Pagina inicial » como » Use o Autoruns para limpar manualmente um PC infectado

    Use o Autoruns para limpar manualmente um PC infectado

    Existem muitos programas anti-malware por aí que irão limpar o seu sistema de problemas, mas o que acontece se você não for capaz de usar tal programa? O Autoruns, da SysInternals (recentemente adquirida pela Microsoft), é indispensável ao remover manualmente o malware.

    Existem algumas razões pelas quais você pode precisar remover vírus e spyware manualmente:

    • Talvez você não possa suportar a execução de programas anti-malware invasivos e sedentos de recursos em seu PC
    • Talvez seja necessário limpar o computador de sua mãe (ou alguém que não entenda que um grande sinal piscando em um site que diz "Seu computador está infectado com um vírus - clique AQUI para removê-lo" não é uma mensagem que pode ser necessariamente confiável)
    • O malware é tão agressivo que resiste a todas as tentativas de removê-lo automaticamente ou não permite a instalação de software anti-malware
    • Parte do seu credo geek é a crença de que os utilitários anti-spyware são para os fracos

    O Autoruns é uma adição inestimável ao kit de ferramentas de software de qualquer geek. Permite-lhe controlar e controlar todos os programas (e componentes do programa) que iniciam automaticamente com o Windows (ou com o Internet Explorer). Praticamente todos os malwares são projetados para serem iniciados automaticamente, por isso há uma grande chance de serem detectados e removidos com a ajuda do Autoruns.

    Nós cobrimos como usar o Autoruns em um artigo anterior, que você deve ler se precisar se familiarizar com o programa.

    O Autoruns é um utilitário autônomo que não precisa ser instalado em seu computador. Pode ser simplesmente baixado, descompactado e executado (link abaixo). Isso faz é ideal para adicionar à sua coleção de utilitário portátil no seu flash drive.

    Quando você inicia o Autoruns pela primeira vez em um computador, recebe o contrato de licença:

    Depois de concordar com os termos, a janela principal do Autoruns é aberta, mostrando a lista completa de todos os softwares que serão executados quando o computador for iniciado, quando você fizer login ou quando você abrir o Internet Explorer:

    Para desativar temporariamente o lançamento de um programa, desmarque a caixa ao lado de sua entrada. Nota: isso faz não terminar o programa se estiver em execução no momento - ele apenas impede que ele inicie Próximo Tempo. Para impedir permanentemente que um programa seja iniciado, exclua a entrada completamente (use o Excluir ou clique com o botão direito e escolha Excluir do menu de contexto)). Nota: isso faz não remover o programa do seu computador - para removê-lo completamente você precisa desinstalar o programa (ou excluí-lo do seu disco rígido).

    Software Suspeito

    Pode levar um pouco de experiência (leia “tentativa e erro”) para se tornar adepto da identificação do que é malware e o que não é. A maioria das inscrições apresentadas no Autoruns são programas legítimos, mesmo que seus nomes não lhe sejam familiares. Aqui estão algumas dicas para ajudar você a diferenciar o malware do software legítimo:

    • Se uma entrada for assinada digitalmente por um editor de software (ou seja, há uma entrada no Editor coluna) ou tem uma "Descrição", então há uma boa chance de que é legítimo
    • Se você reconhecer o nome do software, geralmente está tudo bem. Observe que, ocasionalmente, o malware "personifica" o software legítimo, mas adota um nome idêntico ou semelhante ao software com o qual você está familiarizado (por exemplo, "AcrobatLauncher" ou "PhotoshopBrowser"). Além disso, esteja ciente de que muitos programas de malware adotam nomes genéricos ou inócuos, como “Diskfix” ou “SearchHelper” (ambos mencionados abaixo)..
    • Geralmente, as entradas de malware aparecem no Logon guia do Autoruns (mas nem sempre!)
    • Se você abrir a pasta que contém o arquivo EXE ou DLL (mais sobre isso abaixo), examine a data da “última modificação”, as datas são geralmente dos últimos dias (supondo que sua infecção seja bastante recente)
    • Geralmente, o malware está localizado na pasta C: \ Windows ou na pasta C: \ Windows \ System32
    • Malware geralmente tem apenas um ícone genérico (à esquerda do nome da entrada)

    Em caso de dúvida, clique com o botão direito na entrada e selecione Pesquise on-line ...

    A lista abaixo mostra duas entradas de aparência suspeita: Diskfix e SearchHelper

    Essas entradas, destacadas acima, são bem típicas de infecções por malware:

    • Eles não têm nem descrições nem editores
    • Eles têm nomes genéricos
    • Os arquivos estão localizados em C: \ Windows \ System32
    • Eles têm ícones genéricos
    • Os nomes dos arquivos são seqüências aleatórias de caracteres
    • Se você olhar na pasta C: \ Windows \ System32 e localizar os arquivos, verá que eles são alguns dos arquivos modificados mais recentemente na pasta (veja abaixo)

    Clicar duas vezes nos itens levará você para as chaves de registro correspondentes:

    Removendo o Malware

    Depois de identificar as inscrições suspeitas, agora você precisa decidir o que deseja fazer com elas. Suas escolhas incluem:

    • Desativar temporariamente a entrada do Autorun
    • Excluir permanentemente a entrada do Autorun
    • Localize o processo em execução (usando o Gerenciador de Tarefas ou similar) e encerre-o
    • Exclua o arquivo EXE ou DLL do seu disco (ou pelo menos mova-o para uma pasta onde ele não será iniciado automaticamente)

    ou todos os itens acima, dependendo de como você está certo de que o programa é malware.

    Para ver se suas alterações foram bem-sucedidas, você precisará reinicializar sua máquina e verificar um ou todos os itens a seguir:

    • Autoruns - para ver se a entrada retornou
    • Gerenciador de Tarefas (ou similar) - para ver se o programa foi iniciado novamente após a reinicialização
    • Verifique o comportamento que o levou a acreditar que o seu PC foi infectado em primeiro lugar. Se não estiver mais acontecendo, é provável que seu PC esteja limpo agora

    Conclusão

    Esta solução não é para todos e é mais provável que seja voltada para usuários avançados. Geralmente, o uso de um aplicativo antivírus de qualidade faz o truque, mas, se não for o Autoruns, é uma ferramenta valiosa no seu kit de antimalware..

    Tenha em mente que alguns malwares são mais difíceis de remover do que outros. Às vezes, você precisa de várias iterações das etapas acima, com cada iteração exigindo que você analise com mais cuidado cada entrada do Autorun. Às vezes, no instante em que você remove a entrada do Autorun, o malware que está sendo executado substitui a entrada. Quando isso acontece, precisamos nos tornar mais agressivos em nosso assassinato do malware, incluindo programas de encerramento (até mesmo programas legítimos como o Explorer.exe) que estão infectados com DLLs de malware..

    Em breve, publicaremos um artigo sobre como identificar, localizar e encerrar processos que representam programas legítimos, mas que estão executando DLLs infectadas, para que essas DLLs possam ser excluídas do sistema.

    Baixar Autoruns da SysInternals

    Use marcadores para navegar documentos do Word mais rapidamente
    Use booleano, datas e curingas para dar um impulso às suas pesquisas
    Use o Breathe App da Apple Watch para um dia mais consciente
    Artigo seguinte
    Use o BGInfo para criar um banco de dados de informações do sistema de seus computadores de rede
    Artigo anterior
    Use a auditoria para proteger pastas em uma rede