O que devo fazer se meu computador com Windows parecer estar infectado com vírus ou malware?

• Quais são os sintomas de uma infecção?
• O que devo fazer depois de perceber uma infecção?
• O que posso fazer para me livrar dele?
• como evitar a infecção por malware?

Essa pergunta surge com freqüência e as soluções sugeridas são geralmente as mesmas. Este wiki da comunidade é uma tentativa de servir como a resposta definitiva e mais abrangente possível.

Sinta-se à vontade para adicionar suas contribuições por meio de edições.

Aqui está o problema: o malware nos últimos anos se tornou mais furtivo e desagradável :

Mais furtivo , não apenas porque é melhor se esconder com rootkits ou hackers EEPROM, mas também porque viaja em pacotes. Malwares sutis podem se esconder atrás de infecções mais óbvias. Existem muitas boas ferramentas listadas nas respostas aqui que podem encontrar 99% de malware, mas sempre há 1% que elas ainda não conseguem encontrar. Principalmente, esse 1% é algo novo : as ferramentas de malware não conseguem encontrá-lo porque acabaram de sair e estão usando alguma nova exploração ou técnica para se esconder que as ferramentas ainda não conhecem.

O malware também tem um prazo de validade curto. Se você estiver infectado, é provável que algo desse novo 1% seja uma parte da sua infecção. Não será toda a infecção: apenas uma parte dela. As ferramentas de segurança ajudarão você a encontrar e remover o malware mais óbvio e conhecido e, provavelmente, remover todos os sintomas visíveis (porque você pode continuar cavando até chegar tão longe), mas eles podem deixar pequenos pedaços para trás, como um keylogger ou rootkit se escondendo atrás de uma nova exploração que a ferramenta de segurança ainda não sabe como verificar. As ferramentas anti-malware ainda têm seu lugar, mas abordarei isso mais tarde.

Mais desagradável , já que ele não apenas exibe anúncios, instala uma barra de ferramentas ou usa mais o seu computador como zumbi. É provável que o malware moderno dê certo para as informações bancárias ou de cartão de crédito. As pessoas que constroem essas coisas não são mais apenas crianças que procuram fama; agora eles são profissionais organizados, motivados pelo lucro e, se não puderem roubar você diretamente, procurarão algo que possam dar a volta e vender. Isso pode estar processando ou recursos de rede em seu computador, mas também pode ser seu número de segurança social ou criptografar seus arquivos e mantê-los como resgate.

Coloque esses dois fatores juntos e não vale mais a pena tentar remover malware de um sistema operacional instalado . Eu costumava ser muito bom em remover essas coisas, a ponto de ganhar uma parte significativa da minha vida dessa maneira, e nem faço mais a tentativa. Não estou dizendo que isso não pode ser feito, mas estou dizendo que os resultados da análise de custo / benefício e risco mudaram: simplesmente não vale mais a pena. Há muito em jogo e é muito fácil obter resultados que parecem apenas eficazes.

Muitas pessoas vão discordar de mim sobre isso, mas eu desafio que elas não pesem as consequências do fracasso com força suficiente. Você está disposto a apostar sua economia de vida, seu bom crédito e até sua identidade, de que é melhor nisso do que bandidos que ganham milhões fazendo isso todos os dias? Se você tentar remover malware e continuar executando o sistema antigo, é exatamente isso que você está fazendo.

Eu sei que existem pessoas por aí lendo esse pensamento: "Ei, eu removi várias infecções de várias máquinas e nada de ruim aconteceu". Eu tambem amiga. Eu também. Nos últimos dias, limpei minha parte dos sistemas infectados. No entanto, sugiro que agora precisamos adicionar "ainda" ao final dessa declaração. Você pode ser 99% eficaz, mas só precisa estar errado uma vez e as consequências do fracasso são muito maiores do que eram antes; o custo de apenas uma falha pode facilmente superar todos os outros sucessos. Você pode até ter uma máquina lá fora, que ainda tem uma bomba-relógio, esperando apenas para ser ativada ou coletar as informações corretas antes de relatá-las. Mesmo se você tiver um processo 100% eficaz agora, esse material muda o tempo todo. Lembre-se: você precisa ser perfeito todas as vezes;

Em resumo, é lamentável, mas se você tiver uma infecção por malware confirmada, uma reforma completa do computador deve ser o primeiro lugar que você liga e não o último.

Veja como fazer isso:

Antes de ser infectado , verifique se há uma maneira de reinstalar qualquer software adquirido, incluindo o sistema operacional, que não dependa de nada armazenado no disco rígido interno. Para esse fim, isso normalmente significa apenas pendurar em cd / dvds ou chaves de produto, mas o sistema operacional pode exigir que você crie discos de recuperação. ¹ Não confie em uma partição de recuperação para isso. Se você esperar até depois de uma infecção para garantir que tem o que precisa para reinstalar, poderá pagar pelo mesmo software novamente. Com o aumento do ransomware, também é extremamente importante fazer backups regulares de seus dados (além de coisas não maliciosas regulares, como falha no disco rígido).

Quando você suspeitar que possui malware , procure outras respostas aqui. Existem muitas boas ferramentas sugeridas. Meu único problema é a melhor maneira de usá-los: só confio neles para a detecção. Instale e execute a ferramenta, mas assim que encontrar evidências de uma infecção real (mais do que apenas "rastrear cookies") basta interromper a verificação: a ferramenta fez seu trabalho e confirmou sua infecção. ²

No momento de uma infecção confirmada, execute as seguintes etapas:

1. Verifique suas contas bancárias e de crédito. Quando você descobrir sobre a infecção, um dano real já pode ter sido causado. Tome as medidas necessárias para proteger seus cartões, conta bancária e identidade.
2. Altere as senhas em qualquer site acessado no computador comprometido. Não use o computador comprometido para fazer isso.
3. Faça um backup dos seus dados (melhor ainda se você já tiver um).
4. Reinstale o sistema operacional usando a mídia original obtida diretamente do editor do SO. Verifique se a reinstalação inclui uma reformatação completa do seu disco; uma operação de restauração ou recuperação do sistema não é suficiente.
5. Reinstale seus aplicativos.
6. Verifique se o sistema operacional e o software estão totalmente atualizados e atualizados.
7. Execute uma verificação antivírus completa para limpar o backup da etapa dois.
8. Restaure o backup.

