Jefferson, 
30 de março de 2015, 
Eu sempre me orgulhei de poder remover malware que os anti-virus não detectam, manualmente. E disse mais de uma vez no Geringonças e Gambiarras que não aprovava ferramentas automáticas (e geralmente paranóicas e/ou burras ) como o cCleaner. Minhas principais ferramentas para isso por muitos anos foram o Autoruns e o Process Explorer.
Porém desde o Windows 7 vem ficando cada vez mais difícil localizar as porcarias se escondendo na máquina. São muitas, com muitos lugares onde se esconder. Usar apenas o Autoruns tem sido tedioso e ineficaz. Quando, em setembro de 2013 lá no falecido Google Buzz, snowzpoc sugeriu o Junkware Removal Tool – JRT e Vagner sugeriu o AdwCleaner eu comecei a testar os programas e desde então tenho usado sempre. Os dois se complementam. Eu sempre uso o JRT primeiro e o Adwcleaner depois (porque este sempre reinicia a máquina ao terminar) e AdwCleaner sempre acha alguma coisa que o JRT não viu.
E uma funcionalidade que me agrada em ambos é o log que eles fazem explicando tudo o que fizeram. O Adwcleaner vai mais além listando tudo o que achou de errado antes de tomar qualquer providência e te dá a oportunidade de evitar que certas modificações sejam feitas. Mas na minha experiência eles acertam o que deve ser removido em quase 100% dos casos. Nestes seis meses em que uso as duas ferramentas, nunca o computador ficou pior depois da execução delas.
Já o que chama atenção no JRT é o fato de ser na verdade um arquivo comprimido auto-extraível composto de um monte de arquivos .bat que você pode editar para remover ou acrescentar funcionalidade.
A especialidade de ambos é aquela classe “cinza” de software que os anti-virus geralmente não tocam com medo de serem processados: os “Programas Potencialmente Indesejáveis” (PUPs na sigla em inglês). São programas que geralmente parasitam os browsers mas como vem de empresas “legítimas” como a ASK e supostamente tem o objetivo de “aperfeiçoar a experiência de navegação do usuário” não podem ser removidos pelos anti-virus a menos que se comportem de forma inequivocamente (que possa ser provado em um tribunal) maliciosa.
Mas mesmo usando ambos ainda é necessário fazer uma busca manual com o Autoruns e o Process Explorer. Muita coisa ainda passa pelo radar de ambos, mas sem todo o lixo que eles removeram o trabalho fica mais fácil.
JRT tem um bug que pode impedi-lo de rodar em algumas máquinas. Ele descompacta e roda de dentro do diretório temporário do usuário corrente e às vezes isso não é possível. Apagar todo o conteúdo do seu diretório TEMP (verifique onde ele realmente fica com o comando SET) descompactar o JRT lá e executar o .bat correto pode resolver o problema. Eu já fiz isso uma vez mas não lembro o procedimento exato.
Jefferson você já conseguiu identificar “na unha” o Ardamax?
Não é um vírus nem adaware e tal, mas é um keylogger que acho um exemplo de um ppi bem camuflado, eu já instalei ele pra ver se conseguia remover manualmente mas ele não deixa nenhum vestígio aparente nem no Autoruns nem no Process Explorer, fico impressionado com ele..
Eu não conhecia o Ardamax. Instalei numa VM XP SP3 e realmente o bicho é esperto e pode escapar facilmente de uma verificação casual. Porque no momento que entra no modo oculto ele desaparece até do Process Explorer.
Mas se você estiver procurando por ele, acha.
Por exemplo, se você teclar CTRL-ATL-SHIFT-H ele sempre sai do modo oculto. A menos que exista opção para mudar isso e ela for usada, é muito fácil fazê-lo se apresentar.
Ele oculta a pasta onde está mas ela continua visível para quem pode ver pastas ocultas. Ele sequer parece tentar randomizar os nomes dos arquivos, então se você usar o Everything para procurar por “dfq.*”, vai achar o danado. Eu instalei, desinstalei e instalei de novo. Os mesmos arquivos foram criados.
Sim mas da pra criar uma instalação personalizada dele já com as teclas de atalho diferentes, eu lembro que tinha muita coisa que dava pra deixar pré-configurada na instalação personalizada como enviar os logs por SMTP ou FTP direto e outras coisas, daí esta instalação é só executar e pronto
Eu não lembro bem pois tem muito tempo que mexi com ele mas acho que em cada instalação ele se instala numa pasta diferente dentro da system32, pelo menos com a instalação personalizada tenho quase certeza que ele fazia isso.
