Como remover malware

Remover malware não é tarefa fácil

Podem ser detectados por anti vírus, mas não removidos. Difíceis de localizar, incômodos, além de perigosos. O que fazer?

O malware nada mais é que um aplicativo conhecido como adware. O nome adware deve-se ao fato de se tratar de um software (ware) adicionado (ad) pelo usuário (mais de 90% dos casos é instalado pelo próprio usuário) ou sem o conhecimento dele (quando visita sites de jogos ou pornografia).

O que o malware faz?

Rouba informações! A maioria tem essa finalidade. Vou contar uma história curta que presenciei: o dono da escola, atarefadíssimo, tentava concluir um trabalho. Uma janela do browser (Google Chrome) se abre, ocupando toda a tela! A tela de boas vindas do banco que ele usa, informando que estavam recadastrando, o nome dele e o numero da conta visíveis, pedindo que coloca-se a senha autorizando a atualização!

Minutos depois ele liga para o banco e descobre que não houve recadastramento! 1.800 reais “voaram da conta dele!

 

Como os ladrões fazem isso?

O adware, uma vez instalado na máquina, envia informações à máquina (computador) de origem. “Todas as informações” relacionadas com a vítima. O golpe no dono da escola só foi possível porque eles sabiam “qual é o banco que ele usa”. De posse desta informação, basta construir uma tela semelhante e um box de captura. Simples assim.

 

 

Todos os adwares são feitos para roubar dados?

Não. A maior parte (mais de 80%) são softwares criados para propaganda. Trata-se de vendas de empresas ou particulares. São os famosos banners que você encontra em alguns sites (90% dos banners não são adware). Por exemplo, quando você instala um programa gratuito e, com ele, uma porção de “ferramentas” embutidas no pacote. Essas ferramentas são adwares.

Os adwares criados para roubar dados são chamados malwares. Aqui neste artigo vou mostrar como remover um dos mais difíceis, o Wondershare, que muitos problemas causou no ano passado e está de volta.

E, também, vou mostrar como remover um adware, instalado em minha máquina com minha autorização.

 

Por que eu autorizei a instalação de um adware?

Este, chamado Lead Software, é um App de comunicação vendedor > cliente. Foi criado para fazer a comunicação direta entre produtores e/ou afiliados e seus clientes, eliminando a intermediação dos serviços de auto responder. Solicitei a afiliação a este produto e, como sempre faço com os produtos que represento, decidi testar “antes” de vender.

 

Por que decidi desinstalar?

Parece contradição, coisa de garoto, instala, desinstala… Se o adware “se comportasse” conforme prometido, ainda estaria na máquina. Mas não foi o que aconteceu! Veja, abaixo, foto de um adware da devmédia (empresa que fabrica software), que ainda está instalado, é em tudo semelhante ao Lead Software, mas não causa problemas. Posso abrir ou não. Ele apenas abre a janelinha pop up e fica esperando uma decisão minha.

Porém, com o Lead não era assim: ao abrir, parava tudo. Tinha que clicar nele e fechar. Eu não gostei desse incômodo, mas não ficou só nisso! Às vezes, ele abria uma guia do Google Chrome e entrava um vídeo de propaganda em tela cheia. Sem botão de start, funcionava automaticamente. Numa dessas vezes, danificou uma gravação de vídeoaula com mais de 6 minutos. Precisei, depois de fechá-lo, fazer de novo.

Esta é a janela pop up do Lead. Quando abre é em “show modal” (modo usado em programação para “obrigar” o usuário a tomar uma ação), ou seja, você faz o que é solicitado ou fecha a janela. Outros aplicativos (com exceção do Windows Explorer) continuam abertos, mas não funcionam. Era um incômodo pequeno: clicava no botão vermelho e voltava ao trabalho.

Decidi localizá-lo e alterar as configurações ou excluí-lo se não as tivesse. E, acreditem, não o encontrei! Nem uma extensão no Chrome, nem cookie, nem executável em Arquivos de programas.

A procura nestas pastas (marcadas na foto acima) foi útil: achei um velho conhecido (malware) que o Norton não viu: o Wondershare!