Se feito corretamente, é provável que demore entre duas e seis horas reais do seu tempo, espalhadas por dois a três dias (ou até mais) enquanto você espera por coisas como aplicativos para instalar, atualizações do Windows para baixar ou arquivos de backup grandes transferir ... mas é melhor do que descobrir mais tarde que bandidos drenaram sua conta bancária. Infelizmente, isso é algo que você deve fazer sozinho ou que um amigo técnico faça por você. A uma taxa de consultoria típica de cerca de US $ 100 / hora, pode ser mais barato comprar uma máquina nova do que pagar uma loja para fazer isso. Se você tem um amigo, faça algo de bom para mostrar sua gratidão. Até os geeks que adoram ajudá-lo a configurar coisas novas ou consertar hardware quebrado geralmente odeiamo tédio do trabalho de limpeza. Também é melhor se você fizer seu próprio backup ... seus amigos não saberão onde você coloca quais arquivos ou quais são realmente importantes para você. Você está em uma posição melhor para fazer um bom backup do que eles.

Em breve, tudo isso pode não ser suficiente, pois agora existe um malware capaz de infectar o firmware. Mesmo substituir o disco rígido pode não remover a infecção, e comprar um novo computador será a única opção. Felizmente, no momento em que estou escrevendo isso, ainda não chegamos a esse ponto, mas estamos definitivamente no horizonte e nos aproximando rapidamente.

Se você absolutamente insiste, além de qualquer motivo, que realmente deseja limpar sua instalação existente, em vez de começar de novo, então, pelo amor de Deus, verifique se qualquer método usado envolve um dos dois procedimentos a seguir:

• Remova o disco rígido e conecte-o como um disco convidado em um computador diferente (limpo!) Para executar a verificação.

OU

• Inicialize a partir de uma chave de CD / USB com seu próprio conjunto de ferramentas executando seu próprio kernel. Verifique se a imagem foi obtida e gravada em um computador limpo. Se necessário, peça a um amigo que faça o disco para você.

Sob nenhuma circunstância você deve tentar limpar um sistema operacional infectado usando o software em execução como um processo convidado do sistema operacional comprometido. Isso é simplesmente burro.

Obviamente, a melhor maneira de corrigir uma infecção é evitá-la, e há algumas coisas que você pode fazer para ajudar nisso:

1. Mantenha seu sistema corrigido. Certifique-se de instalar prontamente as atualizações do Windows, da Adobe, da Java, da Apple, etc. Isso é muito mais importante do que o software antivírus e, na maioria das vezes, não é tão difícil, desde que você se mantenha atualizado. A maioria dessas empresas decidiu informalmente lançar todos os novos patches no mesmo dia de cada mês; portanto, se você se mantém atualizado, ele não o interrompe com tanta frequência. As interrupções do Windows Update geralmente acontecem apenas quando você as ignora por muito tempo. Se isso acontece com você com frequência, cabe a você mudar seu comportamento. Isso é importante e não há problema em escolher continuamente a opção "instalar mais tarde", mesmo que seja mais fácil no momento.
2. Não execute como administrador por padrão. Nas versões recentes do Windows, é tão simples quanto deixar o recurso UAC ativado.
3. Use uma boa ferramenta de firewall. Atualmente, o firewall padrão no Windows é bom o suficiente. Você pode complementar essa camada com algo como o WinPatrol, que ajuda a interromper atividades maliciosas no front-end. O Windows Defender funciona nessa capacidade também até certo ponto. Os plug-ins básicos do navegador Ad-Blocker também estão se tornando cada vez mais úteis nesse nível como ferramenta de segurança.
4. Defina a maioria dos plug-ins de navegador (especialmente Flash e Java) como "Pedir para ativar".

5. Execute o software antivírus atual . Este é um quinto distante das outras opções, pois o software A / V tradicional geralmente não é mais tão eficaz. Também é importante enfatizar o "atual". Você poderia ter o melhor software antivírus do mundo, mas, se não estiver atualizado, poderá desinstalá-lo.

   Por esse motivo, atualmente recomendo o Microsoft Security Essentials. (Desde o Windows 8, o Microsoft Security Essentials faz parte do Windows Defender.) Provavelmente existem mecanismos de verificação muito melhores por aí, mas o Security Essentials se manterá atualizado, sem arriscar um registro expirado. O AVG e o Avast também funcionam bem dessa maneira. Eu simplesmente não posso recomendar nenhum software antivírus pelo qual você realmente pague, porque é muito comum que uma assinatura paga termine e você termine com definições desatualizadas.

   Também é importante notar aqui que os usuários de Mac agora também precisam executar software antivírus. Os dias em que eles poderiam fugir sem isso já se foram. Como um aparte, acho hilário agora eu devo recomendar que os usuários do Mac comprem software antivírus, mas aconselhem os usuários do Windows contra isso.

6. Evite sites de torrent, warez, software pirateado e filmes / vídeos pirateados. Esse material geralmente é injetado com malware pela pessoa que o quebrou ou o postou - nem sempre, mas com frequência suficiente para evitar toda a bagunça. É parte do motivo pelo qual um cracker faria isso: geralmente eles obtêm um corte de qualquer lucro.
7. Use sua cabeça ao navegar na web. Você é o elo mais fraco da cadeia de segurança. Se algo parece bom demais para ser verdade, provavelmente é. O botão de download mais óbvio raramente é aquele que você deseja usar mais ao baixar um novo software, portanto, leia e compreenda tudo na página da web antes de clicar nesse link. Se você aparecer ou ouvir uma mensagem sonora pedindo para ligar para a Microsoft ou instalar alguma ferramenta de segurança, é uma farsa.
   Além disso, prefira fazer o download do software e atualizações / atualizações diretamente do fornecedor ou desenvolvedor, em vez de sites de hospedagem de arquivos de terceiros.

