quarta-feira, 30 de janeiro de 2008

Vírus do Orkut que muda tela do navegador

Saindo um pouco da rotina de postar humor e programas úteis, hoje o DicasBR vai abordar um tema pouco discutido aqui: Vírus.
Muitas pessoas com contas no orkut tem sido pertubadas por um novo virus do Orkut que, quando você entra no site http://www.orkut.com/ ele muda a aparecencia do seu navegador(seja ele Internet Explorer ou Firefox) fazendo com que você digite sua senha e mande para eles. Assim, eles tem livre acesso de enviar aqueles vilhões de mensagens do mamute, video do Happy tree Friends e outras que basta um clique para a devastação começar.

Efim, eu me deparei com esta situação e não achei em lugar algum a solução para poder entrar em meu orkut sem que isso aconteça. Muitas pessoas nem percebem pois ele muda a imagem do seu navegador para a do Internet Explorer 6.0 . Veja abaixo uma foto do antes e depois de entrar no site do orkut com o virus no PC.

Antes do Virus

Já com o Virus


Como podem perceber, eu fiz o teste com Internet Explorer 7 e estava nevegando normalmente. Mas quando eu digito o endereço do orkut e pressiono ENTER ele automaticamente aciona o virus e muda a aparencia da minha janela. Isso também com acontece com o Firefox.

Andei pesquisando e descobri que este virus se espalha através de PENDRIVE. Isso mesmo. Tente lembrar de algumas pessoas que usaram seu PC atraves de pendrive e tente não colocala denovo no seu PC até que tentar feito uma limpesa com antivirus nela. Quando você conecta uma pendrive infectada com este virus, ela instala automatica e silenciosamente o maldito.

Fui ainda mais longe na minha busca pela solução e descobri o nome do tal virus. Ele é instalado como: Disk Drive Full , isso pode enganar muitas pessoas pois você pensa que é o drive da sua pendrive. Mas não é.

Eu confesso que não descobri uma maneira de eliminar este virus. Uma vez que nenhum antivirus, antiworm, antipraga e etc não tiveram êxito na função de achar-lo.

A solução

Como eu disse que ainda não tenho a solução para a cura definitiva, eu consegui apenas desativa-lo para que não seja executado. Mas lembrando que, infelismente, ele ainda estará no seu computador. Então vamos lá.

Com CTRL ALT DEL eu descobri que os arquivos são inicializados junto com o windows, não importa a versão.
O nome cru dos arquivos virais são:


  • diskdrive.exe (C:\Windows\System32\diskdrive.exe)

  • kork.exe (C:\Windows\System32\kork.exe)

  • internetXP.exe (C:\Windows\System32\internetXP.exe)

Eu só descobri o caminho deles através do Gerenciador de tarefas, mas eu não conseguir achar-los na pasta indicada. Mas ele está lá. Mesmo visualizando arquivos ocultos você não consegue vêr-los. Mas se por sorte do acaso você conseguir, DELETE-OSSSSS sem dó.

A solução que eu proponho é: tirar estes arquivos da lista de programas iniciados com o Windows.

  • Para fazer isso vá até Windows >> Executar , digite MSCONFIG na caixa que aparece e tecle Enter.

  • Quando surgir a janela, clique na aba superior: Inicialização de Programas;

  • Você irá identificar aqueles três programas que eu citei acima + Iron Mask, desmarcar a caixa que confirma que eles serão inicializados com o PC. Clique na imagem para ampliar.
  • Após fazer isso, clique em Aplicar e OK
  • Reinicie o computador e faça o teste, aqui funcionou. Como eu disse, não removemos o virus Ainda, mas ja podemos navegar pelo orkut sem a presença do maldito.

Quando eu encontrar o solução de remoção deste virus eu volto a postar aqui. Se alguém souber também, PLEASE, nos ajude.

Um usuário anônimo do Dicasbr sugere a seguinte alternativa para Remover o Vírus:

Para apagar os arquivos definitivamente basta no próprio gerenciador de tarefas em Windows >> Executar, digitar cmd. A linha de comando entra (janela preta) e vc pode digitar os comandos
del C:\Windows\System32\diskdrive.exe
del C:\Windows\System32\kork.exe
del C:\Windows\System32\internetXP.exe
Os arquivos serão apagados definitivamente.
Outra alternativa é baixar o programa KillBox (procure no Google) e usá-lo para apagar os mesmos arquivos, mas usando uma interface gráfica ao invés de linha de comando.

Dúvidas, sucessos e frustações postar nos cometários.

14 comentários:

Anônimo disse...

Para apagar os arquivos definitivamente basta no próprio gerenciador de tarefas em Windows >> Executar, digitar cmd. A linha de comando entra (janela preta) e vc pode digitar os comandos
del C:\Windows\System32\diskdrive.exe
del C:\Windows\System32\kork.exe
del C:\Windows\System32\internetXP.exe
Os arquivos serão apagados definitivamente.
Outra alternativa é baixar o programa KillBox (procure no Google) e usá-lo para apagar os mesmos arquivos, mas usando uma interface gráfica ao invés de linha de comando.

RamX disse...

mto bom cara,


Tirei um outro dia no Laptop de um amigo meu, o problema é que ele ainda instala quando se coloca um pendriver nele


se seu pendriver tem algum arquivo ".log" desconfie dele!

Neto disse...

boa muito bom esse post ^^ ajudou pra caramba

Eduardo disse...

existem mais arquivos a serem apagados...