 

O Wondershare não pode ser desinstalado manualmente

O lead, porém, não estava. Deletei arquivos essenciais ao funcionamento do Wondershare (não confundir com o conversor de vídeo) numa tentativa de barrar seu funcionamento (o executável e os arquivos .dll retornam “acesso negado”, mesmo estando logado como administrador). A última opção é instalar o ADWCleaner, aplicativo anti malware que “limpa” a máquina. Última, porque ele se comporta como um segurança de boate bêbado: até o dono apanha!

 

 

Tentando resolver com o Norton

Pouco tempo depois da instalação do Norton, ele “localizou” o Lead Software e me deu a opção de bloquear. Satisfeito (pois já estava pensando que teria que instalar o ADWCleaner), autorizei o bloqueio total e relaxei. Quando o Lead “entrou” todos os outros programas foram travados, mas… Como ele foi bloqueado pelo Norton, não abriu e fiquei sem a opção de fechá-lo… E o Norton, como todos os outros aplicativos, também estava travado! Nem mesmo CTRL+ALT+DEL funcionou!

Tive que dar um halt! (Desligar na marra)

Após reiniciar, desativei o Norton para evitar outro travamento (esses travamentos e o consequente desligamento forçado pode danificar o Windows e, pior, o HD).

Ao abrir uma das janelas do Norton, lá estava ele, no topo:

Reparem no “endereço”! Eu tinha procurado nesta pasta, sem sucesso (acesso negado):

 

A ajuda do Windows

Tentei também no prompt de comando do Windows e no “Modo de Segurança”. Em vão: acesso negado. Como o comando Attrib sofreu alterações a partir do Windows Vista e não estava funcionando (usei muito no DOS e nos velhos Windows – ele permite alterar configurações de pastas e arquivos), entrei no site da Microsoft, descrente ( a ajuda do Windows parece com o governo: não ajuda) mas não custa tentar. Não ajudou! Os procedimentos sugeridos eu já tinha tentado.

 

Na foto abaixo o endereço completo no hint:

No Firewall do Norton encontrei a opção Remover. Não custa tentar… Faz algumas horas e até este momento “não voltou”.

 

PS

Usava-se PS no tempo das cartas, principalmente quando a “saudade dos enamorados” estava saindo pelos ouvidos!

O Norton removeu o Lead da lista, mas não do PC!

Este “PS” tem a finalidade de esclarecer – e mostrar – os procedimentos críticos a serem adotados antes da violência maior chamada “formatação”. Isto porque, tanto na loja de Informática quanto na Escola, era frequente atender clientes pedindo para formatar o HD “porque entrou um vírus”.

Formatar significa “zerar” o HD. É, sem dúvida, o último recurso. Há 2 recursos que devem ser tentados entre os mencionados acima e a formatação.

O primeiro foi instalar anti malwares. Comecei com o ADWCleaner:

 

Adivinhe… O AdwCleaner não conseguiu, sequer, achar o Lead. Tudo bem, este adware é novo, foi lançado agora em janeiro. O jeito foi partir para o Malwarebytes:

 

Malwarebytes imediatamente após a instalação. Importante: esses aplicativos são pagos, mas, numa emergência, você pode instalar uma versão de avaliação 100% gratuita válida por 30 dias.

Você já deve ter imaginado o que aconteceu… O Malwarebytes também não encontrou o Lead! Aí, não tem jeito, é partir para o penúltimo recurso: reinstalar o Windows!

 

Isto requer alguns cuidados


Copie para um local seguro todo o conteúdo importante das pastas assinaladas em vermelho na foto.

Estas pastas “são do Windows”, assim, na substituição, todo o conteúdo se perderá (a menos que você seja um expert e saiba acessar estes arquivos “depois”).

 

Copie os arquivos que deseja salvar para pastas “fora” do Windows. Porque copiar e não mover? Se ocorrer um problema durante o processo (lembre-se, estamos lidando com uma máquina com problemas) e você está movendo, o arquivo ou pasta se perderá. Com a cópia é seguro, caso ocorra um problema, basta fazer de novo.

As pastas assinaladas em vermelho foram criadas pelo usuário e estão fora do Windows. As pastas não marcadas serão substituídas ou deixarão de existir após a instalação.

Se for possível copie os dados para um HD externo. O procedimento exposto acima não serve em caso de formatação. Neste caso, deve-se copiar o conteúdo a ser salvo para outro HD.

Deixe um Comentário

* Indicar Campos Obrigatórios