O problema é o seguinte: Nos últimos anos, o malware tornou-se tanto mais sneakier como nastier:

Sneakier , não só porque se esconde melhor com rootkits ou hacks da EEPROM, mas também porque viaja em maços. O malware subtil pode esconder-se atrás de infecções mais óbvias. Há aqui muitas boas ferramentas listadas nas respostas que podem encontrar 99% de malware, mas há sempre esse 1% que ainda não conseguem encontrar. Na sua maioria, esse 1% é material que é novo: as ferramentas de malware não conseguem encontrá-lo porque acabou de sair e está a usar algum novo exploit ou técnica para se esconder que as ferramentas ainda não conhecem.

O malware também tem um curto prazo de validade. Se você estiver infectado, algo desse novo 1% é muito provável que seja uma parte da sua infecção. Não será a infecção total: apenas uma parte dela. As ferramentas de segurança vão ajudá-lo a encontrar e remover o malware mais óbvio e conhecido, e muito provavelmente remover todos os _assintomas visíveis (porque pode continuar a cavar até chegar a esse ponto), mas podem deixar pequenos pedaços para trás, como um keylogger ou rootkit escondido atrás de algum novo exploit que a ferramenta de segurança ainda não sabe como verificar. As ferramentas anti-malware ainda têm o seu lugar, mas chegarei a isso mais tarde.

Nastier , na medida em que não vai apenas mostrar anúncios, instalar uma barra de ferramentas, ou usar o seu computador como um zombie mais. É provável que o malware moderno seja adequado para as informações bancárias ou de cartão de crédito. As pessoas que estão a construir estas coisas já não são apenas miúdos de script à procura de fama; são agora profissionais organizados motivados pelo profit, e se não conseguirem roubar-te directamente, vão procurar o something que podem dar a volta e vender. Isto pode ser processamento ou recursos de rede no seu computador, mas também pode ser o seu número de segurança social ou encriptar os seus ficheiros e guardá-los para resgate.

Junte estes dois factores, e _ ** já nem vale a pena tentar remover malware de um sistema operativo instalado** . Eu costumava ser muito bom a remover este material, ao ponto de fazer uma parte significativa da minha vida dessa forma, e já nem sequer faço a tentativa. Não estou a dizer que não pode ser feito, mas estou a dizer que os resultados das análises de custo/benefício e de risco mudaram: simplesmente já não vale a pena. Há demasiado em jogo e é demasiado fácil obter resultados que só _seem para serem eficazes.

Muitas pessoas discordarão de mim nesta matéria, mas desafio-as a não pesarem as consequências de um fracasso com a força suficiente. *Está disposto a apostar as suas poupanças, o seu bom crédito, até a sua identidade, que é melhor nisto do que os bandidos que ganham milhões a fazê-lo todos os dias? * Se tentar remover o malware e depois continuar a correr o sistema antigo, isso é exactamente o que está a fazer.

Eu sei que há pessoas por aí a ler este pensamento: “Ei, removi várias infecções de várias máquinas e nunca aconteceu nada de mal”. Eu também, amigo. Eu também. Em dias passados limpei a minha quota-parte de sistemas infectados. No entanto, sugiro que agora precisamos de acrescentar “ainda” ao fim dessa afirmação. Podemos ser 99% eficazes, mas só temos de nos enganar uma vez, e as consequências do fracasso são muito mais elevadas do que outrora foram; o custo de apenas um fracasso pode facilmente superar todos os outros êxitos. É até possível que já exista uma máquina lá fora que ainda tenha uma bomba-relógio dentro, apenas à espera de ser activada ou de recolher a informação certa antes de a reportar. Mesmo que tenha agora um processo 100% eficaz, este material está sempre a mudar. Lembre-se: tem de ser sempre perfeito; os maus da fita só têm de ter sorte uma vez.

Em resumo, é lamentável, mas se tiver uma infecção confirmada por malware, uma nova pintura completa do computador deve ser o primeiro lugar onde se vira, em vez do último.

Aqui está como fazer isso:

Antes de ser infectado, certifique-se de que tem uma forma de reinstalar qualquer software adquirido, incluindo o sistema operativo, que não dependa de nada armazenado no seu disco rígido interno. Para este fim, isso normalmente significa apenas pendurar em cd/dvds ou chaves de produto, mas o sistema operativo pode exigir que você mesmo crie discos de recuperação.1 Não dependa de uma partição de recuperação para isso. Se esperar até depois de uma infecção para se assegurar de que tem o que precisa para reinstalar, poderá dar por si a pagar pelo mesmo software novamente. Com o surgimento do ransomware, é também extremamente importante fazer backups regulares dos seus dados (mais, você sabe, coisas não maliciosas regulares como falha do disco rígido).

