Eu fui na minha sogra hoje e lá estava o meu cunhado todo cabreiro com uma risada satânica que ocorria toda vez que ele tentava entrar no Orkut. A mensagem era precedida de uma janela de alerta com um comentário irônico que não me lembro mais. Só me lembro do finalzinho, que era algo tipo “Muahahahahahahahah”, este é o nome que pegou para este virus. Virus Muahaha.
EDITADO : O Rafael Sobral deu uma dica boa para resolver mais facilmente: baixe este programa que ele deleta o virus e limpa as cagadas todas
Pesquisei uma maneira de ajudar meu cunhado e descobri a solução (trabalhosa) no blog do Aguinelo Pedroso .
Como é assunto de utilidade pública, resolvi postar aqui para caso alguém tenha a maquina possuída, digo, infectada pelo tal Muahaha.
A alguns dias vi pela primeira vez a atuação do mais novo vírus que tem se tornado o terror dos amantes do Orkut e Youtube o W32.USB Worm (também conhecido por MUHAHAHA!!), um vírus que se propaga através de dispositivos USB e pode atingir pen-drives, flash-disks e até câmeras digitais e celulares. O danadinho simula a execução do serviço svchost.exe do Windows e só afeta o IE, mas para leigos causa uma enorme dor de cabeça.
O MUHAHAHA!! tem esse apelido pois mostra a mensagem:
Orkut is banned you fool, The administrators didnt write this program guess who did?? MUHAHAHA!!” with title ORKUT IS BANNED
Seguida de uma risada redícula sinistra e fecha o IE.
O vírus aparentemente é tão novo que nem o Panda Antivírus (o melhor no mercado na minha humilde opinião) (OBS: Isso na opinião do Aguinelo Pedroso, na minha -Philipe - o melhor é o Kaspersky) conseguiu detectá-lo, então o jeito é remover no braço mesmo, então vamos lá:
Esse vírus se aloja no seu disco no diretório C:\heap41a, você pode achar que não, mas ele está lá, não adianta mandar mostrar as pastas ocultas que nem assim verá, somente abrindo qualquer janela do Windows e digitando o caminho e apertando Enter. Assim você verá todos os arquivos do vírus inclusive o svchost.exe que simula o do Windows.
O primeiro passo é apertar Crlt + Alt + Del, ir até a aba processos e “matar” o processo svchost.exe cujo o nome de usuário é o atual logado. CUIDADO para não matar o processo errado, pois este processo pode pertencer também ao LOCAL SERVICE, NETWORK SERVICE, SYSTEM entre outros. Certifique-se de estar matando o processo pertencente ao seu usuário logado, ele pode retornar então certifique-se de ter finalizado todos os processos svchost.exe pertencentes ao seu usuário.
O segundo passo é deletar a pasta do vírus, a melhor maneira de fazer isto é indo até o menu iniciar > executar e digitar cmd para iniciar o prompt de comando do DOS, então digite:
rmdir C:\heap41a
Com isso a pasta foi para o espaço, etnão vamos ao terceiro passo que é editar o registro do Windows, para fazer isto vá até o menu iniciar > executar > digite regedit, então o editor de registro do Windows será aberto vá em editar > localizar (ou aperte Ctrl + F) , digite heap41a e mande pesquisar, deve ser retornada uma entrada semelhante a:
C:\heap(algun numero)\std.txt
Delete esta entrada e feche o editor de registro.
Estes passos são suficientes para banir de vez o vírus de sua máquina.
O virus ainda causa um efeito colateral no funcionamento do Windows. Os arquivos ocultos passam a ser eternamente ocultos mesmo. A solução para isso é a seguinte:
Quando o vírus se aloja na máquina ele altera uma chave de registro do sistema e desabilita a visualização das pastas e arquivos ocultos, então vamos habilitar esta opção em qualquer janela do Windows Explorer no menu Ferramentas / Opções de pasta… / Modo de exibição, marque a opção “Mostrar pastas e arquivos ocultos”. Este é o procedimento padrão para habilitar a visualização, porém depois da infecção ela deixa de funcionar, então precisamos alterar uma chave de registro no Windows manualmente. Com essa opção marcada faça o seguinte: Vá ao Menu Iniciar / Executar e digite regedit, será aberto o editor de registro do Windows, então navegue até o seguinte caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALLDentro do “diretório” SHOWALL há uma chave chamada CheckedValue que deve estar com o valor “0? ou “00000000?, de 2 cliques nesta chave e altere seu valor para “1?, isso deve resolver o problema e habilitar novamente a visualização dos arquivos.
NOTA: Se a chave CheckedValue conter qualquer valor diferente de “1?, altere-a para “1? que é o valor padrão definido pela Microsoft.
