Semana passada meu computador no escritório sofreu uma invasão pesada de vírus e spywares (graças à rede interna e o vai-e-vem de pen drives infectados), entre eles eu encontrei os worms Nimda e o Chir. Nenhum antivírus conseguia removê-los. O AVG que chegou a detectar mais que os outros antivírus, no máximo, apagava os arquivos infectados, piorando minha situação, já que o Chir havia infectado praticamente todos os executáveis da máquina (isso mesmo: firefox.exe, calc.exe, iexplore.exe, word.exe, instaladores de softwares etc.).
Formatei a máquina para realizar a limpeza, tive que fazer por duas vezes, pois o danado estava na minha partição de dados e assim que eu reinstalava o Windows na sua partição, o vírus começava a agir, buscando os executáveis da máquina. Cheguei a executar o ComboFix e o PenClean, mas mesmo esses não resolveram meu problema. Até que achei o Trend Micro System Ceaner.
O pacote SYSCLEAN é um arquivo de descompressão automática que incorpora o aplicativo de detecção de vírus do Trend Micro Damage Cleanup Engine.
Baixar o pacote:
A ferramenta tem as seguintes características:
- Finaliza todos os malwares/spywares detectados na memória.
- Remove entradas de registro de malwares/spywares.
- Remove entradas de arquivos de sistema de malwares/spywares.
- Escaneia e exclui todos os malwares/spywares detectados em drives locais.
Ao executar o pacote, ele auto-extrai todos os arquivos necessário para a execução. Os arquivos somem depois de executado, ficando apenas arquivos de log e possíveis backups.
Atenção! Para executar o software é necessário baixar mais dois arquivos com as definições atualizadas de vírus e spywares:
O arquivo lpt$vpn.XXX (onde XXX é a versão do arquivo) em formato ZIP (como lptXXX.ZIP) no link http://www.trendmicro.com/download/viruspattern.asp. A versão atual disponível hoje (15/01/09) é a 5.771.00 (lpt771.zip).
E o arquivo ssapiptn.da5 em formato ZIP (ssapiptnXXX.ZIP, onde XXX é a versão do arquivo) no link http://www.trendmicro.com/download/spywarepattern.asp. A versão atual disponível hoje (15/01/09) é a 0.723.00 (ssapiptn723.zip).
Esses dois arquivos devem ser salvos e descompactados na mesma pasta onde você executará o pacote sysclean.com.
Esta ferramenta foi desenvolvida para executar sob Windows NT/2000/XP/2003/VISTA 32-bit. A opção spyware scan é desabilitada em versões anteriores do Windows.
Windows NT 4.0: Para executar a ferramenta em Windows NT 4.0, você precisará copiar o arquivo PSAPI.DLL ao diretório de sistema do Windows (normalmente C:WINNTsystem32). Você pode achar o arquivo no CD de instalação do Windows NT 4.0 no diretório SupportDebugi386PSAPI.DLL
Executando o Sysclean
1. Crie uma pasta temporária e copie SYSCLEAN.COM nesta pasta.
2. Baixe as últimas definições de vírus e spywares. Extraia os arquivos na mesma pasta onde se encontra o SYSCLEAN.COM
3. Reinicie o PC e entre em modo de segurança (antes de iniciar o Windows vá apertando F8 até aparecer um menu com algumas opções como Modo Seguro, Modo Seguro com Rede etc… Escolha Modo Seguro)
4. Execute o SYSCLEAN.COM
5. Marque as opções “Automatically Clean Infected Files” e “Enable Spyware Scan”. Na opção “Advanced”, é possível marcar para executar o Sysclean apenas numa pasta selecionada, se este for o seu caso.
6. Clique em Scan e o software inicia a execução e limpeza.
Se aparecerem arquivos com um erro “ERROR (-94)” no final da linha, não se preocupe. Este erro indica que o sistema operacional bloqueou o arquivo e o Sysclean não conseguiu realizar a leitura do mesmo. Completamente normal.
Ao final da execução é gerado um arquivo de LOG na mesma pasta do SYSCLEAN. Qualquer dúvida, poste um comentário.
