20Aug
Existem muitos programas anti-malware lá que limparão o seu sistema de nasties, mas o que acontece se você não conseguir usar esse programa? Autoruns, da SysInternals( adquirido recentemente pela Microsoft), é indispensável ao remover o malware manualmente.
Existem algumas razões pelas quais você pode precisar remover vírus e spyware manualmente:
- Talvez você não consiga executar programas anti-malware com problemas de recursos e invasivos em seu PC.
- Você precisará limpar o computador da sua mãe( ou alguma outra pessoa)Quem não entende que um grande sinal de piscamento em um site que diz "Seu computador está infectado com um vírus - clique AQUI para removê-lo" não é uma mensagem que pode necessariamente ser confiável)
- O malware é tão agressivo que resiste a todostenta removê-lo automaticamente ou nem mesmo permite que você instale o software anti-malware
- Parte do seu credo geek é a crença de que os utilitários anti-spyware são para wimps
Autoruns é uma adição inestimável para o kit de ferramentas de software de qualquer geek. Ele permite rastrear e controlar todos os programas( e componentes do programa) que começam automaticamente com o Windows( ou com o Internet Explorer).Praticamente todo o malware é projetado para começar automaticamente, então há uma chance muito forte de que ele possa ser detectado e removido com a ajuda do Autoruns.
Cobrimos como usar o Autoruns em um artigo anterior, que você deve ler se precisar familiarizar-se com o programa.
Autoruns é um utilitário autônomo que não precisa ser instalado em seu computador. Pode ser simplesmente baixado, descompactado e executado( link abaixo).Isso faz com que seja ideal para adicionar à sua coleção de utilitários portáteis na sua unidade flash.
Quando você inicia o Autoruns pela primeira vez em um computador, você é apresentado com o contrato de licença:
Depois de concordar com os termos, a janela principal do Autoruns é aberta, mostrando a lista completa de todo o software que será executado quando o computador começar,quando você inicia sessão, ou quando abre o Internet Explorer:
Para desativar temporariamente um programa do lançamento, desmarque a caixa ao lado de sua entrada. Nota: Este não termina o programa se ele estiver sendo executado no momento - ele simplesmente impede que ele comece próximo tempo .Para impedir permanentemente que um programa seja iniciado, exclua completamente a entrada( use a tecla Delete ou clique com o botão direito do mouse e escolha Excluir no menu de contexto)).Nota: Isso não remove o programa do seu computador - para removê-lo completamente, você precisa desinstalar o programa( ou, de qualquer forma, excluí-lo do seu disco rígido).
Software suspeito
Pode levar um pouco de experiência( leia "teste e erro") para tornar-se apto a identificar o que é malware e o que não é.A maioria das entradas apresentadas no Autoruns são programas legítimos, mesmo que seus nomes não sejam familiares para você.Aqui estão algumas dicas para ajudá-lo a diferenciar o malware do software legítimo:
- Se uma entrada é assinada digitalmente por um editor de software( ou seja, há uma entrada na coluna Publisher ) ou tem uma "Descrição", então há uma boa chanceque é legítimo
- Se você reconhecer o nome do software, então geralmente está bem. Observe que, ocasionalmente, o malware irá "imitar" o software legítimo, mas adotando um nome idêntico ou similar ao software que você conhece( por exemplo, "AcrobatLauncher" ou "PhotoshopBrowser").Além disso, esteja ciente de que muitos programas de malware adotam nomes genéricos ou inofensivos, como "Diskfix" ou "SearchHelper"( ambos mencionados abaixo).
- As entradas de malware geralmente aparecem no Logon guia de Autoruns( mas nem sempre!)
- Se você abrir a pasta que contém o arquivo EXE ou DLL( mais abaixo), examine a data "última modificação", aas datas são freqüentemente dos últimos dias( supondo que sua infecção seja bastante recente)
- Malware é freqüentemente localizado na pasta C: \ Windows ou a pasta C: \ Windows \ System32
- Malware freqüentemente só tem um ícone genérico( à esquerdado nome da entrada)
Em caso de dúvida, clique com o botão direito do mouse na entrada e selecione Search Online. ..
A lista abaixo mostra duas entradas de pesquisa suspeitas: Diskfix e SearchHelper
Estas entradas, destacadas acima, são bastante típicas das infecções de malware:
- Eles não têm descrições nem editores
- Eles têm nomes genéricos
- Os arquivos estão localizados em C: \ Windows \ System32
- Eles têm ícones genéricos
- Os nomes dos arquivos são strings aleatórias decaracteres
- Se você olhar na pasta C: \ Windows \ System32 e localizar os arquivos, você verá que eles são alguns dos arquivos modificados mais recentemente na pasta( veja abaixo)
Ao clicar duas vezes nos itens, irá levá-lopara suas chaves de registro correspondentes:
Removendo o Malware
Depois de identificar as entradas que você acredita serem suspeitas, agora você precisa decidir o que deseja fazer com elas. Suas opções incluem:
- Desativar temporariamente a entrada Autorun
- Excluir permanentemente a entrada Autorun
- Localizar o processo em execução( usando Task Manager ou similar) e terminando
- Exclua o arquivo EXE ou DLL do seu disco( ou, pelo menos, mova-o para uma pastaonde não será iniciado automaticamente)
ou todo o acima, dependendo de quão certo você é que o programa é malware.
Para ver se suas mudanças foram bem-sucedidas, você precisará reiniciar sua máquina e verifique uma ou todas as seguintes opções:
- Autoruns - para ver se a entrada retornou
- Task Manager( ou similar) - para ver se o programa foi iniciadonovamente após a reinicialização do
- Verifique o comportamento que o levou a acreditar que seu PC foi infectado em primeiro lugar. Se já não está acontecendo, é provável que o seu PC esteja limpo
Conclusão
Esta solução não é para todos e é provavelmente adaptada aos usuários avançados. Geralmente, o uso de uma aplicação Antivirus de qualidade faz o truque, mas, se não, o Autoruns é uma ferramenta valiosa no seu kit Anti-Malware.
Tenha em mente que algum malware é mais difícil de remover do que outros.Às vezes, você precisa de várias iterações dos passos acima, com cada iteração exigindo que você olhe com mais atenção para cada entrada de Autorun.Às vezes, no instante em que você remove a entrada Autorun, o malware que está sendo executado substitui a entrada. Quando isso acontece, precisamos nos tornar mais agressivos no assassinato do malware, incluindo a conclusão de programas( mesmo programas legítimos como Explorer.exe) que estão infectados com DLL de malware.
Em breve, estaremos publicando um artigo sobre como identificar, localizar e encerrar processos que representam programas legítimos, mas estão executando DLLs infectadas, para que essas DLLs possam ser excluídas do sistema.
Faça o download do Autoruns de SysInternals
