Removendo vírus manualmente

Nem sempre o Antivírus consegue lidar com um vírus. Ás vezes, mandamos deletá-lo mas após reiniciarmos o vírus novamente está lá.

Nestes casos, o que podemos fazer é hibernar o vírus. Se tivermos sorte, podemos deletá-lo.

Desabilitando a Restauração do Sistema

O Antivírus detectou um vírus e escolhemos deletá-lo. Mas após reiniciarmos o computador, novamente o Antivírus soa o alarme pelo mesmo vírus. Mas como?

Os vírus voltam por que o Windows possuí um recurso chamado Restauração do Sistema. Toda vez que modificamos o computador (instalamos um programa, por exemplo) o Windows faz uma cópia do estado atual do sistema.

Com isso, caso o programa cause problemas, o Windows pode automaticamente repor os arquivos que foram modificados/deletados pelos arquivos que existiam antes do programa ser instalado.

Os vírus se aproveitam deste recurso salvando os arquivos infectados na Restauração do Sistema. Quando o Windows identifica que os arquivos foram modificados, ele restaura a cópia do arquivo salva na Restauração do Sistema, que possui o arquivo infectado.

O Antivírus detecta esta ação e soa o alarme.

Para podermos desabilitar este recurso (podemos habilitá-lo mais tarde, após a remoção do vírus), abra o Menu iniciar. Dê botão direito em Computador e clique em Propriedades.

NOTA: Caso possua o Windows 8, pressione as teclas [Windows] + [Pause Break] ou acesse as propriedades do sistema em Painel de Controle > Sistema.

Na Barra Lateral Esquerda, clique em Configurações avançadas do sistema.
ScreenShot009Agora, entre na aba Proteção do Sistema e clique no botão Configurar.

Agora, selecione a opção Desativar a proteção do sistema.

Desabilitando a Restauração do sistema no Windows Vista/7/8Após isso, precisamos deletar todos os pontos de Restauração (arquivos salvos) para que possamos, junto a isso, deletar o vírus que pode estar guardado lá.

NOTA: Somente reative a Restauração do sistema após a remoção do vírus! Caso contrário, ele poderá voltar novamente usando este recurso.

Removendo o vírus da iniciação

Um vírus somente causará mal quando estiver sendo executado no computador. Como a maioria roda em segundo plano, não podemos notar que o vírus está executando (apenas se ele causa lentidão no computador, por exemplo).

Nestes casos, não podemos vê-lo em ação, nem mesmo próximo ao relógio. Mas para que eles possam ser executados, eles precisam estar no registro de iniciação do Windows.

Modificando este registro, podemos remover o vírus da iniciação. Com isso, o vírus continuará lá, mas inativo. Ao executarmos a verificação do Antivírus após a reiniciação, poderemos deletar o arquivo, por que ele não estará mais em execução. (Exemplo: Não podemos deletar um documento enquanto estamos editando ele no Word. O mesmo ocorre com vírus: Quando estiverem em uso, não podemos removê-los).

Para podermos ver os arquivos na iniciação do Windows, pressione as teclas <WINDOWS> + <R> e digite msconfig. Pressione OK.

Agora, entre na aba Iniciação de programas.

Desmarque tudo. Mantenha apenas o Antivírus marcado ou programas do qual conhece e deseja que iniciem quando o computador inicie (como o MSN ou Skype).

a1Em geral, os vírus possuem nomes estranhos, de executáveis. Todos os itens da lista são seguros de remoção, já que não são necessários para que o Windows inicie (até mesmo o Antivírus pode ser removido, mas não o remova!).

ACEITE REINICIAR O COMPUTADOR PARA QUE O VÍRUS NÃO SEJA INICIADO E O ANTIVÍRUS POSSA REMOVÊ-LO.

Desabilitando Serviços do Windows

Alguns vírus, para não serem facilmente desabilitá-los ou removidos pelo Windows, se instalam como serviços.

Serviços são como os programas da iniciação, podendo ser iniciados automaticamente quando o Windows é iniciado. Com uma diferença: Eles podem rodar no nível do Sistema, diferentemente dos programas da iniciação, que rodam no mesmo nível do usuário que está logado.

Por exemplo: Quando um vírus tenta ser executado na conta de Convidado (que possuí recursos limitados de acesso ao sistema [não pode instalar/desinstalar aplicativos, etc]), o vírus não poderá fazer grande coisa. Em alguns casos, ele será inútil, já que não terá acesso aos recursos do sistema (como tentar inspecionar o IE em busca das senhas que você já digitou ou monitorar as teclas que você digita no teclado para roubar senhas que você digita no computador), já que para ter acesso a estes recursos é preciso ter acesso administrativo ao computador.

Mas este é um exemplo que quase nunca se aplica. Isso por que as pessoas, por padrão, executam o Windows com usuários administrativos. Isso por que o usuário Convidado pede toda hora senha ao tentarmos executar um aplicativos ou modificar configurações do sistema.

Quando um vírus se instala como Serviço do Sistema, pode deletar arquivos que pertencem ao sistema (podendo fazer o computador deixar de iniciar) e monitorar o uso do seu computador independente de seu usuário estar sendo executado como Convidado ou não.