_{^{1 A} Microsoft agora publica a mídia de instalação do Windows 10 para que você possa baixar e gravar legalmente em uma unidade flash de 8 GB ou mais gratuitamente. Você ainda precisa de uma licença válida, mas não precisa mais de um disco de recuperação separado para o sistema operacional básico.}

_{² Este é um bom momento para ressaltar que suavizei um pouco minha abordagem. Hoje, a maioria das "infecções" se enquadra na categoria de PUPs (programas potencialmente indesejados) e extensões de navegador incluídas em outros downloads. Muitas vezes, esses PUPs / extensões podem ser removidos com segurança por meios tradicionais e agora são uma porcentagem grande o suficiente de malware que eu posso parar nesse momento e simplesmente tentar o recurso Adicionar / Remover Programas ou a opção normal do navegador para remover uma extensão. No entanto, ao primeiro sinal de algo mais profundo - qualquer sugestão de que o software não será desinstalado normalmente normalmente - e voltamos a repavimentar a máquina.}

Como posso saber se meu PC está infectado?

Sintomas gerais para malware podem ser qualquer coisa. Os de sempre são:

• A máquina está mais lenta que o normal.
• Falhas aleatórias e coisas acontecendo quando não deveriam (por exemplo, alguns novos vírus impõem restrições de política de grupo à sua máquina para impedir que o gerenciador de tarefas ou outros programas de diagnóstico sejam executados).
• O gerenciador de tarefas mostra uma CPU alta quando você acha que sua máquina deve estar ociosa (por exemplo, <5%).
• Anúncios aparecendo aleatoriamente.
• Avisos de vírus surgindo de um antivírus que você não se lembra de instalar (o programa antivírus é falso e tenta alegar que você tem vírus assustadores com nomes como 'bankpasswordstealer.vir'. É recomendável pagar por esse programa para limpá-los. )
• Popups / tela azul falsa da morte (BSOD) pedindo que você ligue para um número para corrigir a infecção.
• As páginas da Internet redirecionadas ou bloqueadas, por exemplo, as home pages dos produtos AV ou sites de suporte (www.symantec.com, www.avg.com, www.microsoft.com) são redirecionadas para sites cheios de anúncios ou sites falsos que promovem anti-spam falso ferramentas de remoção de vírus / "úteis" ou estão completamente bloqueadas.
• Maior tempo de inicialização, quando você não está instalando aplicativos (ou patches) ... Esse é um problema.
• Seus arquivos pessoais são criptografados e você vê uma nota de resgate.
• Qualquer coisa inesperada, se você "conhece" seu sistema, normalmente sabe quando algo está muito errado.

Como faço para me livrar disso?

Usando um Live CD

Como o antivírus do PC infectado pode estar comprometido, provavelmente é mais seguro verificar a unidade a partir de um Live CD. O CD inicializará um sistema operacional especializado no seu computador, que examinará o disco rígido.

Por exemplo, existem o Avira Antivir Rescue System ou ubcd4win . Mais sugestões podem ser encontradas na Lista de downloads de CDs de inicialização antivírus inicializáveis ​​GRATUITOS , como:

• CD do Kaspersky Rescue
• CD de Resgate BitDefender
• CD de resgate F-Secure
• Disco de recuperação do Avira Antivir
• CD do kit de resgate Trinity
• CD de recuperação do AVG

Conectando o disco rígido a outro PC

Se você estiver conectando o disco rígido infectado a um sistema limpo para verificar, atualize as definições de vírus de todos os produtos que você usará para verificar a unidade infectada. Esperar uma semana para permitir que os provedores de antivírus liberem novas definições de vírus pode melhorar suas chances de detectar todos os vírus.

Verifique se o sistema infectado permanece desconectado da Internet assim que você o encontrar. Isso impedirá que seja possível baixar novas edições de vírus (entre outras coisas).

Comece com uma boa ferramenta como o Spybot Search and Destroy ou o Malwarebytes 'Anti-Malware e faça uma verificação completa. Tente também o ComboFix e o SuperAntiSpyware . Nenhum produto antivírus terá todas as definições de vírus. O uso de vários produtos é essencial ( não para proteção em tempo real ). Se apenas um vírus permanecer no sistema, ele poderá baixar e instalar todas as edições mais recentes de novos vírus e todo o esforço até agora teria sido por nada.

Remova programas suspeitos da inicialização

1. Inicie no modo de segurança.
2. Use msconfigpara determinar quais programas e serviços iniciam na inicialização (ou na inicialização no gerenciador de tarefas no Windows 8).
3. Se houver programas / serviços suspeitos, remova-os da inicialização. Caso contrário, pule para o uso de um CD ao vivo.
4. Reiniciar.
5. Se os sintomas não desaparecerem e / ou o programa se substituir na inicialização, tente usar um programa chamado Autoruns para encontrar o programa e remova-o de lá. Se o seu computador não conseguir inicializar, o Autoruns possui um recurso no qual ele pode ser executado a partir de um segundo PC chamado "Analisar PC offline". Preste muita atenção nas guias Logone Scheduled tasks.
6. Se ainda não houver êxito na remoção do programa e você tiver certeza de que é a causa dos seus problemas, inicialize no modo normal e instale uma ferramenta chamada Unlocker
7. Navegue até o local do arquivo que é esse vírus e tente usar o unlocker para eliminá-lo. Algumas coisas podem acontecer:
   1. O arquivo é excluído e não reaparece na reinicialização. Este é o melhor caso.
   2. O arquivo é excluído, mas reaparece imediatamente. Nesse caso, use um programa chamado Process Monitor para descobrir o programa que recriou o arquivo. Você precisará excluir esse programa também.
   3. O arquivo não pode ser excluído, o unlocker solicitará que você o exclua na reinicialização. Faça isso e veja se ele reaparece. Nesse caso, você deve ter um programa na inicialização que faça com que isso aconteça e reexaminar a lista de programas executados na inicialização.

O que fazer depois de restaurar

Agora deve ser seguro (espero) inicializar no seu sistema (anteriormente) infectado. Ainda assim, mantenha os olhos abertos para sinais de infecção. Um vírus pode deixar alterações em um computador que tornariam mais fácil a reinfecção, mesmo após a remoção do vírus.

