Profissionais TI - Pra quem respira informação

Tenho percebido que os artigos relativos às formas de exclusão de vírus/trojans têm sido um sucesso, tanto no ProfissionaisTI, no meu blog e em outros blogs que eu já participei como articulista, por isso, resolvi escrever mais um artigo sobre o tema.

Um dos pecados mais comuns entre os técnicos de suporte é querer remover vírus de um sistema usando o antivírus instalado no próprio sistema e isso é um erro, exceto se:

• Se for possível iniciar o sistema no modo seguro/modo seguro somente comando;
• Se for um vírus de baixo nível de gravidade;
• Se você conseguir impedir que ele seja iniciado ou para-lo enquanto estiver em execução.

Quais as formas mais corretas – com chances de sucesso – de remover vírus?

1. Usando um CD do Linux – Neste caso é necessário que se conheça o vírus, os arquivos que ele usa, as pastas onde ele se aloja, etc, etc, etc… [nível altamente técnico]
2. Usando um CD bootável com antivírus – a menos que seja super-atualizado, do contrário o antivírus pode não conseguir encontrar o vírus, principalmente se a variante dele for mais nova que a base de dados do antivírus;
3. Iniciando no modo seguro/somente comando: Em alguns casos, vírus como, por exemplo, Win32.Sality, não possibilita iniciar o sistema no modo seguro, por isso, essa forma nem sempre funciona.

Dica: Se você reiniciar o sistema no modo seguro e ele não carregar ou exibir a tela azul (Falha Geral de Proteção), então o sistema está com um vírus de alta gravidade, isto quer dizer que provavelmente você terá que reinstalar alguns programas e até o sistema operacional novamente… Risco: Perder programas instalados.

Lembrando: Desconheço vírus que apaga banco de dados, documentos ou que estrague o disco rígido (isso é lenda). Para danificar um hardware o vírus teria que ter acesso de baixíssimo nível (nível de hardware), e para esse tipo de acesso se torna inviável a programação para larga escala.

Coloque o HD com sistema infectado como secundário (HD externo) em outro computador cujo sistema operacional esteja limpo (sem vírus e com antivírus atualizado), depois clique em cima da unidade referente ao HD infectado (nunca dê dois cliques!) e clique com o botão direito sobre ele e use o escaner do seu antivírus. No exemplo eu uso o Avast 2011 Free Edition.

Após o escaneamento, escolha EXCLUIR e clique em APLICAR

Dúvida cruel 1: Reparar, Mover para a quarentena ou Excluir?

• Quarentena -> Você só manda para quarentena arquivos que você não saberia dizer se ele faz parte do sistema ou se podem causar danos ao sistema ou à um aplicativo | É muito mais fácil reinstalar o sistema ou aplicativo do quê conviver com um arquivo danoso;
• Reparar -> Essa ação nem sempre é confiável, alguns vírus alteram totalmente o arquivo que fica irreparável, é mais fácil substituí-lo;
• Excluir -> A mais acertada, recomendável na maioria das vezes (se não em  todas);

Dúvida cruel 2: E se for um arquivo do sistema?

Nesse caso, com o disco rígido adicionado como secundário, copie o arquivo removido de outro sistema que esteja limpo (de vírus), da mesma versão (claro!) que o infectado e coloque na pasta de onde foi removido o infectado. Observe que o log mostra onde estava o arquivo infectado.

E lembre-se: Após todo esse processo, se for necessário repare o sistema operacional (não formatar, use reinstalar ou reparar) e assim que fizer isso, instale um antivírus, atualize-o e só depois comece trabalhar com os arquivos e programas antigos (quando o sistema ainda estava infectado).

Tente descobrir onde o vírus se aloja e como ele se comporta, para isso, basta uma pesquisa no Google.

Abraços e sucesso na empreitada!