BrunoCunha.com
PortuguêsEnglish

Como remover vírus do pendrive que converte arquivos e pastas em atalhos

26 de dezembro de 2013
por Bruno Cunha
,
32 Comments

Nessa semana passei por uma experiência muito interessante. Conectei o meu pen drive de uso pessoal, que tem toda a minha vida digital, no notebook da minha prima e ele foi infectado por um vírus.

Todas as minhas pastas e arquivos foram “transformados” em atalho, mas, quando se clica no atalho, a pasta ou arquivo original abre “normalmente”.

A conclusão que podemos ter nesse caso é que as pastas e arquivos originais ainda permanecem no pen drive, então é possível recuperá-los e remover esse vírus chato.PenDrive - Atalhos no Windows Explorer

O procedimento de recuperação é muito simples, mas deve ser executado em um micro que não esteja infectado. Primeiro de tudo você deve garantir que o micro no qual efetuará a limpeza também esteja limpo (sem esse vírus) e com um bom antivírus instalado e atualizado.

Removendo o vírus

Cuidado ao conectar o Pen Drive
Só conecte o pen drive infectado no micro se este possuir um antivírus instalado e atualizado. Caso não tenha, esse micro também poderá ser infectado, pois pode "executar" o vírus automaticamente devido a funcionalidade de auto-execução do Windows.

Se você não tem um antivírus instalado (que perigo!), sugiro que instale o AVG AntiVirus Free. Para mim ele é um dos melhores nessa categoria, além de ser gratuito.

Execute o antivírus e faça uma varredura completa no seu pen drive. Ele detectará o vírus e removerá os arquivos infectados. Geralmente é um arquivo com extensão “.vbs”.

Recuperando os arquivos do pen drive “removidos” pelo vírus

  1. Abra o prompt de comando do Windows como administrador; Saiba como no Windows 8 e no Windows 7.
  2. Execute o comando abaixo alterando a letra da unidade do seu Pen Drive. No exemplo abaixo a unidade é a “F:”. No seu caso pode ser “E:”, “G:” ou qualquer outra letra. Verifique isso antes de executar o comando.
  3. Digite: attrib -h -r -s -a /s /d F:\*.*Prompt de Comando do Windows - Recuperar Arquivos
  4. Tecle e aguarde. Dependendo da quantidade de arquivos e pastas no pen drive esse comando pode demorar bastante. Aguarde até o final.

Pronto, agora as suas pastas e arquivos já devem estar sendo exibidos corretamente. Em seguida devemos remover os atalhos chatos que foram criados pelo vírus.

  1. Ainda no prompt de comando, digite o comando abaixo, lembrando de alterar a letra da unidade do seu pen drive:
  2. Digite: del F:\*.lnkPrompt de Comando do Windows - Remover Atalhos

Como o vírus funciona

Esse vírus bobo cria uma cópia de si mesmo para dentro do pen drive. É um arquivo com extensão “.vbs”. Ele cria vários atalhos com o mesmo nome dos arquivos e pastas do diretório principal do pen drive, porém, esse atalho criado aponta sempre para o arquivo com extensão “.vbs”, passando como parâmetro o caminho e nome correto da pasta ou arquivo original.

Dessa forma, todas as vezes que você clica no atalho, o arquivo “.vbs” é executado e, consequentemente, o vírus é acionado. Para garantir o disfarce, depois do vírus executar as rotinas que foi programado, ele abre o arquivo ou pasta original. Assim, as pessoas que não entendem muito de informática não se preocupam em descobrir o que está acontecendo, pois, de certa forma, continuam acessando os seus arquivos “sem problema”.

Conclusão

Achei esse vírus bem bobo, pois é muito fácil detectarmos que o pen drive está infectado, mas a ideia é interessante, pois garante que o vírus seja sempre executado, pois o dono do pen drive sempre clicará no atalho para acessar o arquivo ou pasta desejado.

Não anotei a variante do vírus que infectou o meu pen drive e não estudei qual o real objetivo dele, mas, provavelmente, é algum vírus que monitora o comportamento do usuário, ou um que cria uma máquina zumbi, ou que pega a senha do banco, essas coisas que a maioria dos vírus fazem.