Por exemplo, se um vírus alterasse as configurações de DNS ou proxy, seu computador o redirecionaria para versões falsas de sites legítimos, para que o download do que parece ser um programa conhecido e confiável pudesse realmente baixar um vírus.

Eles também podem obter suas senhas redirecionando você para sites de contas bancárias falsas ou sites de email falsos. Certifique-se de verificar suas configurações de DNS e proxy. Na maioria dos casos, seu DNS deve ser fornecido pelo seu ISP ou adquirido automaticamente pelo DHCP. Suas configurações de proxy devem estar desativadas.

Verifique se há entradas suspeitas no seu hostsarquivo ( \%systemroot%\system32\drivers\etc\hosts) e remova-as imediatamente. Verifique também se o firewall está ativado e se você possui todas as atualizações mais recentes do Windows.

Em seguida, proteja seu sistema com um bom antivírus e complemente-o com um produto anti-malware. O Microsoft Security Essentials é frequentemente recomendado junto com outros produtos .

O que fazer se tudo falhar

Note-se que alguns malwares são muito bons para evitar scanners. É possível que, uma vez infectado, ele possa instalar rootkits ou similares para permanecer invisível. Se as coisas estiverem realmente ruins, a única opção é limpar o disco e reinstalar o sistema operacional a partir do zero. Às vezes, uma verificação usando o GMER ou o TDSS Killer da Kaspersky pode mostrar se você possui um rootkit.

Você pode fazer algumas execuções do Spybot Search and Destroy. Se, após três execuções, não for possível remover uma infestação (e você não a fizer manualmente), considere uma reinstalação.

Outra sugestão: Combofix é uma ferramenta de remoção muito poderosa quando os rootkits impedem que outras coisas sejam executadas ou instaladas.

O uso de vários mecanismos de verificação certamente pode ajudar a encontrar os malwares mais ocultos, mas é uma tarefa exigente e uma boa estratégia de backup / restauração será mais eficiente e segura.

Bônus: Há uma série de vídeos interessantes começando com " Entendendo e combatendo malware: vírus, spyware", com Mark Russinovich, criador do Sysinternals ProcessExplorer & Autoruns, sobre limpeza de malware.

Existem algumas ótimas dicas de combate a malware no artigo "Como limpar uma infestação de spywares do Windows", de Jeff Atwood . Aqui está o processo básico (não deixe de ler a postagem do blog para obter capturas de tela e outros detalhes descritos neste resumo):

1. Pare qualquer spyware em execução no momento. O Gerenciador de tarefas embutido no Windows não funciona; obtenha o Sysinternals Process Explorer .
   1. Execute o Process Explorer.
   2. Classifique a lista de processos por Nome da empresa.
   3. Mate quaisquer processos que não tenham um Nome da Empresa (excluindo DPCs, Interrupções, Sistema e Processo Inativo do Sistema) ou que tenham Nomes de Empresa que você não reconheça.
2. Pare o spyware de reiniciar na próxima vez que o sistema for inicializado. Novamente, a ferramenta interna do Windows, MSconfig, é uma solução parcial, mas o Sysinternals AutoRuns é a ferramenta a ser usada.
   1. Execute as execuções automáticas.
   2. Percorra a lista inteira. Desmarque as entradas suspeitas - aquelas com nomes de editores em branco ou qualquer nome de editor que você não reconheça.
3. Agora reinicie.
4. Após a reinicialização, verifique novamente com o Process Explorer e as Execuções Automáticas. Se algo "voltar", você terá que cavar mais fundo.
   • No exemplo de Jeff, algo que voltou foi uma entrada de driver suspeita no AutoRuns. Ele fala rastreando o processo que o carregou no Process Explorer, fechando o identificador e excluindo fisicamente o driver não autorizado.
   • Ele também encontrou um arquivo DLL de nome estranho conectado ao processo Winlogon e demonstra como localizar e eliminar os threads do processo que carregam essa DLL para que os AutoRuns possam finalmente remover as entradas.

Minha maneira de remover malware é eficaz e nunca o vi falhar:

1. Baixe Autoruns e, se você ainda executar 32 bits, baixe um scanner de rootkit.
2. Inicialize no modo de segurança e inicie a execução automática, se puder, e vá para a etapa 5.
3. Se você não conseguir entrar no modo de segurança, conecte o disco a outro computador.
4. Inicie a execução automática nesse computador, vá em Arquivo -> Analisar sistema offline e preencha-o.
5. Aguarde a digitalização.
6. No menu Opções, selecione tudo.
7. Deixe digitalizar novamente pressionando F5. Isso será rápido conforme as coisas forem armazenadas em cache.
8. Percorra a lista e desmarque qualquer coisa que seja visível ou que não tenha uma empresa verificada.
9. Opcional: Execute o scanner rootkit.
10. Deixe um scanner antivírus superior remover todos os arquivos restantes.
11. Opcional: Execute scanners anti-malware e anti-spyware para se livrar do lixo.
12. Opcional: Execute ferramentas como HijackThis / OTL / ComboFix para se livrar do lixo.
13. Reinicie e aproveite seu sistema limpo.
14. Opcional: Execute o scanner rootkit novamente.
15. Verifique se o seu computador está suficientemente protegido!

Algumas observações:

• Autoruns é escrito pela Microsoft e, portanto, mostra todos os locais de coisas que iniciam automaticamente ...
• Quando o software é desmarcado da Execução automática, ele não inicia e não pode impedir que você o remova ...
• Não existem rootkits para sistemas operacionais de 64 bits porque precisariam ser assinados ...

É eficaz porque desativa o início de malware / spyware / vírus;
você pode executar ferramentas opcionais para limpar qualquer lixo que foi deixado no seu sistema.

Siga a ordem abaixo para desinfetar seu PC

1. Em um PC que não esteja infectado, faça um disco AV de inicialização e, em seguida, inicialize a partir do disco no PC infectado, verifique o disco rígido e remova as infecções que encontrar. Prefiro o CD / USB de inicialização offline do Windows Defender, pois ele pode remover vírus do setor de inicialização, consulte "Observação" abaixo.

