Remover Vírus de Pendrive - Teoria

Nesse tutorial irei ensinar como remover manualmente os vírus contidos em um pendrive, memory stick, flash drive, ou sei lá como você chama isso... Esse tutorial serve também para celulares que se comportam como pendrive quando conectados ao PC pela porta USB.
Comentários apenas na Conclusão.
Ele está dividido em 3 partes:
- Teoria
- Removendo
- Conclusão

Começando pela história e finalidade:

Colocar os vírus em um pendrive é parte da estratégia do hacker que o criou para espalhá-lo na maior quantidade possível de PCs. Como os pendrives se popularizaram bastante, principalmente no ano de 2008, e é um acessório de fácil manuseio e facilmente passado de um computador a outro, nada melhor do que usá-lo para disseminar os vírus, pois foi exatamente isso que os hackers pensaram e colocaram em prática.
Cada um dos vírus criados pode ter diferentes finalidades, mas em geral eles sevem para roubar dados do computador infectado como senhas de páginas da Internet, MSN e, principalmente, números de cartões de crédito e senhas de bancos, afinal eles querem lucrar, roubar MSN ou Orkut não gera dinheiro...
Tem algumas variações que ainda permitem ao seu criador ter acesso remoto ao computador infectado, dessa forma ele pode saber o que você esta fazendo no seu computador, pegar seus arquivos, saber o que você esta digitando, ate mesmo formatar seu computador caso seja esse o interesse do hacker. Em fim, as possibilidades que esses tipos de vírus podem causar são imensas e desastrosas ao infectado.

Como funciona?

Nenhum pendrive pega vírus de computadores não infectados. Quando você coloca seu pendrive em um computador infectado, o vírus contido no computador automaticamente insere no pendrive a sua própria instalação e configura o pendrive para iniciar automaticamente essa instalação através de um arquivo chamado “autorun.inf” que é colocado na pasta raiz do pendrive.
Esse arquivo “autorun.inf” é usado pelo Windows para possibilitar a iniciação automática de CDs, DVDs, disquetes, pendrives, etc. Sabe quando você coloca algum CD no seu PC e automaticamente aparece a janela dele de instalação ou algo do tipo? Isso é possível graças ao arquivo “autorun.inf” contido nesse CD.
Quando você vai em “Meu Computador” e da 2 cliques em um CD, DVD, disquete, pendrive e ate mesmo no seu próprio HD ou apenas o insere na sua máquina, o Windows primeiramente verifica se o arquivo “autorun.inf” existe, caso ele exista, o Windows vai fazer o que esta contido nesse arquivo, caso contrario, o Windows abre como uma pasta comum ou aparece aquela janela perguntando o que você deseja fazer, portanto, removendo o arquivo “autorun.inf” tiramos a iniciação automática do pendrive e podemos abri-lo normalmente dando 2 cliques nele.

Mas e meu antivírus?!

Alguns dos vírus espalhados por ai já são reconhecidos por maior parte dos antivírus, porem para um hacker é muito fácil criar outro que não seja reconhecido e espalhá-lo da mesma forma, então a melhor forma de se prevenir é com o conhecimento e bom senso.
Ainda por cima tem antivírus que reconhecem os vírus em pendrives, mas permitem a sua iniciação automática e não consegue excluí-los apenas por terem algumas atribuições simples que podem ser facilmente alteradas e eles não fazem isso.
Outra coisa também que pode acontecer é o vírus conter um AVKILL (matador de antivírus), você vai continuar achando que seu antivírus esta funcionando normalmente, quando na verdade ele não esta mais fazendo absolutamente mais nada por você... hehehehehehehehe
Então, como falei antes, a melhor arma é o conhecimento, mas não deixe de usar o antivírus e atualizá-lo, às vezes ele é útil...

E se eu colocar meu pendrive em um computador infectado?

Simplesmente seu pendrive ira pegar esse vírus, mas você não precisa se preocupar com isso, enquanto ele esta só no pendrive ele é inofensivo, pode colocar seu pendrive sem medo em qualquer computador, mas quando colocá-lo de volta no seu PC que você terá que tomar cuidado e seguir os passos que descreverei para removê-lo.

Mas se meu pendrive esta com vírus, porque quando eu abro não tem nenhum arquivo suspeito?

Os hackers que criam os vírus (a não ser que ele seja muito amador) colocam atribuições nos arquivos do vírus de “oculto” e “arquivo de sistema”.
Se ele estivesse apenas “oculto”, indo em “Ferramentas”, “Opções de pasta”, “Modo de exibição” e selecionando “Mostrar pasta e arquivos ocultos”, os arquivos do vírus apareceriam, mas como ele também esta atribuído como “arquivo de sistema” ele não aparece, alem de às vezes não poder ser apagado enquanto possuir esse atributo, mas não se desespere, na parte prática mostrarei como resolver essa questão.

Agora que você já entendeu um pouco sobre o funcionamento da coisa, siga finalmente para a parte prática.