Então é isso. Espero que você fique atento quando começarem a surgir atalhos estranhos no seu Pen Drive!

Sobre o Autor
Bruno Cunha é Gerente de Projetos há mais de 5 anos, certificado como PMP desde fev/2009, pós graduado em Gerenciamento de Projetos pela PUC-Rio e está cursando MBA em Gestão Empresarial na FGV-Rio. Apaixonado por tecnologia e leitura, também gosta de escrever, ver um bom filme e praticar atividades ao ar livre. Não curte boates, atividades noturnas e dormir tarde. Você o encontra também no Facebook, Twitter, Linkedin e no Google+.
  1. andersom 17 de outubro de 2016 at 17h00 Responder

    ola galera estou com um problema meio estranho, faço todo procedimento correto porem aparece a seguinte frase o destino do vinculo simbolico D:\ USBCH^8À nao existe

  2. Jaqueline 17 de maio de 2016 at 00h47 Responder

    Obrigada Bruno!
    Me ajudou muito.

  3. Maria do Socorro 19 de outubro de 2015 at 17h27 Responder

    É bem científico o seu estudo, está de parabéns! Estou tentando fazer o mesmo que você tem sujerido…mas sismo em não reencontrar a unidade de volta com os dados ao altera-la.

  4. HW 11 de outubro de 2015 at 11h32 Responder

    Bom dia Bruno, parabéns pelo seu trabalho, ele é claro e nos auxilia muito.

    Peço uma ajuda. O AVG do meu micro detectou um vírus no meu pen drive e apagou todas as pastas. Na quarentena as pastas aparecem lá mas nao dá para salvá-las. Como faço para recuperar o pen drive. Não gravei nada nele ainda… Obrigado.

  5. ff 3 de agosto de 2015 at 12h45 Responder

    do que adianta volta tudo denovo ¬¬pqp em nao consigo tirar essa praga de jeto nenum todos os tutoriais programas nada funcona sempre volta

  6. Tatiane 21 de julho de 2015 at 17h12 Responder

    Bruno,

    Como faço para deletar os seguintes vírus do meu pen drive?

    O destino do vínculo simbólico G:\ª?¬*F?Ë=.?lU não existe
    O destino do vínculo simbólico G:\±trª@ ¹?.?µ? não existe
    O destino do vínculo simbólico G:\??’ não existe
    O destino do vínculo simbólico G:\äih?ò®@É.ì0? não existe
    O destino do vínculo simbólico G:\7u?¨?÷?s.zÝ? não existe
    O destino do vínculo simbólico G:\X6Í?Tî ¹.??õ não existe
    O destino do vínculo simbólico G:\plÕ±ÛBݪ.¾²¼ não existe
    O destino do vínculo simbólico G:\L?Øç não existe
    O destino do vínculo simbólico G:\x??¸ÑS­Ï.lÜx não existe
    O destino do vínculo simbólico G:\ez×?¢Ú3?. ¹? não existe
    O destino do vínculo simbólico G:\?ä¶sÄ\u1.)?ä não existe
    O destino do vínculo simbólico G:\?æ?ËǸcj.fgÌ não existe
    O destino do vínculo simbólico G:\?? {8??i.@Ö? não existe
    O destino do vínculo simbólico G:\Gò+ ¹??þ.â?î não existe
    O destino do vínculo simbólico G:\á@e·? ¹?.?µ? não existe
    O destino do vínculo simbólico G:\?îÓNöe8¸.CÄw não existe
    O destino do vínculo simbólico G:\?ûÝ©9yy .¹?? não existe
    O destino do vínculo simbólico G:\7 ´¼Ó?{=.2?J não existe
    O destino do vínculo simbólico G:\¬ não existe
    O destino do vínculo simbólico G:\®èÿci)C®.©ä? não existe
    O destino do vínculo simbólico G:\?D{TÑ H.ÿÅÙ não existe
    O destino do vínculo simbólico G:\%UEÜ?;!@.?-l não existe
    O destino do vínculo simbólico G:\ü?÷È8§ÀÞ.?6¯ não existe
    O destino do vínculo simbólico G:\?Ùq?z1??.õÍ8 não existe
    O destino do vínculo simbólico G:\±¢LV? ¹?.?µ? não existe
    O destino do vínculo simbólico G:\?s? ?¶d.aËÒ não existe
    O destino do vínculo simbólico G:\?0?@É?+@.ß não existe
    O destino do vínculo simbólico G:\¯???Ñ???. <¹ não existe
    O destino do vínculo simbólico G:\?C?Å0f¥.<äÞ não existe
    O destino do vínculo simbólico G:\???û?èÈ/.?ؼ não existe
    O destino do vínculo simbólico G:\Àüa,mujl.×"q não existe
    O destino do vínculo simbólico G:\è§??1nr¤.ãæ2 não existe