   Ou você pode experimentar outros discos de inicialização AV .

2. Depois de verificar e remover o malware usando o disco de inicialização, instale o MBAM gratuito , execute o programa e vá para a guia Atualizar e atualize-o. Em seguida, vá para a guia Scanner e faça uma verificação rápida, selecione e remova tudo o que encontrar.

3. Quando o MBAM terminar, instale a versão gratuita do SAS , execute uma verificação rápida e remova o que ele seleciona automaticamente.

4. Se os arquivos de sistema do Windows foram infectados, pode ser necessário executar o SFC para substituir os arquivos, talvez seja necessário fazer isso offline se ele não inicializar devido à remoção dos arquivos de sistema infectados. Eu recomendo que você execute o SFC após a remoção de qualquer infecção.

5. Em alguns casos, pode ser necessário executar um reparo de inicialização (apenas Windows Vista e Windows7) para inicializá-lo corretamente novamente. Em casos extremos, podem ser necessários três reparos de inicialização seguidos.

MBAM e SAS não são softwares de antivírus, como o Norton, são scanners sob demanda que só examinam sujeiras quando você executa o programa e não interferem no seu antivírus instalado; eles podem ser executados uma vez por dia ou semana para garantir que você não esteja infectado. Atualize-os antes de cada verificação semanal semanal.

Nota: o produto Windows Defender Offline é muito bom na remoção de infecções persistentes por MBR, comuns hoje em dia.

.

Para usuários avançados:

Se você tiver uma única infecção que se representa como software, ou seja, "Correção do sistema" "AV Security 2012" etc., consulte esta página para obter guias de remoção específicos

.

Se você notar algum dos sintomas, uma coisa a verificar são as configurações de DNS na sua conexão de rede.

Se eles foram alterados de "Obter endereço do servidor DNS automaticamente" ou para um servidor diferente daquele que deveria ser, é um bom sinal de que você está com uma infecção. Essa será a causa dos redirecionamentos para longe de sites antimalware ou uma falha completa ao acessar o site.

Provavelmente, é uma boa ideia anotar suas configurações de DNS antes que ocorra uma infecção para que você saiba quais devem ser. Os detalhes também estarão disponíveis nas páginas de ajuda do site do seu ISP.

Se você não possui uma anotação dos servidores DNS e não consegue encontrar as informações no site do ISP, usar os servidores DNS do Google é uma boa alternativa. Eles podem ser encontrados em 8.8.8.8 e 8.8.4.4 para os servidores primário e secundário, respectivamente.

Embora a redefinição do DNS não resolva o problema, permitirá: a) acessar os sites anti-malware para obter o software necessário para limpar o PC eb) detectar se a infecção se repete, pois as configurações de DNS mudam novamente.

Ransomware

Uma forma mais recente e horrível de malware é o ransomware . Esse tipo de programa, geralmente entregue com um Trojan (por exemplo, um anexo de e-mail) ou uma exploração do navegador, percorre os arquivos do computador, criptografa-os (tornando-os completamente irreconhecíveis e inutilizáveis) e exige um resgate para devolvê-los a um valor utilizável. Estado.

O ransomware geralmente usa criptografia de chave assimétrica , que envolve duas chaves: a chave pública e a chave privada . Quando você é atingido pelo ransomware, o programa malicioso em execução no seu computador se conecta ao servidor dos bandidos (o comando e controle, ou C&C), que gera as duas chaves. Ele envia apenas a chave pública para o malware no seu computador, pois é tudo o que precisa para criptografar os arquivos. Infelizmente, os arquivos só podem ser descriptografados com a chave privada, que nunca chega à memória do computador se o ransomware estiver bem escrito. Os bandidos geralmente afirmam que lhe fornecerão a chave privada (permitindo que você descriptografe seus arquivos) se você pagar, mas é claro que você deve confiar neles.

O que você pode fazer

A melhor opção é reinstalar o sistema operacional (para remover todos os vestígios de malware) e restaurar seus arquivos pessoais dos backups feitos anteriormente. Se você não tiver backups agora, isso será mais desafiador. Crie o hábito de fazer backup de arquivos importantes.

O pagamento provavelmente permitirá que você recupere seus arquivos, mas não o faça . Fazer isso suporta seu modelo de negócios. Além disso, digo "provavelmente deixe você se recuperar" porque conheço pelo menos duas estirpes que são tão mal escritas que elas irreparavelmente alteram seus arquivos; mesmo o programa de descriptografia correspondente não funciona realmente.

Alternativas

Felizmente, há uma terceira opção. Muitos desenvolvedores de ransomware cometeram erros que permitem aos bons profissionais de segurança desenvolver processos que desfazem os danos. O processo para fazer isso depende inteiramente da tensão do ransomware, e essa lista está constantemente mudando. Algumas pessoas maravilhosas reuniram uma grande lista de variantes de ransomware , incluindo as extensões aplicadas aos arquivos bloqueados e o nome da nota de resgate, que podem ajudá-lo a identificar qual versão possui. Para algumas variedades, essa lista também tem um link para um decodificador gratuito! Siga as instruções apropriadas (os links estão na coluna Decryptor) para recuperar seus arquivos. Antes de começar , use as outras respostas para esta pergunta para garantir que o programa ransomware seja removido do seu computador.

Se você não conseguir identificar o que foi atingido apenas pelas extensões e pelo nome da nota de resgate, tente pesquisar na Internet algumas frases distintas da nota de resgate. Erros de ortografia ou gramática geralmente são únicos e você provavelmente encontrará um tópico no fórum que identifica o ransomware.

Se sua versão ainda não é conhecida ou não tem uma maneira livre de descriptografar os arquivos, não perca a esperança! Pesquisadores de segurança estão trabalhando para desfazer o ransomware e a aplicação da lei está perseguindo os desenvolvedores. É possível que um decodificador apareça. Se o resgate for limitado por tempo, é possível que seus arquivos ainda sejam recuperáveis ​​quando a correção for desenvolvida. Mesmo se não, por favor, não pague, a menos que seja absolutamente necessário. Enquanto você espera, verifique se o seu computador está livre de malware, novamente usando as outras respostas a esta pergunta. Considere fazer backup das versões criptografadas dos seus arquivos para mantê-los seguros até que a correção seja lançada.

