Alerta de vírus – Remova as infecções ree1.exe, ree2.exe e ree3.exe
Disse que entraria de férias do mundo virtual, mas volto para tentar diminuir os transtornos que um malware vem causando nos últimos dias.
Sabe aquelas mensagens (recados, scraps) que você têm recebido convidando para entrar em comunidade, ver cartão de Natal, etc? Pois bem, a maioria é vírus – para não dizer todos -.
Veja abaixo alguns exemplos, entre aspas (em seguida, saiba como remover a infecção):
1.
“Fulano ,
Oi tudo bem? faz um favor pra mim..?? entra nessa comu e vote na minha foto!?! por favor é rapidinho! vc também está concorrendo pra capa dessa comu não sei se vc já viu!??
****://www.orkut.com.br/Main#Community.aspx?cmm = 165439344”
O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //freedx01.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece um pequeno texto e abaixo um pedido pra votar numa foto, porém ao clicar o usuário é redirecionado para o site ****://tinyurl.com/5odm8f (URL denunciada e removida), que instala o malware.
2.
“Fulano ,
Oi tudo bem?
faz um favor pra mim..??
entra nessa comu e vote na minha foto!?!
por favor é rapidinho!
vc também está concorrendo pra capa dessa comu não sei se vc já viu!??
****://www.orkut.com.br/Main#Community.aspx?cmm = 165439344”
O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //xnewx01.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece o pedido “CLIQUE AQUI” “Para visualizar a foto e votar”, porém ao clicar você é redirecionado para o site ****://tinyurl.com/6t7jcn, que baixa o “fotos37.scr”, típica extensão de vírus.
O falso link de comunidade também nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //fotoyvip.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece o pedido “CLIQUE AQUI” “Para visualizar a foto e votar”, porém ao clicar você é redirecionado para o site ****://tinyurl.com/78u9wa, que baixa o “fotos306.scr”, típica extensão de vírus.
O falso link de comunidade ainda nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //blackorkx001x.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece o pedido “CLIQUE AQUI” “Para visualizar a foto e votar”, porém ao clicar você é redirecionado para o site ****://tinyurl.com/4ynq54, que baixa o “fotos51.scr”, típica extensão de vírus.
3.
“To deixando esse cartão de natal antecipado
Até achar um presente pra vc
É a sua cara rsrsrsrs
Ver Cartão Animado
[FELIZ NATAL PARA VC Q E MEU AMIGO OU AMIGA]
****://www.CartoesNatal.Net/OrkutEngracados”
O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //webamizades06.blogspot.com/feeds/posts/default, que abre um feed. Nele existe uma grande ilustração com o pedido “Abrir Recado”, porém ao clicar você é redirecionado para o site ****://www.novostop.kit.net, que baixa o “videos.scr”, típica extensão de vírus.
4.
“Passei so pra deixar um cartão
E sua cara rsrsrs
ja antecipando o natal xau xau
Ver Cartão Animado
****://www.Animania.Net/OrkutGifs”
O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //cartaonatalfeliz.blogspot.com/feeds/posts/default, que abre um feed. Nele existe uma grande ilustração com um pedido para “Abrir” e “Ver Cartão de Natal”, porém ao clicar você é redirecionado para o site ****://www.cardevirtual.kit.net, que baixa o “cardvirtual.scr”, típica extensão de vírus.
5.
“Oi joia fiz esse cartao pra vc
abri uma piada que a sua cara kkkkkk
Veja Aqui Seu Cartão
****://www.orkut-girf.br.zipcard.net”
O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = //dogcartao.blogspot.com/feeds/posts/default, que abre um feed. Nele existe uma grande ilustração com o pedido “Abrir Recado”, porém ao clicar você é redirecionado para o site ****://www.amoreco0.kit.net, que baixa o “amizade.scr”, típica extensão de vírus.
Muitas outras amostras eu poderia expor, entretanto essas são suficientes para caracterizar o problema.