O Antivírus, para ter acesso irrestrito ao computador, também se executa como Serviço do Sistema. Por ter acesso irrestrito, ele pode deletar qualquer arquivo, mesmo que o arquivo infectado seja do sistema.

Apenas começamos a ter problemas quando o Vírus também possuí as mesmas permissões do Antivírus. O Antivírus não pode deletá-lo por que eles estão no mesmo nível hierárquico (é como se um sócio tivesse 50% da empresa e queira demitir o outro sócio que também possui 50% da empresa. Ele não conseguirá, já que ambos compartilham a empresa).

Para que o Antivírus possa deletá-lo, precisamos desabilitar o serviço que possibilita a execução do vírus. Ao ser parado, o Antivírus assume seu papel (100% da empresa) e pode deletá-lo.

Abra novamente o msconfig (caso o tenha fechado) e entre na aba Serviços. Marque a caixa Ocultar todos os serviços Microsoft.

Desabilitando apenas serviços que não sejam da Microsoft (seguros de remoção) com o msconfig

Novamente, a mesma regra dos itens da iniciação valem para os Serviços (com a caixa Ocultar todos os serviços Microsoft marcada!): Todos os itens podem ser desativados por não serem serviços do sistema.

Na imagem acima, apenas mantive o serviço que possibilita ao iPhone ser identificado pelo iTunes ao ser conectado no computador (iPod Service) e o serviço Gdp, que é o programa instalado pela Caixa Econômica Federal para podermos ter acesso a conta do banco com maior segurança.

Em geral, o vírus não possuíra um nome indicativo, mas sim o nome do executável. Na dúvida, pesquise pelo nome do Serviço no Google. Mas pode removê-lo sem pensar duas vezes.

ACEITE REINICIAR O COMPUTADOR PARA QUE O SERVIÇO SEJA DESABILITADO.

Limpando os arquivos temporários do sistema

“Como assim, realizar uma limpeza dos arquivos temporários do computador pode remover vírus?”. Sim! Mas não podemos pensar que o CCleaner é um antivírus, nada disso.

O Windows (com o Vista em diante) se tornou muito rígido com os arquivos que são salvos em C:\Windows\system32 (antigo local favorito dos vírus), aceitando apenas arquivos do sistema lá.

Como o Windows Vista deu maior atenção à segurança, arquivos salvos em Arquivos de programas precisam ter um certificado que autentica que o programa é legítimo. Grandes empresas (como Apple e Adobe) possuem certificados, mas vírus e desenvolvedores independentes não o possuem.

Sem este certificado, toda vez que um programa é executado em Arquivos de programas surge uma mensagem na tela pedindo permissão de execução.

Windows_7_UAC

Reprodução / Wikipedia

Para um vírus, isso é péssimo! A intenção do vírus é se manter o mais escondido possível, e uma mensagem destas seria visibilidade demais para ele. Além disso, o usuário tendo que confirmar a execução de algo toda vez que o Windows é iniciado. Com o tempo, esta mensagem enche o saco e ele pesquisará pelo nome do programa na Internet e descobrirá que se trata de um vírus.

Para ser executado sem alertas, qual o melhor local para ser executado? O diretório temporário do Windows. Isso por que este diretório possui permissão de leitura/gravação para todos os usuários do computador. Com isso, ele pode ser executado mesmo quando o usuário que está usando o arquivo seja Convidado.

Além disso, ele sequer precisa se mover para o diretório temporário: Quando baixamos um arquivo da internet, o Internet Explorer salva o arquivo no diretório temporário do sistema para então movê-lo para o local onde indicamos para salvarmos o arquivo.

NOTA: Para que ele seja removido, é preciso que o vírus não esteja executando. Para isso, é importante realizar os dois passos acima (do MSConfig).

Primeiro, faça o Download do CCleaner.

Após o Download e Instalação, abra o CCleaner (está disponível no Menu Iniciar ou dando botão direito na Lixeira Abrir CCleaner…).

Antes de iniciarmos a limpeza, entre em Opções (ícone da engrenagem) > Avançado e desmarque a caixa “Remover somente arquivos temporários criados há mais de 24 horas.“.

Isso é importante por que se a infecção for recente o CCleaner não a removerá.

Agora, volte para a aba “Limpeza” e clique em “Executar limpeza“.

executando-limpeza-ccleaner

Usando o Antivírus

Agora, podemos usar o Antivírus para remover o vírus.

O melhor, neste caso, é iniciar o Windows em Modo de Segurança. No Modo de Segurança, apenas os Serviços básicos para o Windows funcionar são iniciados.

Com isso, caso o Vírus tenha infectado um arquivo do sistema que não seja essencial, podemos removê-lo.

Para que possamos iniciar o Windows em Modo de Segurança, reinicie o computador e fique pressionando a tecla <F8> durante o boot. Com isso, aparecerá as opções de iniciação do Windows. Escolha Modo de segurança.

Modo de Segurança do Windows

(Reprodução)

Caso você esteja usando o Windows 8, o processo é um pouco diferente e pode ser lido neste post.

