
ECHO - Mudando Atributos - AUTORUN
attrib -r -s -h autorun.inf
attrib -h -s -r /S autorun.inf
ECHO - Deletando Arquivo - AUTORUN
del /f/s/q/a:HRS autorun.inf
GOTO fim1
Caso não existe ele passa direto para ":fim" e apenas exibe a mensagem "não encontrado" e verifica os outros vírus:
:nao1
ECHO - Arquivo AUTORUN nao encontrado
ECHO - Arquivo AUTORUN nao encontrado
:fim1
Para verificar o código completo do script, clique aqui para abrir.
1 Comentários
