Computador criando atalhos e ocultando pastas

Análise do registro
A máquina do cliente estava exibindo uma mensagem de execução de script continuamente e criava atalhos e pastas ocultas. Vide na imagem abaixo:







Verificamos que o arquivo “qdrpnfuy.js”, descrito na imagem acima, tinha associação com o JS.Proslikefan.B. O JS.Proslikefan.B é um worm que se espalha através de JavaScript e unidades removíveis. Ele também pode baixar arquivos adicionais e roubar informações no host infectado.

Ao ser executado, uma das características do worm é copiar-se para os seguintes locais:
· % DRIVELETTER%:. \ trashes \ [valor calculado] \ [valor calculado] .js
· % USERPROFILE% \ Local Settings \ Temp \ [valor calculado] .js
· % UserProfile% \ [valor calculado] .js
· % USERPROFILE% \ AppData \ Roaming \ [valor calculado] .js

Na máquina infectada o caminho escolhido foi: %USERPROFILE%\AppData\Roaming\skkyww\ qdrpnfuy.js.

Causa do problema
Nesse caso, a máquina em questão não acessa a internet. O worm foi transmitido através de Pen Drive já infectado. O Antivírus instalado na máquina não detectou o worm porque estava desatualizado.Solução
Solução
O problema foi resolvido apagando todos os arquivos relacionados ao WORM e em seguida aplicamos a seguinte solução no pendrive:

1. Plugar o Pen drive em uma máquina e executar o Antivírus direto no pen driver;
2. Abrir o prompt de comando como Administrador, clicar em Iniciar e escrever "CMD.exe" clicar com o lado direito do mouse e escolher a opção "Executar como Administrador"
3. No prompt de comando, escrever: attrib -h -r -s /s /d X:\*.*

Vide imagem abaixo:
Você deve substituindo o X pela letra que está representando seu pen driver no computador.

LEIA-ME

Criar ferramentas e scripts que facilitam seu trabalho no dia a dia, solucionar problemas, documentar tudo e criar o passo a passo de como resolver, é uma tarefa que requer tempo e disposição. Por esse motivo, precisamos de sua contribuição.




Apesar de não ser obrigatória, a sua doação é muito importante para continuarmos criando ferramentas, scripts e procedimentos!
Com sua contribuição manteremos o funcionamento e desenvolvimento dessas e outras soluções.