[Tutorial] Verificação e remoção profunda de vírus

[Serafan]

Eu até estava pensando em começar com "Oi eu sou o Goku" novamente, mas, convenhamos, sapoha já está se tornando repetitiva, né? Então, desta vez, não me apresentarei, porque acredito que a maioria já me conhece aqui pelas seções de Suporte/Informática.

Vamos ao ponto. Este tutorial trará à vocês ensinamentos de como lidar com duas ferramentas muito interessantes para a detecção e remoção de malwares que, muitas vezes, os antivírus 'comuns' - sim, vocês sabem de quais eu estou falando - não são capazes de detectar, e, por mais que detectem, não conseguem remover, apenas mover para quarentena, e olhe lá.

Bueno, as ferramentas às quais me refiro, se chamam Malwarebytes e Combofix. Respectivamente, são utilitários essenciais na vida de um profissional de suporte técnico, pois uma remove quase todos os vírus conhecidos hoje em dia, e a outra, além de ser um poderoso removedor de rootkits, também corrige erros no windows que possam existir devido à remoção de alguma entrada de registro infectada (feita pelo Malwarebytes), por exemplo.

O primeiro passo desse tutorial é baixar os programas com os quais trabalharemos, portanto, siga estes links (via Baixaki):

• Malwarebytes Anti-malware;
• Malwarebytes Anti-malware - Site oficial;
• Combofix;
• Combofix - Site oficial.

Ainda assim, se não confiarem nos links à cima, procurem na internet ou em algum site de sua preferência que gerencia downloads, fica à critério de vocês, embora os links que postei sejam diretamente dos sites oficiais.

------------------------------
• Malwarebytes Anti-malware •
------------------------------

O MBAM – MalwareBytes Anti-Malware, como iremos chama-lo a partir de agora – possui um design que facilita a interação até mesmo com usuários iniciantes. É muito simples, olhem só.

O primeiro passo, após baixar o MBAM é dar um duplo clique no seu setup para começar a instalação. Selecione o idioma de sua preferência (padrão PT-BR) e clique em Ok.

Clique na imagem para ampliar.

Agora nos deparamos com a tela de boas-vindas do instalador do MBAM. É recomendável que, a partir daqui, você feche todos os programas em execução - exceto o seu navegador (porque você está lendo o tutorial duh?!) é claro. Clique em Avançar.

Clique na imagem para ampliar.

Chegamos agora à janela que nos mostra os termos do contrato de uso do MBAM. Eu recomendo que você leia as clausulas e somente depois, marque "Eu aceito os termos do contrato". Feito isso, clique em Avançar.

Clique na imagem para ampliar.

A próxima tela (relaxem, ainda tem mais 13) mostra os dados das atualizações do software. Essa não é necessário ler, mas, caso prefira, sinta-se à vontade. Clique em Avançar e prossiga para a próxima etapa da instalação.

Clique na imagem para ampliar.

É a hora de selecionarmos um diretório para a instalação do MBAM. Caso prefiras mudar o diretório, clique em Procurar e encaminhe a instalação para o local desejado. Caso queira manter o padrão, nos Arquivos de Programas, apenas clique em Avançar (NOTA: É importante que o MBAM seja instalado no disco rígido onde se encontra o sistema operacional).

Clique na imagem para ampliar.

Precisamos agora, dar um nome pra pasta do MBAM que será instalada no Menu Iniciar. Eu, por exemplo, mantenho o nome padrão Malwarebytes' Anti-Malware, mas aí fica à critério de vocês caros colegas cheiradores de calcinha tibianos. Depois, é só clicar em Avançar.

Clique na imagem para ampliar.

E agora, você quer que o MBAM crie um atalho na área de trabalho e na barra de inicialização rápida? Se a reposta for sim, apenas mantenha marcadas as respectivas opções, caso contrário, desmarque-as. Após definidas suas preferencias, clique em Avançar.

Clique na imagem para ampliar.

Essa tela é simples, apenas confira se suas preferencias estão definidas corretamente e clique em Instalar.

Clique na imagem para ampliar.

Pronto, programa instalado, agora falta atualiza-lo! Deixe as opções Atualizar Malwarebytes' Anti-Malware e Executar Malwarebytes' Anti-Malware marcadas e clique em Concluir (NOTA: Para atualizar o programa, é necessária uma conexão ativa com a internet. Caso você não tenha acesso à uma, apenas desmarque esta opção - mesmo achando impossível, visto que você está lendo esse tutorial, né?).

Clique na imagem para ampliar.

A seguinte tela aparecerá. Apenas aguarde.

Clique na imagem para ampliar.

Quando a atualização estiver concluída, o seguinte alerta aparecerá em sua tela. Apenas clique em Ok e siga para a próxima etapa.

Clique na imagem para ampliar.