Remover Vírus de Pendrive - Removendo

Nesse tutorial irei ensinar como remover manualmente os vírus contidos em um pendrive, memory stick, flash drive, ou sei lá como você chama isso... Esse tutorial serve também para celulares que se comportam como pendrive quando conectados ao PC pela porta USB.
Comentários apenas na Conclusão.

Ele está dividido em 3 partes:

- Teoria
- Removendo
- Conclusão

Parando a enrolação, vamos para a prática...

Para começar, teremos que fazer o Windows parar com essa história de iniciação automática quando inserimos algo no PC, principalmente os pendrives que é o nosso foco, para tanto, faça o download do “Tweak N’ Tune” e siga os passos ao fim da postagem:

Link do post com o TNT

Cancelado a iniciação automática do Windows, insira agora seu pendrive em seu PC, vá em “Meu Computador” e verifique qual a letra de acesso dele, como mostrado na figura abaixo:
Agora entre no “Menu Iniciar” e clique em “Executar...” ou simplesmente aperte o símbolo do Windows no seu teclado mais a letra “R”, em seguida digite “cmd” e dê “Enter” como mostrado na figura abaixo para abrir o Prompt de Comando do Windows:

Entendendo os comandos que serão usados:

Antes de falar sobre cada um deles, fique ciente que Ctrl+c Ctrl+v não funciona no Prompt de Comando, mas você pode clicar com o botão direito do mouse sobre ele e selecionar a opção “Colar”.

Para lhe ajudar a não escrever muito, quanto você digita as primeiras letras de um arquivo ou uma pasta no Prompt e aperta o botão “Tab”, ele automaticamente completa o nome, se você continuar apertando “Tab”, ele vai alterando para o nome do próximo arquivo ou pasta seguindo uma ordem alfabética.
E... é meio esquisito falar isso, mas só a nível de informação, para o comando funcionar no Prompt, você tem que apertar Enter após digitá-lo, tá?
Iremos usar alguns comandos simples do Prompt de Comando, serão eles: dir, attrib e del.

dir - esse comando serve para listar os arquivos e pastas contidos em um diretório. Para saber mais sobre esse comando digite no Prompt “dir /?” sem as aspas.
attrib - esse comando tem a finalidade de adicionar ou remover os atributos de arquivos ou pastas, é ele que vamos usar para remover os atributos de “oculto” e “arquivo de sistema”. Para saber mais sobre esse comando digite no Prompt “attrib /?” sem as aspas.
del - esse comando é usado para apagar arquivos. Para saber mais sobre esse comando digite no Prompt “del /?” sem as aspas.

Já no Prompt de Comando, digite a letra correspondente ao seu pendrive mais “:” (dois pontos sem as aspas) para acessá-lo, em seguida digite “dir /a” para listar todos os arquivos existentes e verifique se principalmente o arquivo “autorun.inf” aparece na lista, como mostrado na figura abaixo:

Caso ele não apareça, mas existam outros arquivos suspeitos, continue o tutorial. Supondo que o arquivo “autorun.inf” apareça na listagem, como exemplo, tentei apagar esse arquivo usando o comando “del autorun.inf” como na imagem abaixo:

Podemos perceber que aparece a mensagem “Não foi possível encontrar H:\autorun.inf” mesmo o arquivo existindo, isso acontece por ele estar atribuído como “arquivo de sistema”. Para tirarmos essa atribuição e a de “oculto” do “autorun.inf” e também de todos os outros arquivos contidos no pendrive, vamos digitar no Prompt o comando “attrib –a –s –h –r”, em seguida tentar novamente o “del autorun.inf” e listar novamente todos os arquivos usando “dir /a” para verificar se realmente o arquivo foi excluído:

Excluído o arquivo “autorun.inf”, você deve remover seu pendrive e encaixá-lo novamente no PC e agora pode abrir “Meu Computador” e dar 2 cliques para acessar o pendrive, para apagar os outros arquivos suspeitos. A primeira imagem abaixo mostra o que era visível para mim quando eu acessava meu pendrive, e a segunda imagem agora mostra todos os arquivos que realmente estavam no pendrive, mas estavam “invisíveis”.

No meu caso, apagando os arquivos “AdobeR.exe” e o “msvcr71.dll”, posso dizer que meu pendrive agora não possui vírus nenhum.

Concluída a parte da remoção, leia agora minha conclusão em relação a esses tipos de vírus. Ela poderá lhe ajudar a sanar algumas duvidas além de ter links para download de desinstaladores, criados por mim, para remover alguns desses vírus do Windows.

Remover Vírus de Pendrive - Conclusão

Nesse tutorial irei ensinar como remover manualmente os vírus contidos em um pendrive, memory stick, flash drive, ou sei lá como você chama isso... Esse tutorial serve também para celulares que se comportam como pendrive quando conectados ao PC pela porta USB.

Ele será dividido em 3 partes:

- Teoria
- Removendo
- Conclusão

Certo, já removi o(s) vírus do meu pendrive, e agora? Estou livre do(s) vírus?