Depois de recuperar o máximo possível (e fazer backups em mídia externa!), Considere instalar o sistema operacional desde o início. Novamente, isso eliminará qualquer malware que se alojou profundamente dentro do sistema.

Dicas adicionais específicas de variantes

Algumas dicas específicas de variantes de ransomware que ainda não estão na grande planilha:

• Se a ferramenta de descriptografia do LeChiffre não funcionar, você poderá recuperar todos, exceto o primeiro e o último 8 KB dos dados de cada arquivo usando um editor hexadecimal. Vá para o endereço 0x2000 e copie todos, exceto os últimos 0x2000 bytes. Arquivos pequenos serão completamente destruídos, mas com algumas brincadeiras, você poderá obter algo útil em arquivos maiores.
• Se você foi atingido pelo WannaCrypt e está executando o Windows XP, não foi reinicializado desde a infecção e teve sorte, poderá extrair a chave privada com o Wannakey .
• O Bitdefender possui várias ferramentas gratuitas para ajudar a identificar a variante e descriptografar algumas variantes específicas.
• (outros serão adicionados à medida que são descobertos)

Conclusão

O ransomware é desagradável, e a triste realidade é que nem sempre é possível se recuperar dele. Para se manter seguro no futuro:

• Mantenha seu sistema operacional, navegador da Web e antivírus atualizados
• Não abra anexos de email que você não esperava, especialmente se você não conhece o remetente
• Evite sites incompletos (ou seja, aqueles que apresentam conteúdo ilegal ou eticamente dúbio)
• Verifique se sua conta só tem acesso aos documentos com os quais você pessoalmente precisa trabalhar
• Sempre tenha backups funcionando em mídia externa (não conectada ao seu computador)!

Existe uma grande variedade de malware. Parte disso é trivial de encontrar e remover. Algumas delas são mais complicadas. Algumas delas são realmente difíceis de encontrar e muito difíceis de remover.

Mas mesmo se você tiver um malware leve, considere fortemente reformar e reinstalar o sistema operacional. Isso ocorre porque sua segurança já falhou e, se falhou em um malware simples, talvez você já esteja infectado por um malware vicioso.

As pessoas que trabalham com dados confidenciais ou dentro de redes onde os dados confidenciais são mantidos devem considerar a limpeza e a reinstalação. As pessoas cujo tempo é valioso devem considerar a limpeza e reinstalação (é o método mais rápido, fácil e seguro). As pessoas que não se sentem confortáveis ​​com ferramentas avançadas devem considerar a limpeza e a reinstalação.

Mas as pessoas que têm tempo e gostam de brincar, podem experimentar os métodos listados em outras postagens.

As soluções possíveis para uma infecção por vírus estão em ordem: (1) verificações de antivírus, (2) reparo do sistema, (3) reinstalação total.

Primeiro, verifique se todos os seus dados estão armazenados em backup.

Carregue e instale alguns antivírus, verifique se estão atualizados e verifique profundamente seu disco rígido. Eu recomendo usar pelo menos o Malwarebytes 'Anti-Malware . Eu também gosto do Avast.

Se isso não funcionar por qualquer motivo, você pode usar um scanner de vírus de CD ao vivo de resgate: Gosto mais do Avira AntiVir Rescue System, porque ele é atualizado várias vezes ao dia e, portanto, o CD de download está atualizado. Como um CD de inicialização, é autônomo e não funciona no sistema Windows.

Se nenhum vírus for encontrado, use "sfc / scannow" para reparar arquivos importantes do Windows.
Veja este artigo .

Se isso também não funcionar, você deve executar uma instalação de reparo .

Se nada funcionar, você deve formatar o disco rígido e reinstalar o Windows.

Outra ferramenta que eu gostaria de adicionar à discussão é o Microsoft Safety Scanner . Foi lançado há alguns meses atrás. É um pouco como a Ferramenta de Remoção de Software Mal-Intencionado , mas projetada para uso offline. Ele terá as definições mais recentes a partir do momento em que o fizer o download e só será utilizável por 10 dias, pois considerará seu arquivo de definições "muito antigo para ser usado". Faça o download em outro computador e execute-o no modo de segurança. Funciona muito bem.

Um pouco da teoria primeiro: por favor, entenda que não há substituto para a compreensão .

O antivírus definitivo é entender o que você está fazendo e, geralmente, o que está acontecendo com seu sistema, com sua própria mente e na chamada realidade.

Nenhuma quantidade de software ou hardware o protegerá totalmente de si mesmo e de suas próprias ações, o que na maioria dos casos é como o malware entra no sistema em primeiro lugar.

A maioria dos malwares, adwares e spywares de "nível de produção" modernos contam com vários truques de "engenharia social" para enganar você na instalação de aplicativos "úteis", complementos, barras de ferramentas do navegador, 'antivírus' ou clicar em Downloadbotões verdes grandes que instalam malware em sua máquina.

Mesmo um instalador de um aplicativo supostamente confiável, como, por exemplo, o uTorrent, instalaria por padrão adware e possivelmente spyware se você simplesmente clicar no Nextbotão e não tenha tempo para ler o que significam todas as caixas de seleção.

A melhor maneira de combater os truques de engenharia social que os hackers usam é a engenharia social reversa - se você dominar essa técnica, conseguirá evitar a maioria dos tipos de ameaças e manter seu sistema limpo e saudável, mesmo sem antivírus ou firewall.

Se você notou sinais de formas de vida mal-intencionadas / não solicitadas no seu sistema, a única solução limpa seria reformatar e reinstalar completamente o sistema. Faça um backup como descrito em outras respostas aqui, formate rapidamente os discos e reinstale o sistema ou, melhor ainda, mova os dados úteis para algum armazenamento externo e crie novamente uma imagem da partição do sistema a partir de um despejo de partição limpo que você fez anteriormente.