No Modo de Segurança, precisamos iniciar o Antivírus manualmente (em geral, ele possuí um ícone no Menu Iniciar). Todo antivírus possui seu modo de iniciar a verificação, mas em geral, procure pela opção “Verificar agora“.

Nem sempre o nosso Antivírus consegue remover o vírus: Ele não possui a vacina necessária para removê-lo (desconsiderando a possibilidade dele ser um “Serviço do sistema” ou estar iniciando na iniciação, já que iniciamos em Modo de Segurança).

Nesse caso, o melhor é procurar outra solução (ainda que temporária). As duas soluções que mais recomendo para remoção de vírus são:

  • Dr Web CureIt! - Na sua versão gratuita, ele não é residente (apenas faz a verificação e exclui o vírus). Além disso, a única forma de atualizar as vacinas de vírus é baixando todo o programa novamente. Uso somente para emergências, já que é muito bom! Caso goste dele, você pode comprar a versão (que possui proteção residente e atualizações automáticas) por R$ 44,20 (licença válida por 1 ano).
  • Webroot Spy Sweeper – O antivírus mais agressivo, na minha opinião, e o mais eficiente. Quando o CureIt! não pudia me ajudar, usava o Spy Sweeper. Ele é capaz de encerrar até mesmo o Windows Explorer e desabilitar serviços para remover a ameaça, mesmo que eles estejam em execução. Ele é um antivírus para ninguém por defeito! Mas assim como o CureIt!, ele não é gratuito: Possui versão de demonstração gratuita por 30 dias, e pode ser comprado por R$80,00.

É importante possuir uma proteção residente por que, diferente das soluções apresentadas acima, elas podem excluir o vírus seja executado (mostrando uma mensagem de alerta), impedindo a infecção. Após instalado, um vírus é quase impossível de ser removido!

Restaurando os arquivos deletados do sistema

Caso o vírus que você tenha removido tenha infectado um arquivo do sistema e o Antivírus tenha o removido, caso você reinicie o computador, o Windows pode deixar de iniciar.

A melhor forma de prevenirmos isso é executando o SFC (System File Checker). Ele é um serviço do Windows 2000 (e superiores) que verifica por alterações nos arquivos do sistema, restaurando as versões danificadas ou faltantes dos arquivos do Windows do próprio CD/DVD de instalação.

Logo, para que você possa usá-lo, precisa ter o CD/DVD de instalação do Windows em mãos.

Para executarmos o SFC, abra o Menu iniciar > Acessórios > Ferramentas do sistema. Dê botão direito em Prompt de comando e selecione Executar como administrador (apenas no Windows Vista/7). Para executar o Prompt de comando (cmd) como Administrador no Windows 8, leia este post.

No prompt de comando, use o comando:

sfc /scannow

Após o término da execução (pode levar horas caso o computador seja antigo), podemos reabilitar a Restauração do Sistema (realizando o processo inverso que realizamos para desabilitá-la).

Caso esteja executando o Windows 8, é preciso abrir novamente o MSconfig e mudar o modo de iniciação para Normal para que o Windows não inicie em Modo de Segurança.

“O vírus continua!”

Caso o vírus continue no computador ou o dano que ele causou foi irreparável (lentidão, mensagens de erros frequentes), o melhor a se fazer é formatar (sim, formatar). Salve tudo o que é importante em uma mídia externa e formate o computador.

Não reinstale por cima por que os danos podem continuar lá (o Registro do Windows poderá não ser restaurado ou o vírus pode voltar após a reinstalação caso ele não esteja nos Arquivos do sistema [na reinstalação, o Windows apenas restaura os arquivos do sistema. Caso o vírus esteja em outro local, o computador continuará infectado]).

Procure substituir seu antivírus e Mantenha o Windows atualizado

Agora que o vírus foi removido e a Restauração do Sistema foi reabilitada, é importante focar na prevenção.

Caso sua solução de antivírus não tenha te avisado sobre o vírus a tempo de evitar a infecção, recomendo fortemente substituir sua solução de Antivírus por outra, como o Avira (gratuito). Caso esteja disposto a pagar por uma solução residente de antivírus, recomendo o ESET NOD32 Antivírus.

Se você está executando o Windows 8, você já possui o Microsoft Security Essentials instalado por padrão.

Manter o Windows atualizado ajuda a fechar brechas de segurança do sistema. Os vírus a exploram para que possam invadir seu computador. A Google (e outras empresas) ajudam a Microsoft a detectar vulnerabilidades e a corrigi-las, mas nós precisamos estar atentos a elas e instalá-las sempre.

Você pode abrir o Windows Update no Painel de Controle. Caso o Windows Update não procure atualizações automaticamente, ele o avisará e perguntará se você deseja mudar esta opção. Aceite e mude para, pelo menos, ser avisado próximo ao relógio quando novas atualizações estiverem disponíveis e você estiver disposto a baixá-las e instalá-las.

Windows UpdateCaso seu Windows já tenha saído do tempo de suporte (Windows 2000 terminou em 2010), é importante que você atualize para uma versão mais recente do Windows, como o 7 (ou o WinFLP caso o computador seja muito antigo).

About these ads

Comentar

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s