Removendo virus manualmente

As vezes vejo varias pessoas a formatarem seus pc's por causa de pequenos virus que podem ainda ser removidos manualmente isto e, por nos mesmos sem depender de nehum Antivirus, entao vamos la.

1º
Temos de identificar o virus ou seja qualquer processo suspeito que esteje sendo executado na nossa maquina, e para tal podemos ver todos os processos que estao sendo executadas no nosso pc. Vamos supor que por exemplo o meu pc esteje infectado por um virus de nome qttask.exe onde exe e a estensao do arquivo neste caso e um executavel, e nesta forma que a maioria dos virus aparecem. Entao vamos la abrir o gestor de tarefas e localizar o processo, veja a imagem:



como podem ver o suposto virus esta sendo executado, entao devemos primeiramente terminar este processo.

2º
Como pode o virus estar sendo executado sem eu nem ter executado alguma coisa no meu pc? Logo a unica resposta seria:
R: Ele e executado sempre que ligo o meu computador.
Entao vamos neste caso localiza-lo, e para tal iremos precisar mexer no Editor de Rregistro, vamos la:
Para abrir siga os seguintes passos:
1- Abrir o executar do menu iniciar (veja a figura):



2 - Digite regedit e de Ok (Veja a figura):

3 - Posto no regedit abra a seguinte chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
veja a figura:

Pronto estamos no sitio certo, agora so falta.....
Calma pessoal vou continuar no proximo topico, devido ao limite.
Venho ja.

Meu estou ancioso pra ver o proximo topico, valeu pela dica......

So mais uma dica: As imagens nao aparecem.........
Olha só é possivel colocar imagens que se encontram hospedadas na net...É impossivel colocar imagens que se encontram no nosso PC por isso é que ele nos pedi um URL e nao um PATH....Tenta encontrar as imagens na net o coloca ai pra nós entender melhor e coloca ja o proximo topico.................Valeu Xtou a xpera...


É isso ai...o pessoal do UCANFORUM nao deixa mal!!!!

Bem, e impostante dizer que este metodo permite apenas remover os virus mais simples, e as vezes dependendo de cada problema podera remover-se alguns meios complicados. Mais chega de bla bla bla e vamos ao que nos interessa.

No post passado vimos como chegar ate a chave do registro que armazena os valores de tdos os programas que sao executados no arranque do sistema, e estamos usando como exemplo o arquivo qttask.exe (Que na verdade e um arquivo do quicktime do itunes), no seu computador o nome do virus ira ser um outro qualquer. Repare a figura a seguir:



podem observar, existe um valor responsavel por carregar o virus tdas as vezes que o sistema arranca assim tambem como podem ver existem outros responsaveis por outras aplicacoes. Entao deves a estar a pensar que devemos apagar este valor?
Se pensas assim estas certo so que antes devemos copiar primeiro o endereco do ficheiro, e para tal de dois clicks no valor, e copie em qualquer sitio, veja a figura (seguindo o exemplo com o qttask):


Agora podemos apagar o valor do virus no editor de registro.

obs: apague somente os valores que incluem os ficheiros suspeitos, e para quem quizer evitar a execucao do messenger sempre que ligamos o pc e so apagar o valor do messenger e ja esta.

Continuando, apos ter deletado o valor do virus ja temos meio caminho andado, mas ainda nao apagamos o virus do nosso computador. Iremos agora utilizar o endereco que copiamos anteriormente. Para tal abra '' Os meus documentos'' e na barra de endereco cole o endereco copiado eliminando o nome do proprio virus, veja a figura a seguir:


Ou seja colamos apenas o endereco da pasta onde se encontra o virus.

Como ja disse, os virus aperecem na forma oculta e dependendo da mentalidade de cada um, poderao apagalo como quizerem, mais eu em vez de procurar mais os ficheiros ocultos e bla bla bla, eu crio um ficheiro de texto com o mesmo nome do virus e o copio para a mesma pasta onde esta o virus. A seguir ira perguntar se pretendes subistiruir o ficheiro ja existente com o mesmo nome, e subistitua, para que o virus seje subistituido pelo ficheiro de texto que criaste.

Assim sendo o teu virus ira ser eliminado do sistema, e se quizeres e so depois apagar o ficheiro de texto.

Como ja disse antes, apenas os virus mais simples e se calhar alguns complexos poderao ser apagados desta forma.

Conclusao da historia: '' Como pudemos observar a chave de tdos o processo de remocao do virus foi feito no Editor de registro por isso aconselho a ler um pouco acerca desta grande ferramenta que o windows oferece.''
Qualquer coisa e so postarem aqui pk:
O pessoal da Ucanforum nao te deixa mal

Giovanny Ritchie escreveu:

So mais uma dica: As imagens nao aparecem.........
Olha só é possivel colocar imagens que se encontram hospedadas na net...É impossivel colocar imagens que se encontram no nosso PC por isso é que ele nos pedi um URL e nao um PATH....Tenta encontrar as imagens na net o coloca ai pra nós entender melhor e coloca ja o proximo topico.................Valeu Xtou a xpera...

Valeu pela dica bro, e mesmo assim.