Mas veja que da pra encontrar se tiver procurando por ele em específico, sabendo onde ele se instala e a nomenclatura que ele costuma usar nos arquivos, mas outros malwares com este mesmo “poder” complicam se não estiver procurando especificamente por eles, o Ardamax mesmo é encontrado por qualquer antivírus mas mesmo assim o bicho é bem sagaz.
Perfeito.
Ambos são sensacionais, eu usava antigamente o Malwarebytes, mas ele foi crescendo e virando uma bomba, vem carregado de propaganda da versão full e demora muito para terminar.
Adwcleaner e JRT são super rápidos. Só uma vez eles falharam em localizar um “malware”, acabei achando com um tal de Shortcut Cleaner, também disponível no site “BleepingComputer”, tentei de tudo para limpar o Chrome de uma amiga, quando na verdade era o atalho modificado, apenas o Shortcut limpou. Então começo executando ele, depois JRT e depois o Adwcleaner
Ótima dica Ryan.
O Bleeping Computer é um site que une o pessoal que trabalha com segurança de software, e tem ferramentas excelentes de manutenção por lá. Bom ver que pegou minha dica
Eis minha lista:
– ComboFix (ele é uma espécie de “bezetacil” – localiza boa parte de malwares e ajuda a remoção. Uso quando noto que o computador teve alguma infecção severa, como keyloggers). Recomendo ler um pouco mais sobre ele (uma coisa que preciso fazer de novo)
. Remove também quase a mesma coisa que o AdwCleaner, mas não com a mesma eficiência e com o log aberto (usa a tela de console do Windows em compensação). E também limpa o Ask.
– AdwCleaner (Como o nome diz, é um LimpadordePropagandas. Como o HAO123, websearches, etc… ele não é um removedor de malware como o ComboFix, porém é bem eficiente e limpa bastante, menos ASK e adwares mais “comuns” e “aceitos”. Ao contrário de ti, uso antes de usar o JRT.).
– JRT (ou Junkware Removal Tool) – como o nome diz, também é uma Ferramenta de REmoção de Lixoware (ou Lixograma)
– RKill – é um programa que encerra programas considerados suspeitos – incluí malwares. Claro que por ser um programa antigo, alguns malwares consegue passar pelo programa ou até impedir a execução (pode ser usado no modo de segurança, neste caso). É interessante usar ele antes de passar qualquer um dos programas acima.
– TDSSKiller – é um programa que remove rootkits (os vírus de inicialização). Caso note que fica voltando os vírus, tente ele.
– DelFix – removedor dos programas ComboFix, AdwCleaner e outros da Bleeping após o uso. Não sei se notou, mas os programas deixam uma pasta de trabalho no pc. E ela pode ser detectada por antivírus, já que é uma quarentena.
Costumo acompanhar de vez em quando o Bleeping Computer para ver se tem programas novos para manutenção de computadores. Apesar de ser em inglês, é bem compreensível e os programas são práticos em sua maioria.
É quase igual ao Linha Defensiva e o Hardware, só que bem mais ativo que ambos.
Complemento: muitas vezes também o cliente pede para tirar programas que veio com a máquina. Prefiro não reinstalar e apenas remover os programas. Nisso, tem alguns programas extras que ajudam com isso:
– PC Decrapifier – é um removedor de programas em lote. Ao invés de ir no “Programas” (no Painel de Controle) e desinstalar um por um, o PC Decrapfier ajuda a remover “em lote” os programas. Agiliza bastante.
– Revo Uninstaller – é também um removedor de programas, mas individual. Diferente do Decrapifier, o interessante neste é que ele ajuda a remover “resquícios” de instalação, inclusive no Registro.
Ambos, sugiro que puxe versões antigas. As novas são mais chatas de usar e até insistem no uso da versão paga. As antigas são mais abrangentes
Se você tentar executar o adwcleaner e o JRT e (absolutamente) nada acontecer, como se o mouse e o teclado estivesse com defeito, pode ser culpa do maldito Gbplugin. Eu não tenho certeza ainda, mas ocorreu ontem e eu só consegui rodar os programas depois que deletei o Gbplugin.
A versão mais recente do adwcleaner é capaz de se livrar do malware por trás de jogostempo.com e possivelmente top8844.com e 123rede.com.