O leitor do How-To Geek Kan escreveu com um guia completo para se livrar do vírus wmpscfgs.exe desagradável, e concluímos que deveríamos apenas compartilhá-lo com todos, apenas no caso de mais alguém encontrar o mesmo problema no futuro.
Observe que este é um guia específico para se livrar de um vírus específico e foi testado por um leitor específico. Não testamos essas etapas pessoalmente.
Sintomas do vírus wmpscfgs.exe
- Se você tiver um software Malwarebytes ou Superantispyware, esses caras irão detectá-lo em cada varredura e tentar remover o vírus. Mas o vírus só voltará após uma reinicialização. Mesmo uma inicialização em modo de segurança (com ou sem rede) não funcionará.
- Um aviso sobre o IE não ser seu navegador padrão sempre aparecerá, mesmo sem clicar ou abrir o IE. Eu não aconselharia clicar em sim ou não nele. Basta mover a janela em um dos cantos do monitor e ver a solução abaixo.
- O UAC do Windows se comportará mal e continuará perguntando se você deseja executar um programa de inicialização executado anteriormente. Isso me entregou o vírus, portanto, começo a escanear e investigar. Se você tentar permitir um, o UAC será desabilitado. Estranhamente, se você ativou, o Windows não solicita que você reinicie, o que também é uma indicação de que algo está errado! Já que alterar as configurações do UAC, com certeza será necessário reiniciar.
- O Microsoft Security Essentials detectará se seus programas de inicialização (software antivírus, software anti-spyware / malware etc. são vírus) e os sinalizará como vírus. Outra revelação de que algo está terrivelmente errado!
Se você tiver os sintomas acima, provavelmente tem o vírus que tive ontem. Aqui está o que você pode fazer para se livrar dele. Não se preocupe em digitalizar, pois os scanners não podem resolver totalmente o seu problema e podem corromper seus aplicativos.
- Inicialize no modo de segurança. A razão para isso é que no modo de segurança não há muitos processos em execução. Você precisa desta configuração na etapa 9 abaixo, pois esse vírus é desagradável.
-
Abra o Windows Explorer e vá para Ferramentas -> Opções de pasta.
uma. Certifique-se de que o seguinte está MARCADO -> Mostrar arquivos e pastas ocultos
b. Certifique-se de que os itens a seguir estejam Desmarcados -> Ocultar extensões para tipos de arquivo conhecidos -
Vá para os seguintes diretórios (para o Vista Home Premium):
C: \ Arquivos de programas \ Internet Explorer
C: \ Users \ user \ AppData \ Local \ Temp
E você verá lá um arquivo chamado wmpscfgs.exe. Exclua-os. - Abra o seu gerenciador de tarefas, certifique-se de que "mostrar todos os processos" esteja marcado e procure o mesmo processo. Se estiver funcionando. Mate isso.
Iniciando esta parte, as etapas requerem mais experiência técnica. Se você não se sentir confortável em seguir as etapas abaixo, procure alguém que possa ajudá-lo.
- Abra o regedit e vá para: HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Executar
- Procure a entrada Adobe_reader com dados: “ % ProgramFiles% \ Internet Explorer \ wmpscfgs.exe “. Delete isso. Para mim, a partir deste ponto, quase todas as coisas escritas na NET atualmente não têm as etapas abaixo. E é a razão pela qual esse vírus continua voltando.
- Esperamos que você não tenha muitos aplicativos em “HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Executar”. Porque você tem que visitar cada um deles literalmente, porque esse vírus sequestra quase todos os aplicativos da lista RUN acima.
-
Basicamente, ele renomeia o arquivo exe antigo de “mcagent.exe” para “mcagent .exe”. Com um espaço entre o nome do arquivo e o “.exe” ou extensão. Em seguida, ele criará uma cópia de si mesmo com o mesmo nome do arquivo executável para que, quando alguém executar o seu arquivo, o vírus seja executado primeiro e depois o seu arquivo. Ele fará isso para todos os aplicativos que você tiver em sua lista de execução.
Portanto, se você for ao local, digamos, do aplicativo McAfee mcagent.exe, verá de dois a três arquivos quase com o mesmo nome:
- mcagent.exe -> que é um arquivo de 39 KB, criado muito recentemente e que é o vírus que continua adicionando esse arquivo wmpscfgs.exe.
- mcagent .exe -> o arquivo mcagent original, renomeado.
- mcagent.exe.delme <algum número aleatório> -> exclua este também. Eu não vejo isso ocorrendo todas as vezes, mas eu vi alguns aplicativos com este arquivo neles e criados muito recentemente.
-
Você precisa primeiro matar o processo correspondente do arquivo infectado se eles estiverem sendo executados no gerenciador de tarefas, remover manualmente o arquivo .exe existente que tem cerca de 39 KB e renomear o arquivo executável antigo para o nome anterior. Repita isso para cada aplicativo que você tiver na lista de execução acima. A única coisa que vi que esse vírus não infectou foi o aplicativo Windows Defender. O resto da minha lista de execução estava ferrado. Desinstalá-los e reinstalá-los não ajuda, pois o antigo arquivo exe de Trojan será mantido no diretório do aplicativo.
Esse é o motivo pelo qual o Microsoft Security Essentials reclama que seus arquivos executáveis de inicialização são vírus.
- Depois de verificar se cada aplicativo em sua lista de execução foi restaurado. Para ter certeza de que você não tem nenhum desses arquivos remanescentes em seu sistema, faça uma pesquisa de unidade por qualquer arquivo que tenha 39KB e tenha sido criado recentemente e examine cada um cuidadosamente se eles são apenas cópias de seu arquivo executável original . Siga a etapa 7 para cada ocorrência dele. Até agora, só vi esse vírus anexar-se a arquivos executáveis.
- Se você quiser ter 100% de certeza, a próxima coisa que precisa fazer é verificar cada processo em execução em seu gerenciador de tarefas se eles são legítimos. Alguns processos, especialmente aqueles iniciados pelo sistema, não serão capazes de levá-lo ao seu arquivo de processo, está tudo bem, mas a maioria deles se você clicar com o botão direito neles, você verá uma opção chamada “Open File Location”. Em seguida, siga as etapas 7 acima.
- Reinicie e pronto!
Obrigado ao leitor Kan por escrever este guia, e espero que ajude mais alguém!