  7. Lay 16 de julho de 2015 at 11h00 Responder

    Eu consegui tirar o vírus do atalho, mas meus arquivos sumiram!! Como faço?

    • Bruno Cunha 16 de julho de 2015 at 16h20 Responder

      Olá Lay,

      Você executou o comando attrib -h -r -s -a /s /d F:\*.* ?
      Espero que tenha executado corretamente o comando del F:\*.lnk, pois se colocou um “*” no lugar do “.lnk” então deletou mesmo os arquivos. ;)

      Se deletou acidentalmente, acesse esse link para aprender a recuperar arquivos excluídos.

      Espero que consiga resolver esse problema.

      Abs!
      Bruno Cunha

  8. Camila 23 de junho de 2015 at 15h12 Responder

    MUUUUUITO Obrigado , me ajudou muito!

  9. Ricardo Azevedo 22 de dezembro de 2014 at 11h15 Responder

    Juliana, citei ali em cima o PSafe. Qual você usa? Tenta ver se ele funciona no seu computador. Acho bem fácil de mexer, mas eu também trabalho com isso tem um tempo. Boa sorte!

  10. Ricardo Azevedo 9 de dezembro de 2014 at 08h49 Responder

    Na época esse vírus pegou alguns clientes meus, que me pediram referências de qual antivírus usar…Sugeri o Avast. Se fosse hoje, acho que não recomendaria a verificação pelo Avast e sim pelo PSafe. Fiz alguns testes e em termos de desempenho, o PSafe reagiu melhor do que o Avast e AVG, todos gratuitos.

  11. Juliana Cabral 3 de dezembro de 2014 at 01h55 Responder

    Essa verificação que você faz é fácil?? Eu consegui fazer segundo o passo a passo dessa matéria, mas estou buscando processos mais simples!!

  12. Nina Ferreira 20 de novembro de 2014 at 23h38 Responder

    Eu to com um antivirus ótimo, o psafe! entao sempre que eu ponho o pen drive no pc eu faço uma verificação para limpar o pen drive também!

  13. staney 31 de outubro de 2014 at 20h46 Responder

    Muito obrigado pelo toque amigo, parabéns pela iniciativa…

  14. Pedro Júnio Barros 9 de setembro de 2014 at 10h51 Responder

    Valeu ai Brother!! Funfou geral aqui!! Abraxxx

  15. Leonardo Alves 30 de agosto de 2014 at 11h22 Responder

    Bruno, parabéns pelo post!
    Fábio, muito obrigado pelos comentários, estava procurando o diretório faz tempo! :)

  16. Sabrina 5 de agosto de 2014 at 23h09 Responder

    Perfeito, obrigada.

  17. Laercio Oliveira 2 de agosto de 2014 at 21h56 Responder

    Muito obrigado aprendi muito com esta dica e vou compartilhar.

  18. Cínthia 11 de julho de 2014 at 10h59 Responder

    FUNCIONA. Ajudou demais. Obrigada!!!