Certo, essa agora é a interface principal do programa. É aqui que você define qual o tipo de verificação que você deseja executar, entre elas estão Rápida, Completa e Instantânea. Marque Verificação Completa e clique em Verificar (NOTA: Para utilizar a Verificação Instantânea, é preciso obter uma chave de registro para o produto, que pra variar, é paga).

Clique na imagem para ampliar.

Na janela que surgiu, defina quais unidades de disco serão escaneadas e clique em Verificar.

Clique na imagem para ampliar.

Bueno, aqui eu fiz questão de baixar um crack infectado da internet para demostrar como funciona quando algum arquivo malicioso é detectado. A partir do momento em que a verificação se iniciar, tenha em mente que, pode demorar algumas horas até ser concluída (varia de computador para computador, dependendo do tamanho do HD e da capacidade de processamento). Quando a verificação terminar, uma janela aparecerá informando se algum arquivo malicioso foi encontrado ou não.

Caso não tenha sido encontrado nada, SUCESSO o seu computador está livre de arquivos mal intencionados e você não tem com o que se preocupar. O tutorial para você, encerra aqui.

Porém, se algum arquivo estiver infectado, então, sigamos adelante Maria, un dos tres, un passito atras com nosso tutorial.

Clique em Ver Resultados como demonstrado na imagem a seguir.

Clique na imagem para ampliar.

Certifique-se de que todos os vírus estão marcados e, sem nem pestanejar, clique em Remover Selecionados.

Clique na imagem para ampliar.

Após a remoção, possivelmente a mensagem descrita na imagem abaixo aparecerá. Não hesite, clique em Sim e permita que o MBAM reinicie o seu computador para que a remoção dos softwares mal-intencionados se conclua com êxito.

Clique na imagem para ampliar.

Um log será gerado, caso você tenha dúvidas se o programa removeu realmente os malwares em seu computador, você pode postá-lo aqui nesse tópico para que eu analise. Enquanto o tópico estiver ativo, dentro de no máximo 5 dias você terá o diagnóstico da analise do log, informando se o seu computador está seguro ou não.

------------------------------
• Combofix •
------------------------------

O Combofix é um programa rústico e robusto, mas ao mesmo tempo sensível. A interface não tão detalhada quanto a do MBAM nos dá a impressão de um programa ultrapassado, mas é aí que nos enganamos! O Combofix é hoje em dia uma das ferramentas mais utilizadas para erros no sistema operacional e para remoção de malwares. Embora a interação com o usuário seja dificultada por esse programa (DOS BASED) eu os auxiliarei, por meio de imagens, à obter o melhor desempenho possível dessa ferramenta. Vamos lá!

O Combofix é um programa "Portable", ou seja, não precisa ser instalado. Por esta razão, ele precisa ser, obrigatoriamente, executado a partir da sua área de trabalho. Porém, antes de executarmos o Combofix, precisamos pausar a proteção residente do nosso antivírus. Porque? Bem, eu explico! O Combofix é uma ferramenta que precisa de acesso completo à nossa máquina, onde possivelmente ele realizará alterações nas chaves de registro. Esse procedimento (alteração de registro) é entendido por nossos antivírus como um vírus tentando modificar nosso sistema, e por essa razão, é bloqueado. Portanto, é necessário que o Combofix trabalhe livremente sem a intervenção de nenhum programa de proteção.

Se você não está seguro quanto à desativar o seu antivírus, apenas não siga os procedimentos à seguir. Lembrando que, a razão pela qual a utilização do MBAM se faz necessária antes dos procedimentos à serem executados pelo Combofix é para nos certificarmos de que o nosso computador está livre de qualquer vírus que está ao alcance dos antivírus convencionais dar conta.

Então, COM O SEU ANTIVÍRUS DESATIVADO, dê um duplo clique no ícone do ComboFix que se encontra em sua área de trabalho (não se esqueçam!).

Clique na imagem para ampliar.

E na janela que apareceu, leia os termos de uso do programa e, caso aceite-os, para prosseguir, clique em Eu concordo.

Clique na imagem para ampliar.

A janela à seguir surgirá. Apenas aguarde.

Clique na imagem para ampliar.

Quando o Combofix se inicializar, ele verificará se há necessidade de fazer uma atualização no programa. Caso a resposta seja positiva, então surgirá uma tela perguntando se você deseja atualizar o programa. Clique em Sim e aguarde (dependendo da velocidade da sua conexão, pode demorar bastante).

Clique na imagem para ampliar.

O programa começará tentando criar um ponto de restauração no sistema, afim de garantir que, caso algum erro ocorra durante ou após a execução do mesmo, você possa voltar o sistema operacional para o estado 'original'.

Clique na imagem para ampliar.

