Há alguns dias vi pela primeira vez a atuação do mais novo vírus que tem se tornado o terror dos amantes do Orkut e Youtube o W32.USB Worm (também conhecido por MUHAHAHA!!), um vírus que se propaga através de dispositivos USB e pode atingir pen-drives, flash-disks e até câmeras digitais e celulares. O danadinho simula a execução do serviço svchost.exe do Windows e só afeta o IE, mas para leigos causa uma enorme dor de cabeça.
O MUHAHAHA!! Tem esse apelido pois mostra a mensagem:
Orkut is banned you fool, “The administrators didnt write this program guess who did?? MUHAHAHA!!” with title ORKUT IS BANNED
Seguida de uma risada ridícula sinistra e fecha o IE.
O vírus aparentemente é tão novo que nem o Panda Antivírus (o melhor no mercado na minha humilde opinião) conseguiu detectá-lo, então o jeito é remover no braço mesmo, então vamos lá:
Esse vírus se aloja no seu disco no diretório C:\heap41a, você pode achar que não, mas ele está lá, não adianta mandar mostrar as pastas ocultas que nem assim verá, somente abrindo qualquer janela do Windows e digitando o caminho e apertando Enter. Assim você verá todos os arquivos do vírus inclusive o svchost.exe que simula o do Windows.
O primeiro passo é apertar Crlt + Alt + Del, ir até a aba processos e “matar” os processos svchost.exe cujo nome de usuário é o atual logado clicando com o botão direito em cima e escolhendo a opção “Finalizar arvore de processos”. CUIDADO para não matar o processo errado, pois este processo pode pertencer também ao LOCAL SERVICE, NETWORK SERVICE, SYSTEM entre outros. Certifique-se de estar matando o processo pertencente ao seu usuário logado, ele pode retornar então se certifique de ter finalizado todos os processos svchost.exe pertencentes ao seu usuário.
O segundo passo é deletar a pasta do vírus, a melhor maneira de fazer isto é indo até Meu computador (tecla win+letra “e” no teclado ao mesmo tempo) (ou de qualquer outra forma que você saiba) e procurar em C:\ a pasta ”heap41a”. Localizada a pasta pressione a tecla (shift+del) e apague esta pasta.
Com isso a pasta foi para o espaço, então vamos ao terceiro passo que é editar o registro do Windows, para fazer isto vá até o menu iniciar > executar > digite regedit, então o editor de registro do Windows será aberto vá em editar > localizar (ou aperte Ctrl + F) , digite heap41a e mande pesquisar, deve ser retornada uma ou duas entradas semelhantes a:
C:\heap(algum numero)\std.txt
Delete estes da entrada e feche o editor de registro.
Estes passos são suficientes para banir de vez o vírus de sua máquina.