Alguns computadores têm uma opção de BIOS para reverter o sistema para as configurações originais de fábrica. Mesmo que isso pareça um exagero, nunca será prejudicial e, mais importante, resolverá todos os outros problemas eventuais, esteja você ciente deles ou não, sem precisar lidar com cada problema um por um.

A melhor maneira de 'consertar' um sistema comprometido é não consertá-lo, mas reverter para um instantâneo 'bom' conhecido usando algum tipo de software de criação de imagens de partição, como o Paragon Disk Manager, o Paragon HDD Manager, o Acronys Disk Manager, ou por exemplo, ddse você fez o backup do Linux.

Com referência a William Hilsum "Como faço para me livrar disso: usando um CD ao vivo" acima:

Um vírus não poderá ser executado em um ambiente de CD ao vivo, para que você possa fazer uso temporário do seu computador sem medo de mais infecções. O melhor de tudo é que você pode acessar todos os seus arquivos. Em 20 de junho de 2011, Justin Pot escreveu um livreto intitulado "50 usos legais para CDs ao vivo". O início do livreto explica como inicializar a partir do CD, Flash Drive ou cartão SD, e as páginas 19 a 20 explicam sobre a digitalização com diferentes "antimalwares", alguns já mencionados. O conselho dado é inestimável para esse cenário e é explicado em inglês fácil de entender. É claro que o restante do livreto é inestimável para suas outras necessidades de computação. (o link para o download (em formato PDF) é fornecido no link abaixo. Lembre-se sempre de ser sensato ao usar a Internet, não fique tentado a desviar-se de "lugares" onde o malware provavelmente está à espreita, e você deve ficar bem. Qualquer antivírus, Internet Security Suites etc. que você talvez esteja usando deve ter as atualizações mais recentes e qualquer sistema operacional que você esteja usando também deve ser mantido atualizado.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

Depois de clicar ou copiar e colar o link acima, clique em

DOWNLOAD 50 usos legais para CDs ao vivo (escritos em azul)

Observe que tentei escrever isso na seção de comentários, mas não consegui encaixá-lo. Por isso, dei-o em uma resposta oficial, pois é inestimável.

Dois pontos importantes:

1. Não seja infectado em primeiro lugar. Use um bom firewall e antivírus e pratique a "computação segura" - fique longe de sites questionáveis ​​e evite fazer o download de coisas quando não souber de onde elas vêm.
2. Esteja ciente de que muitos sites na Web dizem que você está "infectado" quando não está - eles querem induzi-lo a comprar o seu anti-spyware indesejado ou, pior, querem que você faça o download de coisas que são, de fato, spyware disfarçado de "aplicativo anti-spyware gratuito". Da mesma forma, esteja ciente de que muitos neste site, principalmente por estupidez, diagnosticarão qualquer erro "estranho", particularmente o tipo de corrupção no registro pelo qual o Windows é famoso, como sinais de spyware.

Conforme sugerido anteriormente neste tópico, se você tiver certeza de que está infectado, use um live CD do Linux para inicializar o computador e fazer backup imediato de todos os seus dados confidenciais.

Também é uma boa prática ter seus arquivos confidenciais armazenados em um disco rígido diferente da unidade de inicialização do SO. Dessa forma, você pode formatar com segurança o sistema infectado e executar uma varredura abrangente em seus dados confidenciais, apenas para ficar do lado seguro.

De fato, não há melhor solução do que formatar a partição do sistema para garantir que você execute um ambiente livre de vírus e malware. Mesmo se você executar uma boa ferramenta (e sem dúvida houver muitas por aí), sempre haverá sobras para trás e seu sistema poderá parecer limpo no momento, mas certamente se torna uma bomba-relógio à espera de explodir mais tarde.

Em 8 de dezembro de 2012, o Remove-Malware lançou um tutorial em vídeo intitulado "Remover o Malware Free 2013 Edition", juntamente com um guia complementar que descreve como se livrar do malware do seu PC infectado gratuitamente.

Eles descrevem

• Backup - Como fazer backup de seus documentos pessoais importantes, caso seu PC se torne inacessível.
• Reunindo o software necessário para este guia.
• Antivírus inicializável - Por que o antivírus inicializável é a melhor maneira de remover malware.
• Disco antivírus inicializável - Como criar um disco antivírus inicializável.
• Disco antivírus inicializável - Como verificar seu PC com um disco antivírus inicializável.
• Limpeza - Arredonde os restos e remova-os.
• Impedir que isso aconteça novamente

O tutorial em vídeo tem mais de 1 hora de duração e, juntamente com o guia escrito, é um excelente recurso.

O tutorial em vídeo: link

Guia Escrito: link

Atualizar:

Um artigo muito informativo escrito hoje em 1º de fevereiro de 2013 por J. Brodkin, intitulado "Vírus, cavalos de Troia e worms, oh meu: o básico sobre malware O malware móvel pode estar na moda, mas o malware do PC ainda é o grande problema". de arstechnica.com destaca o problema contínuo de malware e diferentes tipos de malware, com explicações sobre cada um deles, destacando:

• Backdoors
• Trojans de acesso remoto
• Ladrões de informações
• Ransomware

O artigo também destaca a disseminação de malware, operação de botnet e negócios sob ataque.

RESPOSTA CURTA:

1. Faça backup de todos os seus arquivos.
2. Formate sua partição do sistema.
3. Reinstale o Windows.
4. Instale antivírus.
5. Atualize suas janelas.
6. Examine seu backup com antivírus antes de começar a usá-lo.

Hoje você nunca pode ter certeza de que removeu completamente uma infestação, exceto se você limpar sua unidade e começar de novo.

Não acho que programas antivírus como MSE, MCAfee, Norton, Kaspersky etc. possam protegê-lo 100% porque seus arquivos de definição sempre vêm depois do fato - depois que o malware já está disponível na Web e pode ter feito muito. de dano. E muitos deles não protegem você contra filhotes e adware.

Também não acho que scanners como Malwarbytes, Superantispyware, scanner Bitdefender e outros possam ajudar muito quando o malware já danificou seu sistema. Se você tiver scanners suficientes, poderá remover o malware, mas não poderá reparar os danos causados ​​por esse malware.