Certo, agora é a hora da verdade. O Combofix começou a verificação. Solte o teclado e o mouse e não faça mais nada, porque ele é 'sensível ao usuário', logo qualquer tarefa que você realizar durante a execução dele, pode ser entendida de forma errônea, e isso fará com que o Combofix não consiga precisar a quantidade e a intensidade dos erros presentes do seu micro.

Clique na imagem para ampliar.

Após concluídas as 50 etapas da verificação, o Combofix eliminará automaticamente todos os arquivos infectados e potencialmente não-seguros do seu computador e, então, reinicializará o sistema operacional. Não intervenha, permita que ele faça o que tem que ser feito.

Clique na imagem para ampliar.

Pronto, o sistema reinicializará, e o Combofix abrirá automaticamente. Ele pedirá que você não utilize nenhum programa enquanto ele gera um log do que foi feito. Não se preocupe, pode demorar vááários minutos.

Clique na imagem para ampliar.

Quando o log estiver pronto, se você não estiver seguro do que foi feito, poste-o aqui para analise. Dentro de no máximo 5 dias, caso o tópico se mantenha ativo, você terá o diagnóstico sobre a segurança do seu computador.

Então é isso pessoal, espero que ajude bastante vocês,
e qualquer dúvida que possa surgir, ficarei feliz em responder, !

[Trigger]

Eu uso e recomendo o combofix.
Alguns meses atraz fiz um tutorial sobre ele também.
http://forums.tibiabr.com/showthread.php?t=373238

Um programa rustico é eficaz ,muito facil de seu usar

[Serafan]

Eu uso e recomendo o combofix.
Alguns meses atraz fiz um tutorial sobre ele também.
http://forums.tibiabr.com/showthread.php?t=373238

Um programa rustico é eficaz ,muito facil de seu usar

Concordo, sempre gostei do Combofix e sempre utilizei-o - em conjunto com o MBAM - em algumas máquinas que necessitavam de um "pente fino".

A propósito, tutorial pronto!

[GrYllO]

Bom tuto!

Coloca o link direto do site do software, é sempre mais seguro (já vi o Baixaki apontando um link de Tibia client para para um site de HD virtual - provavelmente um client comprometido).

http://www.malwarebytes.org/mbam-download.php

[Speender]

O combofix já me fez o favor de corromper dlls e ao iniciar o computador ficar dando tela azul

quem for usar, tome cuidado.

[Serafan]

O combofix já me fez o favor de corromper dlls e ao iniciar o computador ficar dando tela azul

quem for usar, tome cuidado.

É por isso que ele cria um ponto de restauração no sistema, ...

[Madkux]

Olá serafan, primeiramente parabéns pelo ótimo tutorial


Eis o meu log do MBAM, gostaria que você desse uma olhadinha, pois estou muito inseguro, com medo de ser hackiado, visto que já fui uma vez, e não pretendo passar por isso denovo.


Sem mais delongas, o meu log

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Versão da Base de Dados: 6970

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/6/2011 17:45:39
mbam-log-2011-06-28 (17-45-39).txt

Tipo de Verificação: Verificação Completa (C:\|D:\|)
Objetos escaneados: 218031
Tempo decorrido: 21 minuto(s), 57 segundo(s)

Processos de Memória Infectados: 0
Módulos de Memória Infectados: 0
Chaves de Registro Infectadas: 0
Valores de Registro Infectados: 0
Itens de Dados no Registro Infectados: 3
Pastas Infectadas: 0
Arquivos Infectados: 6

Processos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:
(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:
(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas Infectadas:
(Não foram detectados ítens maliciosos)

Arquivos Infectados:
c:\documents and settings\jose barcelos\configurações locais\Temp\Rar$EX00.625\ElfCrack***** (Spyware.PWS) -> Quarantined and deleted successfully.
c:\documents and settings\jose barcelos\meus documentos\downloads\mp3-codec-update***** (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5c212002-2bb7-4344-bd12-3535761594e4}\RP133\A0087077***** (Spyware.PWS) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5c212002-2bb7-4344-bd12-3535761594e4}\RP98\A0065890***** (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5c212002-2bb7-4344-bd12-3535761594e4}\RP98\A0065892***** (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5c212002-2bb7-4344-bd12-3535761594e4}\RP98\A0065896***** (Malware.Packer.Gen) -> Quarantined and deleted successfully.

[Serafan]

Oi Madkux,

A princípio, o MBAM conseguiu limpar todos os arquivos que ele encontrou, o seu log do MBAM agora, está limpo, porém, receio que você ficará sem a sua chave do ****** ()

Sugiro ainda, que você utilize o ComboFix para corrigir estas entradas de registro (notificação de vírus no sistema desabilitadas) para que não hajam problemas futuros!

[Madkux]

Quem não gosta de jogar um pvp enforcedzinho pra descontrair não é? ;pp ..... Tópico muito útil, me ajudou demais..

[agp]

Sempre usei essa dupla.

Malwarebytes excelente mesmo.