Como se livrar do vírus wmpscfgs.exe, um guia leitor contribuído
How-To Geek leitor Kan escreveu com um guia completo para se livrar do vírus wmpscfgs.exe desagradável, e achamos que devemos apenas compartilhar com todos, apenas no caso de alguém se depara com o mesmo problema no futuro.
Observe que este é um guia específico para se livrar de um vírus específico e foi testado por um leitor específico. Nós não testamos essas etapas pessoalmente.
Sintomas do vírus wmpscfgs.exe
- Se você tiver o software Malwarebytes ou Superantispyware, esses caras irão detectá-lo em cada varredura e tentarão remover esse vírus. Mas o vírus só voltará depois de uma reinicialização. Mesmo uma inicialização em modo seguro (com ou sem rede) não funcionará.
- Um aviso sobre o IE não ser seu navegador padrão sempre aparece sem clicar nem abrir o IE. Eu não aconselharia clicar em sim ou não nele. Basta mover a janela em um dos cantos do seu monitor e ver a solução abaixo.
- O Windows UAC se comportará mal e continuará a perguntar se você deseja executar um programa de inicialização executado anteriormente. Isso me deu o vírus para mim, portanto, eu começo a escanear e investigar. Se você tentar permitir um, o UAC será desativado. Curiosamente, se você ativou, o Windows não solicita que você reinicie o que também é uma indicação de que algo está errado! Como mudar as configurações do UAC definitivamente pedirá uma reinicialização.
- O Microsoft Security Essentials detectará que seus programas de inicialização (software antivírus, software anti-spyware / malware, etc. são vírus) e o sinalizarão como um vírus. Outra oferta de que algo está terrivelmente errado!
Se você tem os sintomas acima, você praticamente tem o vírus que eu tive ontem. Aqui está o que você pode fazer para se livrar dele. Não se preocupe com a digitalização, pois os scanners não podem resolver totalmente o problema e acabarão corrompendo seus aplicativos.
- Inicialize no modo de segurança. A razão para isso é que no modo de segurança não há muitos processos em execução. Você precisa dessa configuração na etapa 9 abaixo, já que esse vírus é desagradável.
- Abra o Windows Explorer e vá para Ferramentas -> Opções de pasta .
uma. Verifique se o seguinte está escrito -> Mostrar arquivos e pastas ocultos
b. Certifique-se de que o seguinte seja UNticked -> Hide Extensions para tipos de arquivo conhecidos - Vá para os seguintes diretórios (isto é para o Vista Home Premium):
C: \ Arquivos de Programas \ Internet Explorer
C: \ Usuários \ usuário \ AppData \ Local \ Temp
E você verá lá um arquivo chamado wmpscfgs.exe. Exclua-os. - Abra o gerenciador de tarefas, verifique se 'mostrar todos os processos' está marcado e procure o mesmo processo. Se estiver em execução. Mate isso.
A partir dessa parte, as etapas precisam de mais experiência técnica. Se você não estiver confortável em seguir os passos abaixo, procure alguém que possa ajudá-lo.
- Abra o regedit e vá para: HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Run
- Procure pela entrada do Adobe_reader com dados: “% ProgramFiles% \ Internet Explorer \ wmpscfgs.exe“. Delete isso. Para mim, a partir deste ponto, quase todas as coisas escritas no NET atualmente não têm os passos abaixo. E é por isso que esse vírus continua voltando.
- Espero que você não tenha muitos aplicativos em "HKLM-> Software -> Microsoft -> Windows -> CurrentVersion -> Executar". Porque você tem que visitar cada um deles, literalmente, porque este vírus seqüestra quase todas as aplicações na lista RUN acima.
- Basicamente, ele renomeia o antigo arquivo exe de "mcagent.exe" para "mcagent .exe". Com um espaço entre o nome do arquivo e o “.exe” ou extensão. Em seguida, ele criará uma cópia de si mesmo com o mesmo nome de arquivo do arquivo executável, para que, quando alguém executar o arquivo, o vírus seja executado primeiro e, em seguida, o arquivo. Ele fará isso para todos os aplicativos que você tiver na sua lista de execução.
Assim, se você vai para o local de dizer do aplicativo McAfee mcagent.exe você verá dois ou três arquivos com quase o mesmo nome de arquivo:
- mcagent.exe -> que é um arquivo de 39 KB, e muito recentemente criado e que é o vírus que continua adicionando de volta o arquivo wmpscfgs.exe.
- mcagent .exe -> o arquivo mcagent original, renomeado.
- mcagent.exe.delme -> delete este também. Eu não vejo isso ocorrendo todas as vezes, mas eu vi alguns aplicativos com este arquivo neles e muito recentemente criado.
- Primeiro você precisa matar o processo correspondente do arquivo infectado, se eles estiverem sendo executados no gerenciador de tarefas, remover manualmente o arquivo .exe existente, que é de aproximadamente 39 KB e renomear seu arquivo executável antigo para o nome do arquivo anterior. Repita isso para cada aplicativo que você tem na sua lista Executar acima. A única coisa que vi este vírus não infectar foi o aplicativo de defesa do windows. O resto da minha lista de Run foi aparafusado. Desinstalar e reinstalá-los não ajuda, assim como o antigo arquivo exe Trojan será mantido no diretório do aplicativo.
Esta é a razão pela qual o Microsoft Security Essentials estava reclamando que seus arquivos executáveis de inicialização são vírus.
- Depois de verificar se cada aplicativo em sua lista de execução foi restaurado. Para ter certeza absoluta de que você não possui nenhum desses arquivos em seu sistema, faça uma pesquisa por qualquer arquivo que tenha 39 KB e tenha sido criado recentemente e examine cada um com cuidado se forem apenas cópias de seu arquivo executável original. . Siga o passo 7 para cada ocorrência dele. Até agora, eu só vi esse vírus se anexar em arquivos executáveis.
- Se você quer ter 100% de certeza, a próxima coisa que você precisa fazer é checar cada processo em execução no seu gerenciador de tarefas se eles forem legítimos. Alguns processos, especialmente aqueles iniciados pelo sistema, não serão capazes de levá-lo ao seu arquivo de processo, ok, mas a maioria deles se você clicar com o botão direito neles, você verá uma opção chamada “Open File Location”. Em seguida, siga as etapas 7 acima.
- Reinicie e é isso!
Obrigado ao leitor Kan por escrever com este guia, e espero que ajude alguém!