Portanto, desenvolvi uma estratégia em duas camadas:

1. Crio imagens semanais (uso Macrium gratuito ) da partição do sistema e da partição de dados em dois discos externos que são conectados apenas durante a geração de imagens. Portanto, nenhum malware pode acessá-los. Se algo não funcionar no meu sistema, sempre posso restaurar a imagem mais recente. Normalmente mantenho meia dúzia de imagens completas, caso precise voltar mais além da semana passada. Além disso, tenho a restauração do sistema ativada no meu sistema operacional para que eu possa voltar rapidamente em caso de uma atualização com defeito. Mas as imagens do sistema (sombras) não são muito confiáveis ​​porque podem desaparecer por vários motivos. Confiar apenas nas imagens do sistema não é suficiente.

2. A maior parte do meu trabalho na Internet eu faço de uma partição virtual do Linux. O Linux em si não é alvo de malware e o malware do Windows não pode afetar o Linux. Com esse sistema eu faço

todos os meus downloads e verificando-os com o Virus Total antes de movê-los para o sistema Windows. O Virus Total executa o arquivo em 60 dos programas antivírus mais conhecidos e, se ele sair limpo, as chances são muito altas de limpeza.

todo o acesso à Internet a sites nos quais não tenho 100% de certeza de que eles são limpos - como, por exemplo, este site aqui.

todo o meu correio. Essa é a vantagem do Gmail e da AOL. Posso verificar meus e-mails com meu navegador. Aqui posso abrir qualquer correspondência sem ter medo de pegar um vírus. E anexos eu corro através do Virus Total.

todos os meus serviços bancários on-line. O Linux me fornece uma camada extra de segurança

Com essa abordagem, não vejo nenhum malware há anos. Se você gosta de experimentar uma partição virtual do Linux, aqui está como .

Quais são os sintomas de uma infecção?

pode não ser nada que o usuário possa entender em termos de desempenho ou de qualquer outra forma; nesses casos, sem 100% de precisão, pode ver algo no gerenciador de tarefas sendo executado e ele não tem idéia do que é ou de como veio a estar lá. mas há casos em que o desempenho dos computadores fica ruim, os programas estão mais lentos, ou não funcionam, ou o que seja ... os sintomas realmente variam e há casos em que uma infecção pode ser óbvia quase sem pensar duas vezes, há casos em que é muito difícil entender mesmo que algo dê errado. tudo depende do que você está infectado (vírus, cavalo de Troia, nomeie como quiser) e principalmente do distaster causado por ele.

O que devo fazer depois de perceber uma infecção? O que posso fazer para me livrar dele? 1. Examine o seu computador com um antivírus. (KAspersky Internet Security, McAfee, Avast, etc.). Lembre-se de que mesmo usando o BEST Antivirus pode encontrar do que você está infectado, mas a desinfecção NÃO é100% garantido. 2. mantenha um backup dos seus arquivos (verifique se eles também não estão infectados) e se livre de todos os arquivos infectados no seu computador, mesmo que isso signifique excluí-los. se você usá-los, será infectado novamente, portanto, considere-os perdidos de qualquer maneira. Você pode tentar usar outro programa antivírus e tudo bem, mas não tem grandes esperanças. 3. A melhor / mais rápida / mais eficaz maneira de se livrar de uma infecção é formatar sua unidade de disco e fazer uma instalação limpa do seu sistema operacional. 4. Se você estiver prestes a usar QUALQUER backup, verifique novamente com um programa antivírus antes de aplicar. pode estar infectado também antes de você entender que algo estava errado.

como evitar a infecção por malware?

1. Atualmente, a maioria dos programas antivírus é uma solução para quase todos os tipos de malware / vírus etc., usando um antivírus. Lembre-se de que a prevenção é melhor do que tentar resolver o problema posteriormente. Na maioria, eles fazem uma grande ajuda. Aplicativos também como SpyHunter, bytes de malware, Spybot etc também são ótimos para proteção extra. Usar um firewall também ajuda também. Lembre-se de que, mesmo que seu computador esteja offline e não tenha conexão com a Internet, ainda é necessário um antivírus. Razão, motivo? você pode usar CDs, pen drives, DVDs ou outros arquivos provenientes de amigos / clientes etc. que possam estar infectados. ainda a proteção que um antivírus oferece, mesmo nesse caso, é inestimável
2. Download / instalação / uso de software de fontes confiáveis.
3. Entrando em sites confiáveis ​​da Internet.
4. Verifique se o seu sistema operacional está SEMPRE ATUALIZADO! as atualizações não são apenas para o melhor desempenho, mas também para a segurança.

O problema com a verificação de malware externamente ou com um CD ao vivo é que muitas dessas partes desagradáveis ​​de software se conectam a processos de memória, drivers e muito mais. Se o sistema operacional do PC não estiver carregado, eles também não resultam em um processo frustrante de remoção. SEMPRE verifique se há malware enquanto o sistema operacional infectado é inicializado.

Com isso dito, carregue o Windows com uma cópia do RKILL em uma unidade USB. A execução desse utilitário mata qualquer processo de malware que se arrasta em segundo plano, permitindo avançar com a remoção. É MUITO eficaz. Ainda estou em uma situação em que o programa falhou e estou surpreso com quantos técnicos nunca ouviram falar dele.

Em seguida, optei por digitalizar com bytes de malware ou ComboFix. A boa vantagem desses scanners é que, em vez de utilizar definições de vírus, eles localizam malware incansavelmente com base no comportamento - uma técnica muito eficaz. Uma palavra de aviso - eles também são muito mais perigosos e podem realmente destruir uma loja séria no seu sistema operacional. Verifique se você tem um backup.

90% das vezes o processo acima funciona para mim e eu removo uma tonelada dessas coisas diariamente. Se você é paranóico, executar uma verificação com algo como AVG, SuperAntiSpyware ou Microsoft Security Essentials pode não ser uma má idéia. Embora eu não tenha visto esses programas detectar muito mais do que o cookie rastreador inofensivo, algumas pessoas juram por eles. Dê a si mesmo a paz de espírito e faça-o se necessário.