Computador criando atalhos e ocultando pastas

Análise do registro
A máquina do cliente estava exibindo uma mensagem de execução de script continuamente e criava atalhos e pastas ocultas. Vide na imagem abaixo:







Verificamos que o arquivo “qdrpnfuy.js”, descrito na imagem acima, tinha associação com o JS.Proslikefan.B. O JS.Proslikefan.B é um worm que se espalha através de JavaScript e unidades removíveis. Ele também pode baixar arquivos adicionais e roubar informações no host infectado.

Ao ser executado, uma das características do worm é copiar-se para os seguintes locais:
· % DRIVELETTER%:. \ trashes \ [valor calculado] \ [valor calculado] .js
· % USERPROFILE% \ Local Settings \ Temp \ [valor calculado] .js
· % UserProfile% \ [valor calculado] .js
· % USERPROFILE% \ AppData \ Roaming \ [valor calculado] .js

Na máquina infectada o caminho escolhido foi: %USERPROFILE%\AppData\Roaming\skkyww\ qdrpnfuy.js.

Causa do problema
Nesse caso, a máquina em questão não acessa a internet. O worm foi transmitido através de Pen Drive já infectado. O Antivírus instalado na máquina não detectou o worm porque estava desatualizado.Solução
Solução
O problema foi resolvido apagando todos os arquivos relacionados ao WORM e em seguida aplicamos a seguinte solução no pendrive:

1. Plugar o Pen drive em uma máquina e executar o Antivírus direto no pen driver;
2. Abrir o prompt de comando como Administrador, clicar em Iniciar e escrever "CMD.exe" clicar com o lado direito do mouse e escolher a opção "Executar como Administrador"
3. No prompt de comando, escrever: attrib -h -r -s /s /d X:\*.*

Vide imagem abaixo:
Você deve substituindo o X pela letra que está representando seu pen driver no computador.

Postagens mais visitadas deste blog

Como Ativar Microsoft Office 2013

Como resolver o erro 0x00000040 TARGET_MDL_TOO_SMALL no Windows 10 e 11