Este procedimento que demonstrei para remover vírus de pendrive serve exclusivamente como uma medida preventiva para que seu computador não seja infectado por tal. Sua aplicação é extremamente aconselhável sempre que você for colocar um pendrive em sua máquina o qual foi utilizado em algum outro computador.
“Quem” está livre do vírus é somente o seu pendrive, este procedimento não afeta de forma nenhuma o seu computador. Caso seu PC já contenha instalado no sistema algum vírus que se utiliza de pendrives para sua disseminação, este procedimento em nada lhe ajudará na remoção desse vírus em sua máquina.

Eu removi o(s) vírus, mas eles sempre voltam mesmo eu usando o meu pendrive apenas em minha máquina, o que esta havendo?

Bom, nesse caso, isso implica dizer que sua máquina já esta infectada por um vírus que se utiliza dos pendrives para se espalhar. Mesmo você removendo os arquivos indesejados do pendrive, o vírus que está em execução na sua máquina verifica de poucos em poucos segundos se há algum pendrive inserido no PC, se tiver, ele verifica se o pendrive contém os arquivos de disseminação do vírus, caso não tenha, ele injeta novamente os arquivos, ou seja, você exclui, o vírus põe de volta...
Enquanto o vírus permanecer em execução no seu computador, nem adianta ficar querendo remover o(s) arquivo(s) referente(s) à instalação desse vírus no pendrive.

Então o que eu faço agora? Como faço para remover o vírus do meu sistema?

Isso não é um processo muito simples, embora em alguns casos até seja. Na verdade, você não precisa exatamente “remover” o vírus do seu computador, basta apenas impedir que ele seja iniciado junto com o seu sistema operacional. A forma de se fazer isso varia de vírus para vírus, uns são bem simples, outros bem complexos.
Para os vírus mais simples e alguns nem tanto, aconselho a quem queira remover os vírus de seu sistema procurar pelo programa HijackThis, da Tend Micro e o Process Explorer, da Microsoft, ambos gratuitos.
O Process Explorer nada mais é do que o Ctrl+Alt+Del com mais recursos para você saber o que esta em execução no seu sistema. Já o HijackThis é utilizado para cancelar a iniciação automática dos aplicativos que você selecionar.
Não irei entrar em mais detalhes sobre esses aplicativos, pois foge do contexto do tutorial. Caso queira mais informações sobre esses programas, suas aplicações e utilidades, pergunte ao ORÁCULO.

Quais dicas me daria?

Bom, antes de qualquer coisa, você tem que manter seu computador sem vírus. Procure um amigo ou conhecido que entenda de computadores e inicialização automática de aplicativos no Windows para realizar uma limpeza no seu computador, em último caso, procure alguém para formatar o computador e instalar novamente o sistema operacional.
Em seguida é de extrema importância cancelar a iniciação automática dos pendrives pelo seu sistema operacional, para tanto use o “Tweak N’ Tune”, como explicado na parte Removendo.
Realize o procedimento descrito na parte Removendo sempre que colocar um pendrive no seu computador.
Acostume-se a usar o “explorer” (aperte o símbolo do Windows no teclado mais a letra “e” ou vá no: Menu Iniciar, Executar..., digite “explorer” (sem as aspas) e aperte Enter). Dessa forma, mesmo que você esqueça de remover o arquivo “autorun.inf”, o vírus não será instalado.
Alguns dos vírus que se disseminam pelo pendrive, também usam outros métodos como e-mails ou MSN, portanto é de suma importância que você apenas clique em links conhecidos, pergunte ao seu amigo(a) do MSN que link é esse que ele(a) esta lhe passando para saber se o link apareceu propositalmente ou não.
Não clique em links desconhecidos nos e-mails, verifique quem foi o remetente, se é confiável ou não, e antes de clicar no link, coloque o mouse sobre ele e olhe o endereço completo na barra inferior do seu navegador a que ele se refere, use seu bom senso para analisar esse link, e clique caso se sinta seguro.
Se você clicar em um link e aparecer uma janela perguntando se você deseja salvar ou executar um arquivo, caso ele seja um arquivo com o nome terminado em “.com”, “.exe”, “.cmd”, “.bat” ou “.scr”, desconfie dele, salve-o primeiro em sua máquina, análise o arquivo e o site do qual o baixou e caso se sinta seguro, execute esse aplicativo.
Utilize um navegador Web mais seguro, para que nada seja executado em sua máquina sem o seu conhecimento. Aconselho a usar o Mozilla Firefox, por diversas razões ele é superior ao Internet Explorer, procure no ORÁCULO uma comparação entre ambos.

Para alguns vírus mais simples, criarei desinstalações para removê-los do sistema operacional Windows XP, então, caso você tenha algum no seu computador, compacte todos os arquivos que ele adiciona no pendrive e em seguida mande para o e-mail josemar.univasf@gmail.com e avise no Cbox que, assim que eu poder, criarei um desinstalador e postarei aqui no blog.

Pessoal, por enquanto é isso, qualquer duvida, sugestão, crítica, etc, podem deixar no Cbox ou nos comentários.