Se este passo-a-passo para a remoção da risada do capeta da sua maquina foi útil, vá lá no site do Aguinelo Pedroso e agradece a ele.
Não sei se você atentou para a pequena particularidade de que só acontece isso no INTERNET EXPLORER.
Eu já falei, já dei conselho. Não custa falar novamente. LARGA ESTA MERDA DE NAVEGADOR, MANÉ!
Instale o Firefox, navegue muito mais rápido, tenha menos problemas, veja os sites da maneira certa e EVITE este tipo de perrengue. O Firefox É DE GRAÇA. Tudo que você tem a fazer é clicar, baixar e testar. Se gostar, faça como todo mundo que entende de computador. Use um navegador melhor.
24 Comentaram sobre “Virus que bloqueia Orkt - como remover”
dê sua opinião
Seu comentário pode ser apagado ou moderado se:
December 21st, 2007 at 9:29 pm
Eu navego com o Opera 9.25 (ultimo)
e na boa… pra mim o melhor.
utilizo o k-meleon as vezes, ele eh muito rápido e prático, porém, acostumado com o opera…
December 22nd, 2007 at 12:46 am
Tem uma maneira muito mais simples de matar esse vírus.
Na verdade ele é um rootkit, instale e execute o AVG anti-rootkit que ele vai remover completamente esse bicho.
December 22nd, 2007 at 12:10 pm
Boa dica.
Victor tb uso o Opera. Muito bom mesmo. Mas uso ele mais para ver sacanagem.
December 22nd, 2007 at 3:25 pm
Olha eu peguei esse vírus, tem certas coisas equivocadas no seu texto.
Eu tbm odeio o IE, porem o vírus não deixa vc usar o Firefox, e manda uma mensagem mais ou menos assim [em inglês], “Não que eu tenha nada contra o Mozilla porem use o Internet Explore”. Isso já fodeu com a minha vida.
Odeio o IE muito mesmo, so de pensar na ideia de usar o IE pensei em formatar o comp. inteiro.
Resolvi então procurar via IE >=/ uma forma de retirar o virus, porem esse virus reconhece qndo vc escreve, ou v escrito numa pagina a palavra Orkut e Youtube, dai da forma q vc postou a forma de tirar ninguem q tenha o virus vai consegui ver com o comp. infectado, mas dei a sorte de uma dessas pessoas q postou o antivirus escrever orkut de maneira errada escrevendo somente “Orkt”, o q foi minha salvação.
Nessa pagina ele deu a mesma forma que vc para retirar o virus porem achei muito complica (preguiça somente), mas ele deu outra forma de tirar q seria nada menos q um programa q tira o vírus automaticamente, vc so tem o trabalho de apertar um botão.
Se quiser postar esse antivirus posso te passa-lo pois ainda o possuo.
Vlw pela ultilidade.
Abraço
IE Never
December 23rd, 2007 at 10:15 am
OI Rui, como eu uso firefox, e não peguei o virus, não sabia que ele bloqueia o Firefox. O jeito é não usar o IE mesmo. Eu coloquei o link para o anti rootkit que o Rafael Sobral indicou ali no texto. deve ser o mesmo programa que vc usou.
valeu
December 24th, 2007 at 9:10 am
Muito bom, obrigado por ter mantido o link pro meu Blog.]
Quando eu escrevi esse post ainda não existia nenhuma ferramenta de remoção, fazia 3 dias que tinha aparecido essa tranqueira ai. Realmente o RootKit da AVG já está removendo satisfatoriamente o maldito
Abraço
January 1st, 2008 at 10:05 pm
Esse vírus se aloja no seu disco no diretório C:\heap41a, você pode achar que não, mas ele está lá, não adianta mandar mostrar as pastas ocultas que nem assim verá, somente abrindo qualquer janela do Windows ( Abra o explorar com botão direito do mouse em iniciar e então lá no campo endereço digite C:\heap41a e aperte o enter) . Assim você verá todos os arquivos do ví¬rus inclusive o svchost.exe que simula o do Windows.
O primeiro passo é apertar Crlt + Alt + Del, ir até a aba processos e “matar” o processo svchost.exe cujo o nome de usuário é o atual logado ( o nome o qual vc entra no computador e apague somente os que estão com esse nome de usuário). CUIDADO para não matar o processo errado, pois este processo pode pertencer também ao LOCAL SERVICE, NETWORK SERVICE, SYSTEM entre outros. Certifique-se de estar matando o processo pertencente ao seu usuário logado, ele pode retornar então certifique-se de ter finalizado todos os processos svchost.exe pertencentes ao seu usuário.
