Recentemente um cliente me chamou por estar aparecendo uma "mensagem de vírus" em alguns computadores da empresa. Em uma postagem recente sobre vírus eu escrevi que um vírus dificilmente chega a um computador sem ajuda do usuário. Essa situação é interessante porque ela ilustra um pouco do que eu disse na postagem anterior sobre vírus.
A situação é a seguinte:
- Um usuário abre um arquivo infectado pelo vírus que chegou por e-mail
- O vírus infecta o sistema deste computador e começa a procurar por compartilhamentos na rede para se propagar
Vejam, o vírus de fato chegou ao segundo computador sem ajuda do usuário, mas este computador não foi infectado, ele passou a carregar o vírus, mas o sistema não estava comprometido até que um usuário lá executou o vírus.
O vírus se propagou para vários computadores que não foram infectados, pois os usuários não executaram um aplicativo desconhecido (medida simples e eficaz que evita MUITA dor de cabeça), até que chegou a um computador com anti-vírus que começou a avisar todos que havia um computador infectado na rede e criou aquele clima de desespero em que todo mundo começa a falar pela empresa "Tá com vírus na rede!!" uma afirmação curiosa, já que um vírus não pode infectar "a rede", apenas computadores.
Como remover o Vírus W32.sality.AE
Em outro computador, que não esteja infectado, faça download das ferramentas
- Mcafee Stinger (Software de remoção do vírus)
- MalwareBytes Anti-Malware (Anti-Malware de propósito geral)
- Safeboot.zip (Modelos de registro para restaurar o Modo Seguro do windows)
Consiga ainda um anti-vírus de sua preferência, eu usei o Symantec Client 10.2
Vocês podem ler sobre a atuação do vírus no site da Symantec.
Primeiro coloque todos os downloads acima em um CD ou pendrive para levar até o computador infectado. Se você optar por pendrive, saiba que nessa etapa o vírus irá infectar sua pendrive quando você colocá-la no PC infectado, então se você não sabe como limpar sua pendrive eu sugiro que você use CD.
Não execute os downloads no PC infectado ainda!!
Você deve ter notado que o vírus bloqueou seu acesso ao gerenciador de tarefas e ao editor de registro (regedit) do Windows.
Primeiro Passo
- Abra o Stinger e não feche ele em hipótese alguma, pois se você fechar e o vírus puder de qualquer forma ele irá infectar o arquivo do Stinger.
- Selecione primeiramente o drive onde está o sistema operacional, provavelmente o C:\
- Selecione depois os demais drives do seu HD se houver.
Nota: Espero não precisar dizer, mas não há muita razão para você selecionar drives removíveis como CD, DVD ou pendrive.
Segundo Passo
- Terminada a execução do Stinger ele deve ter limpado seu Explorer.exe que estava na memória infectado. Por isso você deve ter recuperado acesso ao Regedit e ao Gerenciador de Tarefas.
- Menu Iniciar -> executar -> regedit
- Navegue e delete as entradas sugeridas no site da Symantec na seção de remoção deste vírus.
Terceiro Passo
- Instale o MalwareBytes
- Atualize
- Execute uma Verificação Completa
Quarto Passo
- Instale seu anti-vírus de preferência
- Atualize
- Execute uma Verificação Completa
Quinto Passo
- Abra o arquivo SafeBoot.zip
- Procure o especificado para o seu Sistema Operacional. O arquivo possui entradas de registro à serem restauradas.
- Execute o arquivo correto, ele deve pedir uma confirmação, clique em SIM
Sexto Passo
- Reinicie o computador
- Repita as verificações do Stinger, MalwareBytes e do Anti-vírus
Notas
É importante que seu anti-vírus tenha um sistema de proteção residente, chamado também de auto-protect, pois o vírus tentará infectar de novo se houver alguma chave infectada ainda no registro.
As vezes o Stinger "trava" em alguns arquivos e não progride na limpeza. Se ele já estiver lendo os arquivos e não mais os processos na memória, não há problema em pará-lo, o mais importante dele é limpar o sistema para que o MalwareBytes e o Anti-vírus não sejam infectados na instalação.
Se tiver dificuldades me manda um e-mail ok?!
Postagens
Seu post é muito interessante e ajudou muito...
ResponderExcluirporém, quando você mencionou como o vírus se propaga, impondo que a culpa é do usuário, só parte é verdade."O vírus se propagou para vários computadores que não foram infectados, pois os usuários não executaram um aplicativo desconhecido (medida simples e eficaz que evita MUITA dor de cabeça)"... este vírus em especial infecta arquivos "exe", como o winword.exe, e quando o usuário o abre, já esta feito o estrago.
Outra coisa: Ele prefere se propagar através de mídias removíveis, como pendrives e outros.
Mas, vivemos no Brasil e a realidade de se encontrar softwares gratuitos bons é bem complicada, até porque ninguém gosta de pagar por uma coisa que não deve.
Primeiramente, obrigado pelo comentário.
ResponderExcluirÉ verdade, nesse caso em especial ele pode afetar aplicativos como o Winword.exe, mas isso só acontece se:
- O diretório onde o winword.exe estiver compartilhado
- O computador estiver infectado
O vírus não pode modificar o arquivo winword.exe se ele não tiver acesso ao local onde está o arquivo e ainda terá que ter permissão não apenas de leitura.
Se você compartilha pastas como:
- c:\
- c:\windows
- c:\arquivos de programas
Com permissão total para usuários de rede, vale a pena pensar se esta é uma política segura de rede. Se isso for REALMENTE necessário quem sabe vale a pena virtualizar esse computador.
No caso das pendrives é mais uma questão de atenção para evitar a infecção.
Se tiver dificuldades na remoção, pode me enviar um e-mail.