JomarB escreveu:

Conclusao da historia: '' Como pudemos observar a chave de tdos o processo de remocao do virus foi feito no Editor de registro por isso aconselho a ler um pouco acerca desta grande ferramenta que o windows oferece.''
Qualquer coisa e so postarem aqui pk: :

Ai bro vlw pela dica do virus....Olha eu ja vi que aprender a trabalhar com o regsitro do WINDOWS é uma coisa muito importante e indispensavel, por isso se tiveres ai um tutorial ou apostila, ou qualquer coisa pra me ajudar posta aqui no forum........
VALEU!!! fuiiiiii

E isso mesmo, vou preparar um tutorial sobre o Editor de registro.

Abracos

JomarB escreveu:

E isso mesmo, vou preparar um tutorial sobre o Editor de registro.

Abracos

Ok...Vou aguardar ancioso !!!

Ajudando ainda sobre a dica postada por JOMAR, posso dizer também que para podermos identificar vírus manualmente, podemos usar o comando "MSCONFIG" no comando executar, ele abrirá uma nova janela onde na aba Programas/Serviços de inicializacao poderemos ver todos os programas e serviços que arrancam com o nosso pc (pq os vírus normalmente arrancam com o pc), depois de visto é só ir ao registro e já está(fazendo os passos postados pelo jomar).


FERNANDO THE GODFATHER

E isso mesmo, GF, mais existem virus que quando postos numa maquina bloqueiam o msconfig, logo eu tentei generalizar.


Abracos

O meu laptop tem um problema e nao sei como resolver, eu acho que é um virus...Quando eu faço duplo clique pra abrir o DISCO LOCAL ele abre uma janela como se estivesse a abrir um ficheiro desconhecido "ABRIR COM..."
Podem me ajudar com esse problema???

Desculpe pessoal pela demora, mais aqui estou.

Bem GR, posso te dizer que este nao faz parte dos virus mais simples, ou seja requer um pouco mais de trabalho, e e isso que vamos fazer, conto com a ajuda do pessoal do forum.

Durante a minha analize, pude ver que tudo acontece no evento do clique sobre o icone do disco local, entao, usando a minha ferramenta favorita para resolucao de problemas, Editor de Registro, axei uma chave que e responsavel pelo evento de abertura do Disco Local:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bea5d018-d13b-11db-a962-806d6172696f}\Shell\explore\Command

Mais ha um incoviniente, nao sei se a chave varia de pc para pc, entao vou pedir a tdos os que puderem verificar se esta chave existe nos seu pc's postem para eu poder ter a certeza que estou no caminho certo. Sem esta resposta nao posso avancar.

Cnto com a vossa ajuda para reslver este problema pessoal da Ucan Forum.

Obs: Nao sugerir o uso de um antivirus por favor.

Aguardando dicas e respostas..

JB procurei e nao encontrei nenhuma chave parecida a tua........ ..Mas como é que vc descobriu que essa chave(tua) é a responsavel pelo arranque do Disco Local?? Ensine ai, talvez assim fique mais facil..........

Meu bro, e preciso um pouco de paciencia, vamos chegar la.

Como descobri a chave responsavel pelo arranque do disco local?

r: Hehehe, isso vai ser complicado dizer sem antes ter a certeza de uma coisa, depois crio um tutorial de como fazer isso bro.

Agora vamos ao que nos interessa de verdade, resolver o teu problema.
Ja que nao conseguiste encontrar este valor, vamos partir para o plano B. Quero que procures no regedit a seguinte chave

HKEY_USERS\S-1-5-21-1960408961-746137067-1957994488-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
de certeza que esta existe.

posto nesta chave procure o seguinte valor b.com ou ate mesmo qualquercoisa.com, se eontrares nesta chave algum valor com esta extensao, vuala, estamos proximo da solucao bro, so te peco paciencia bro.

Obs: Nao sugerir o uso de antivirus.

Abracos pessoal

Epa assinantes do Ucanforum isto pra todos...
tenho um virus no meu Pc k xta "lixar" com os meus ficheiros do sistema, ja me levou o sscvihost.exe, tentei tirar da forma que esplica o nosso caro colega Jomar e notei k tambem ja me desativou o gestor de tarefas, ja procurei o virus e encontrei dois que foram eliminados com o anti virus mais o gestor de tarefas continiua desativado.
Como faço pra voltar a ativar?

Abra a linha d comando e cole o seguinte:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f.

Breve explicacao:
reg add- linha utilizada para adicionar qualquer valor ao reg edit.

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System- endereco da chave que iremos criar o valor para desabilitar o valor que desativa o gestor de tarefas.

/v DisableTaskMgr / - o Nome do valor criado.

t REG_DWORD /d 0 /f- o tipo e o valor do valo criado, neste caso e zero, visto que se o valor tivesse em 1 iria desabilitar o gestor de tarefas neste caso taskmngr.

Mas pode haver o seguinte incovinient. Se o virus ainda estiver instalado no teu pc , o problema ainda ira existir, caso contrario problema resolvido. Suponho que o teu editor de registro tbem foi bloqueado, se isso aconteceu diga ok.

Expero ter sido explicito brpo, abracos