O segundo passo é deletar a pasta do vírus, a melhor maneira de fazer isto é indo até o menu iniciar > executar e digitar cmd para iniciar o prompt de comando do DOS, então digite:
rmdir C:\heap41a
Com isso a pasta foi para o espaço, etnão vamos ao terceiro passo que é editar o registro do Windows, para fazer isto vá até o menu iniciar > executar > digite regedit, então o editor de registro do Windows será aberto vá em editar > localizar (ou aperte Ctrl + F) , digite heap41a e mande pesquisar, deve ser retornada uma entrada semelhante a:
C:\heap(algun numero)\std.txt
Delete esta entrada e feche o editor de registro.
Estes passos são suficientes para banir de vez o vírus de sua máquina.
January 3rd, 2008 at 11:55 am
vlwww me ajudo muitoo!!
obrigadoooo!!
January 4th, 2008 at 10:14 pm
January 7th, 2008 at 3:48 pm
tem um outro tbm muito bom
o Ad-ware 2007 tbm remove ele!
tem no baixaki1
abraço
March 16th, 2008 at 4:34 pm
March 21st, 2008 at 11:36 am
tenho um virus no meu computador e ja passei varius antivirus mas nao resolve. Ele bloqueia o meu gerenciador de tarefas, Ctrl+Alt+Del e o gerenciador vem e vai no mesmo instante. O que eu faço?!
March 22nd, 2008 at 11:17 am
Cara entra no forum Linha defensiva e pede ajuda lá. Os cabeçudos lá conseguirão tirar até encosto do seu computador, hehehe.
http://linhadefensiva.uol.com.br/
April 17th, 2008 at 3:22 pm
Peguei essas dicas, muito boas. Tenho dois clientes com esse virus de orkut e you tuber. To indo la agora, vamos ver se adianta. Valeu a dica. Abraços…
April 23rd, 2008 at 8:54 am
April 27th, 2008 at 11:29 am
Eu peguei esse vírus, mas faz um tempo! Vc eskeceu de mencionar que ele blokeia o Mozilla Firefox! Eu fui entrar no mozilla ai disse em ingles, mais ou menos assim, “Sorry, i don’t hate Firefox, but use IE”.
Ai fexava o firefox, ai quando fui entrar no orkut no IE, deu a msg com risada. Baixei o HijackThis, vi o log. Vi o processo estranho, e vi que ele estava na pasta C:\heap41a. Terminei o processo e so fiz digitar o caminho da pasta, e exclui o vírus. ^^
April 28th, 2008 at 7:31 am
Eu nem sabia que ele bloqueava o firefox, porque quem pegou isso foi meu cunhado que só usa explorer. Ao que parece o virus entra via explorer. É por isso que ele bloqueia o firefox, pq no firefox você conseguiria usar os sites em problema. Aí o jeito que o criador do virus encontrou foi limitar o acesso ao programa via alguma dll de inicialização. Eu que só uso Firefox e ópera nunca peguei esse virus.
Então fica a dica aí, se seu firefox esta bloqueado pelo virus, faça ctrl+alt+del e finalize o processo estranho, depois entre na pasta e mate o arquivo lá dentro. Aí entre com o firefox e baixe o antivirus, pois naturalmente este virus deve abrir varias portas na maquina para outros virus.
July 30th, 2008 at 10:19 pm
Este virus se propaga via usb, ele pega em pen drives, celulares e maquinas digitais não tem nada a ver com o IE
August 23rd, 2008 at 9:21 am
Por incrivel que pareça, peguei esse virus qdo meu pai mandou formatar o pc O_O eu ia formatar mas tinha q viajar e tal…
ae liguei na loja q formataram eles falaram q nao sabiam de nada q tinham formatado certo x.x
August 23rd, 2008 at 12:03 pm
Naturalmnete neguinho safado nessa loja “pintou os canecos” com seu pc
August 23rd, 2008 at 9:42 pm
Eu acho que o rootkit é mais uma deixa para os vendedores de antivirus aumentarem suas vendas….
August 25th, 2008 at 10:01 pm
cara como o cara lah de cimao eu tbm uso o opera (no momento usando o firefox, pq sei lah), sempre oiei o firefox, parece coisa de pobreeu axo. mais eh isso e deus a bençoe esse cara que fez esse tuto ai pq soh de escrver esse post eu jah to cansado
November 8th, 2008 at 7:45 am
Cara valeu o Anti-Rootkit do avg axou um no meu IE e tbm ele fez que não deixa-se que instala-se outro programa no meu pc quase eu ia reformatar ele mas pode deletar ele da pasta windows? pq foi infectado na minha pasta do WIN XP SP 2. Valeu eu agurado a resposta.
November 29th, 2008 at 2:12 pm