Para solucionar o caso, não encontrei nenhuma ferramenta que automatize o processo, mas o passo a passo manual é bem simples:
- Copie esta postagem no editor de textos de sua preferência;
- Feche seu(s) navegador(es): Mozilla Firefox, Internet Explorer, Chrome, entre outros;
- Aperte simultaneamente as teclas Ctrl + Alt + Del (Delete);
- O “Gerenciador de tarefas do Windows” deverá abrir na aba “Aplicativos”, clique na que possui o nome “Processos”, localize, observando a coluna “Nome da Imagem”, os processos “ree1.exe”, “ree2.exe” e/ou “ree3.exe”;
- Individualmente, clique sobre cada um e aperte no botão “Finalizar processo”, que fica na parte inferior dessa mesma tela;
- Abra o “Meu computador”, aperte F3 para abrir a pesquisa do Windows, selecione na coluna à direita “Todos os arquivos e pastas”, no campo “Todo ou parte do nome do arquivo” digite “ree” (sem aspas), então clique em “Mais opções avançadas”, marque as opções “Pesquisar pastas do sistema” e “Pesquisar arquivos e pastas ocultos”, e aperte no botão “Pesquisar”;
- Concluída a pesquisa, clique com o botão direito do mouse sobre um dos arquivos encontrados (ree1, ree2 ou ree3) e depois em “Abrir pasta recipiente” ou “Abrir local do arquivo”;
- Na pasta recipiente deverá ter todos os arquivos resultantes na pesquisa, portanto selecione-os e exclua-os;
- Clique com o botão direito do mouse sobre a Lixeira e escolha “Esvaziar lixeira”;
- Vá em Iniciar > Executar > digite “msconfig” (sem aspas) e aperte no botão “OK” para abrir o “Utilitário de configuração do sistema”. Na guia “Inicializar” retire da inicialização os arquivos com os nomes já citados.
- Após as alterações é só clicar no botão “OK”. Irá aparecer uma janela perguntando se você deseja reiniciar o computador. Salve algum trabalho que tenha deixado aberto e reinicie a máquina.
- Quando entrar novamente no Windows aparecerá uma janela de aviso, informando que foram feitas alterações na inicialização do sistema. Marque a opção “Não mostre esta mensagem ou iniciar o utilitário de configuração do sistema ao iniciar o Windows” e aperte no botão “OK” para fechar. Caso não marque esta opção, ao clicar no botão “OK” irá abrir o utilitário e toda vez que iniciar o sistema esta mensagem surgirá.
- Pode entrar no Orkut normalmente, mas lembre-se de não clicar em links suspeitos. Confira sempre se o endereço que aparece na mensagem (apenas colocando o mouse em cima do link) é o mesmo exibido na barra de status do navegador. Não sendo, clique apenas com a autorização do seu amigo (ainda desconfiando dela).
Nunca abra ou salve arquivos com extensão “.scr”. Ela é utilizada pelos protetores de tela (screensavers) do Windows, mas é também o principal formato para disseminação de vírus. Quer segurança? Fique longe deles!
Reafirmo. Em todas as mensagens falsas citadas acima ocorreram vários redirecionamentos e levaram o usuário a executar arquivos “.scr” (poderia ser “.exe”, “.com”, “.bat”, etc.). Sempre desconfie disso. - Recomendo utilizar a ferramenta disponibilizada pelo portal Linha Defensiva, chamada BankerFix. Ela pode ser baixada no endereço //www.linhadefensiva.org/dl/bankerfix, havendo informações adicionais em //www.linhadefensiva.org/bankerfix/;
- Persistindo os sintomas, marque uma visita com um técnico de sua confiança.
Faça sua parte e contribua para uma navegação segura.
PS.: Os passos indicados são baseados no Windows XP, mas devem funcionar também no Windows Vista. Apesar de não utilizar aquele sistema, nem tê-lo instalado, creio que seja o mais afetado pela praga.