Como remover arquivos suspeitos na marra (no Windows)

Como profissional de Helpdesk, algo que realmente me deixa irritado é quando eu não consigo excluir um arquivo suspeito (geralmente biblioteca dll) e o sistema impede a exclusão.

Existe um tipo de infecção de sistema que desativa a edição do registro, bloqueia o gerenciador de tarefas (famoso taskmgr – ctrl+alt+del) e de quebra impede que o sistema seja reiniciado no modo seguro, porém, existe uma falha que possibilita quebrar essa resistência.

Neste artigo vamos explicar alguns passos que podem resolver o problema.

Primeira coisa a fazer é identificar o “chato”, para isso, clique em INICIAR/EXECUTAR e digite MSCONFIG e clique em OK.

Na aba INICIALIZAÇÃO verifique o caminho do arquivo que deseja excluir. Se já sabe qual é o alvo, esqueça esse passo.

Agora, via comando (INICIAR/EXECUTAR digite CMD e clique em OK), vá para a pasta onde o arquivo-alvo (geralmente C:/USERS/SEUNOME/DADOS DE APLICATIVOS/TEMP ou C:WINDOWSSYSTEM32 – dependendo do seu sistema operacional).

DICA: Para se deslocar de uma pasta para outra, use o comando CD NOMEDAPASTA (sempre respeitando a hierarquia, claro! Ex: se eu estou na pasta C:USERSMEUUSUARIO e quero ir para a pasta raiz e depois quero ir para a pasta WINDOWS eu posso digitar CDWINDOWSSYSTEM32 ou CD para ir para a raiz e depois CD WINDOWS/SYSTEM32 para ir para a pasta que eu quero)

Quando estiver na pasta onde está o arquivo que deseja excluir, experimente digitar:

DEL NOMEDOARQUIVO.EXTENSÃO. Ex: DEL FLASHY.EXE

Observe que o arquivo não pode ser excluído porque o sistema não o encontrou, porém, ele está oculto, então use o comando DIR/AH e veja que ele existe.

Para apagá-lo vamos ter que alterar seus atributos e para isso eu uso o comando ATTRIB ESPAÇO -H ESPAÇO -A ESPAÇO -R ESPAÇO -S NOMEDOARQUIVO.EXTENSÃO. Ex: ATTRIB -H -A -R -S FLASHY.EXE

Atenção: Troque o termo ESPAÇO por um espaço na hora de digitar o comando, não se esqueça dele!

Agora tente apagar o arquivo… caso não consiga, vai ter que ser na marra mesmo!

Caso não consiga alterar os atributos do arquivo via comando, vamos pelo menos habilitar no sistema para poder vê-lo, para isto, use o método explorer

Baixe e instale o aplicativo BOOT DELETER, esse aplicativo vai criar um atalho no menu de contexto (botão direito do mouse) e habilite o aplicativo.

Feito isso, basta clicar com o botão direito do mouse sobre o arquivo que deseja apagar e escolher a opção DELETE ON REBOOT e reinicie o sistema que o arquivo já era.

Procure pelo atalho do arquivo no registro do sistema e apague-o, clique em INICIAR/EXECUTAR e digite REGEDIT

Se aparecer uma mensagem como essa

Baixe o aplicativo REGISTRIM e execute-o, depois clique no botão LIBERAR, se estiver em vermelho

Depois clique no botão ABRIR O REGEDIT.

Com o REGEDIT aberto, pressione a tecla F3 e digite o nome do arquivo que deseja excluir, apague todas as entradas encontradas.

Reinicie o sistema e pronto!

José Ferreira Netto

Mais artigos deste autor »

Bacharel em Sistemas de Informação pela ULBRA - CEULJI - CAMPUS DE JI-PARANÁ/RO, Usuário desde o MS-DOS 6.10 - Fã de Tecnologia e de Sistemas Windows e Linux - Gosto de compartilhar conhecimento, idéias - Atua como Administrador Técnico de Depto. Informática para Serviço Público.


6 Comentários

Leewan
2

Amigo, nao seria mais facil dar o boot usando um cd live do linux e localizar o tal arquivo no hd e deletá-lo? agradeceria se me tirasse essa duvida.. Obrigado…

Jose Claudemir
5

Olá, sempre usei live ubunto 10 para deletar arq do windows. Selecionava e teclava DEL e nem perguntava. Agora as novas placas mãe empurrando o win10 que não deixam inst outro SO, nem o win7 e se conseguir, não funciona nada usb, rede – é o lance da partição GPT… então instalei o win10. Ao excluir um arquivo de sistema (tipo o wuaueng…) faço o boot com live winPE e não funciona nem usb nem mouse PS2. O live do ubunto 10 não abre. O live do ubunto 18 abre mas não deleta – diz não ter permissão. Que enrosco! Tem uma live do linux que deleta?

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!