  19. CLEBER FREITAS 28 de junho de 2014 at 16h57 Responder

    OK AMIGO. MUITO BOM.. ESTAVA QUASE QUEBRANDO O PENDRIVE..MAS DEU TUDO CERTO… VALEU MESMO

  20. Fábio Miranda 29 de maio de 2014 at 10h57 Responder

    Muito boa a sua dica, mas os comandos podem ser complementados…
    Se o vírus estiver ativo na máquina, os arquivos serão desocultados mas imediatamente serão ocultados pelo processo do vírus. Foi o que aconteceu no caso do “Cristhian Costa”

    Aconselho que o primeiro comando a ser executado seja para eliminar o possível processo do vírus no computador…
    taskkill /im wscript.exe /f

    Depois execulta o passo 3 da dica…
    (Digite: attrib -h -r -s -a /s /d F:*.*)

    Bom até aqui, já teria solucionado, o resto você usaria anti-virus

    Mas se ja estiver um pouco familiarizado com os comandos e quiser resolver sozinho…

    #RETIRAR A CHAVE DE REGISTRO QUE FAZ O VÍRUS INICIAR
    REG DELETE HKcuSoftwareMicrosoftWindowsCurrentVersionRun /v help.vbs /f
    REG DELETE HKcuSoftwareMicrosoftWindowsCurrentVersionRun /v cool.vbs /f

    #APAGAR O VÍRUS DA PASTA TEMPORÁRIO, ONDE FICA ALOJADO
    attrib -h -s “%temp%/help.vbs”
    attrib -h -s “%temp%/cool.vbs”
    del *.vbs /f

    Foi só uma complementação…

  21. HEDNEY CARLOS GOMES 26 de maio de 2014 at 08h05 Responder

    Ola,
    Muito obrigado , salvou minha vida..valeu

  22. Epitacio 22 de maio de 2014 at 12h07 Responder

    Funcionou perfeito

  23. Davi Junior C 5 de maio de 2014 at 10h55 Responder

    Obrigado Ajudou Muito.. Recomendoo!
    Recuperei os arquivos!uahua

  24. Cristhian Costa 28 de abril de 2014 at 16h48 Responder

    Bruno, não consegui realizar o procedimento, pois não identifico nenhum arquivo que pareça ser o vírus, nem o antivirus detectou. Se tento o comando no prompt, os arquivos aparecem, e logo em seguida, ficam ocultos novamente. O antivirus nao acusa nada! O que faço? Agradeço a ajuda, ja tentei tudo na net.

    • Bruno Cunha 28 de abril de 2014 at 20h11 Responder

      Olá Crishian!

      O seu antivírus está provavelmente desatualizado, mas creio que atualizá-lo agora não vai resolver muito.
      Tente limpar esse Pendrive em outro computador, mas certifique-se antes de que o antivírus esteja atualizado. Na dúvida, reinstale o antivírus.

      Provavelmente o seu PC está infectado e, nesse caso, recomendo que crie um Pendrive de boot com um antivírus para verificar o seu HD.

      Espero ter ajudado de alguma forma!
      Abs!

    • Antonio Carlos 29 de abril de 2014 at 11h32 Responder

      Olá Bruno, também baixei e executei primeiro o Kill para para a ação do programa, pois bem esse vírus ele cria muitos arquivos .js que se alojam não só no pen Drive como no Pc. Peguei um computador com AVG instalado e não enxergava como vírus os *.js, ai formatei o pc e instalei o Psafe também não enchegou como virus, o problema é que o pc também está executando virus, ele não deixa chegar na pasta aonde tá o virus no pc, ele cria uns bloqueio de pasta, o pen drive limpa blz, mas o pc não consigo eliminar este virus. Estou baixando a sugestão do Pendrive de boot com antivirus para ver o que dá. abs

  25. Alsenir Ribeiro de Castro 21 de abril de 2014 at 19h43 Responder

    Amei tudo que li até agora, continue ajudando pessoas como eu, quase analfabeta digital!!!!!!!!

  26. Julho D'Oliveira 14 de abril de 2014 at 05h41 Responder

    Vlw!! Vou agora corrigir os problemas aqui nos pendrives da galera

  27. Ch.santos 18 de março de 2014 at 03h18 Responder

    Bacana; grato pela ajuda!!!

  28. Maria Luíza 12 de março de 2014 at 20h02 Responder

    Pô, muito boa essa dica! Funcionou legal aqui. Obrigada.

  29. Armstrong Lohãns 9 de março de 2014 at 18h39 Responder

    Vlw ein! Brigadão, funcionou legal :D

Deixe um comentário

Assine a Newsletter!

Curta no Facebook!

BrunoCunha.com

Meu site é hospedado por

Hostgator - Melhor site de Hospedagem

Publicidade