C:\Windows\System32\diskdrive.exe
C:\Windows\System32\kork.exe
C:\Windows\System32\kork.txt
C:\Windows\System32\internet.exe
C:\Windows\System32\internet.txt
C:\Windows\System32\internetXP.exe
C:\Windows\System32\internetXP.txt


Quando inserido algum pendrive ele adiciona um autorun no mesmo com o arquivo diskdrive.exe oculto. Remova o autorun.ini e o diskdrive.exe de dentro do pendrive. Ele adiciona não apenas pendrives, mas qualquer drive externo via usb, tais como HD Externo, câmeras digitais, cartões de memórias etc.

Dica para pesquisa, quando procurar procure apenas pelo nome sem a extensão, ex: "diskdrive" e não "diskdrive.exe"
Para procurar pelo localizar do windows, dentro dele tem opções de pesquisa / Opções acançadas, marque ela e as opções "pesquisar pastas do sistema" "Pesquisar arquivos e pastas ocultos" e "Pesquisar subpastas"

Para remover definitivamente faça o seguinte.

Abra o RegEdit (menu iniciar > Executar > Regedit)
Agora la dentro vá em
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

e delete as chaves
Disk Drive Full > C:\WINDOWS\system32\diskdrive.exe
Windows IInternet > C:\WINDOWS\system32\kork.exe
Microsoft Internet > C:\WINDOWS\system32\internet.exe
Internet Pro > C:\WINDOWS\system32\internetXP.exe

Removendo pelo local acima no regedit automaticamente é removido do autoexecutar do windows (que usa o registro para pegar as informações)

e disse...

alguem pode me ajudar???

bom estou com um virus terrivel, quando eu tento entrar na pagina do orkut automaticamente abri-se uma janela com uma frase e uma risada ironica...

me ajudem por favorrrrrrrr

red hot disse...
Este comentário foi removido pelo autor.
red hot disse...

ENCONTREI A SOLUÇÃO DEFINITIVA!!!!!
********************************
vamos lá...
esses arquivos estão na pasta system32 como todos ja sabem...
mas não é possível vê-los mesmo com a opção "mostrar pastas e arquivos ocultos"...
mas nesta mesma janela (opções de pastas) na aba "Modo de exibição" desmarque a caixinha: "Ocultar arquivos protegidos do sistema operacional (recomendado)"
também é importante que a opção "Mostrar pastas e arquivos ocultos"
clique em "OK"

enfim... depois que eu fiz isso...
eu fui à pasta system32... e encontrei os arquivos (malditos! rs)... na pasta system32...
delete todos:
diskdrive.exe
kork.exe
internet.exe
internetXP.exe


isso com certeza da certo (no meu deu) mas se você não consegui...
me adiciona no msn aí eu te ensino melhor ok...
rokeiro-msn@hotmail.com

obs:. ISSO COM CERTEZA DA CERTO OK... SE CASO NÃO CONSEGUI É PORQUE NÃO SEQUIU A DICA CORRETAMENTE... AÍ ME ADICIONA OK... VAI SER UM PRAZER AJUDAR A TODOS...
mas se conseguirem... maravilha...

Anônimo disse...

uplêlê!!! da certo msm \o// nunca mais clico no amldito mamute ¬¬''

Neto disse...

to : "e"


axo que se trata do mesmo virus ,se vc fizer oq o "red hot" disse ( ve post acima) vai tirar o teu virus tbm
abraços!!!!

Anônimo disse...

valeu mano,verifiquei todas as pastas, mas ,não encontrei.Porém,a página do orkut se assemelha com a página infectada que vc mencionou!Executei o msconfig e não constam os nomes citados por vc.Conclusão se estiverem presentes estão bem escondidos.Muito boa sua ajuda para todos!Parabéns

Red Hot disse...

Bom... desenvolvi um script (batch) que remove esse vírus.(interface não gráfica)
A Remoção... (Versão 1.0)
Abra um editor de texto puro (Bloco de notas por exemplo).
Copie e cole o seguinte script destacado em negrito exatamente como está abaixo:

Red Hot disse...

rem Software desenvolvido por Ozéias xXx...
contato: rokeiro-msn@hotmail.com
rem Para a remoção do vírus do orkut chamado Kork.exe.
rem Versão 1.0
rem É uma excelente vacina, siga corretamente as instruções.
@echo off
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Disk Drive Full" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Windows IInternet" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Windows Internet" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Internet" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Internet Pro" /f
cls
taskkill /f /im "kork.exe"
taskkill /f /im "diskdrive.exe"
taskkill /f /im "internetXP.exe"
taskkill /f /im "internet.exe"
taskkill /f /im "Ironmask.exe"
cd\
del /a /s /f /q kork.*
del /a /s /f /q diskdrive.*
del /a /f /q %programfiles%\Windows32.exe
cd %windir%\system32
del /a /s /f /q kork.*
del /a /s /f /q diskdrive.exe
del /a /f /q internet.exe
del /a /f /q internet.txt
del /a /f /q internetXP.exe
del /a /f /q InternetXP.txt
cls
echo É necessário reiniciar o Sistema operacional...
echo Tecle 1 para fazer isso agora ou qualquer outra tecla para sair.
set /p Ozeias=
if %Ozeias%==1 (shutdown -r -f -t 0) else (exit)

Red Hot disse...

Vá em 'Arquivo > Salvar como...'
Em "Nome do arquivo" Salve com o seguinte nome: Antikork.bat
Vá ao local onde salvou o arquivo, e o execute.

Solução Definitiva!
Se encontrarem alguma dificuldade em realizar podem add à vontade no hotmail: rokeiro-msn@hotmail.com

Boa sorte à todos (as)!!!

Ozéias Dias

Lílian Glayce disse...

Olaaaaa
Gostaria de saber cm faço p mexer no programa killbox, baixei-o porem nao sei o q faço! Agradeço se me ajudesse no que tenho a fazer, aguardo resposta no meu blog.
obg...