Quando suspeitar que tem malware, procure outras respostas aqui. Existem muitas boas ferramentas sugeridas. A minha única questão é a melhor forma de as utilizar: Eu só confio nelas para a detecção. Instale e execute a ferramenta, mas assim que encontrar provas de uma infecção real (mais do que apenas “cookies de rastreio”) basta parar o scan: a ferramenta fez o seu trabalho e confirmou a sua infecção.2

No momento de uma infecção confirmada, tomar as seguintes medidas:

1. 1. Verifique o seu crédito e as suas contas bancárias. Quando souber da infecção, os danos reais podem já ter sido causados. Tome as medidas necessárias para proteger os seus cartões, a sua conta bancária e a sua identidade.
2. Altere as palavras-passe em qualquer website a que tenha acedido a partir do computador comprometido. Não utilize o computador comprometido para fazer nada disto._
3. Faça uma cópia de segurança dos seus dados (melhor ainda se já tiver uma).
4. Re-instale o sistema operativo utilizando suportes originais obtidos directamente da editora do SO. Certifique-se de que a reinstalação inclui uma re-formatação completa do seu disco; uma operação de restauro ou recuperação do sistema não é suficiente.
5. Reinstale as suas aplicações.
6. Certifique-se de que o seu sistema operativo e software estão totalmente correccionados e actualizados.
7. Execute um scan antivírus completo para limpar a cópia de segurança do terceiro passo.
8. Restaure o backup.

Se feito correctamente, é provável que demore entre duas a seis horas reais do seu tempo, repartidas por dois a três dias (ou até mais) enquanto espera por coisas como aplicações para instalar, actualizações do Windows para descarregar, ou grandes ficheiros de backup para transferir… mas é melhor do que descobrir mais tarde que os vigaristas esgotaram a sua conta bancária. Infelizmente, isto é algo que você mesmo deve fazer, ou um amigo técnico deve fazer por você. A uma taxa de consultoria típica de cerca de $100/hr, pode ser mais barato comprar uma máquina nova do que pagar a uma loja para o fazer. Se tiver um amigo que o faça por si, faça algo simpático para mostrar o seu apreço. Mesmo os cromos que adoram ajudá-lo a montar novas coisas ou consertar hardware quebrado muitas vezes _ o tédio do trabalho de limpeza. Também é melhor se você levar seu próprio backup… seus amigos não vão saber onde você coloca quais arquivos, ou quais são realmente importantes para você. Você está em melhor posição para fazer um bom backup do que eles.

Em breve mesmo tudo isto pode não ser suficiente, pois agora há malware capaz de infectar firmware. Mesmo a substituição do disco rígido pode não remover a infecção, e comprar um novo computador será a única opção. Felizmente, na altura em que estou a escrever isto ainda não chegámos a esse ponto, mas está definitivamente no horizonte e a aproximar-se rapidamente.

Se insiste absolutamente, para além de toda a razão, que quer realmente limpar a sua instalação existente em vez de começar de novo, então por amor de Deus certifique-se que qualquer método que utilize envolve um dos dois procedimentos seguintes:

• Remova o disco rígido e ligue-o como um disco de convidado num computador diferente (limpo!) para executar o scan.

OU

• Arranque a partir de uma chave CD/USB com o seu próprio conjunto de ferramentas a executar o seu próprio kernel. Certifique-se de que a imagem para isto é obtida e gravada num computador limpo. Se necessário, peça a um amigo que faça o disco para si.

Em nenhuma circunstância deve tentar limpar um sistema operativo infectado utilizando software a correr como um processo convidado do sistema operativo comprometido. Isso é simplesmente burrice.

É claro que a melhor maneira de corrigir uma infecção é evitá-la em primeiro lugar, e há algumas coisas que pode fazer para ajudar com isso:

1. Mantenha o seu sistema remendado. Certifique-se de que instala rapidamente instala actualizações do Windows, actualizações Adobe, actualizações Java, actualizações Apple, etc. Isto é muito mais importante mesmo do que software anti-vírus, e na maioria das vezes não é assim tão difícil, desde que se mantenha actualizado. A maioria dessas empresas já se instalou informalmente em todos os lançamentos de novos patches no mesmo dia de cada mês, por isso, se se mantiver actualizado, não o interrompe com tanta frequência. As interrupções do Windows Update normalmente só acontecem quando você as ignora por muito tempo. Se isto lhe acontece com frequência, está em you para alterar o seu comportamento. Estas são importantes, e não está bem escolher continuamente apenas a opção “instalar mais tarde”, mesmo que seja mais fácil no momento.
2. Não correr como administrador por defeito. Nas versões recentes do Windows, é tão simples como deixar a funcionalidade UAC ligada.
3. Use uma boa ferramenta de firewall. Hoje em dia, a firewall padrão no Windows é realmente boa o suficiente. Pode querer complementar esta camada com algo como o WinPatrol que ajuda a parar a actividade maliciosa no front end. O Windows Defender também funciona nesta capacidade, até certo ponto. Os plugins básicos do navegador Ad-Blocker estão também a tornar-se cada vez mais úteis a este nível como uma ferramenta de segurança.
4. Definir a maioria dos plug-ins de browser (especialmente Flash e Java) para “Ask to Activate”.

5. Executar current software anti-vírus. Esta é uma quinta opção distante das outras, uma vez que o software A/V tradicional já não é tão eficaz. É também importante enfatizar a “corrente”. Pode ter o melhor software antivírus do mundo, mas se não estiver actualizado, mais vale desinstalá-lo.

6. Evite sites de torrent, warez, software pirata e filmes/videos piratas. Este material é frequentemente injectado com malware pela pessoa que o decifrou ou afixou - nem sempre, mas frequentemente o suficiente para evitar toda a confusão. É parte da razão pela qual um cracker faria isso: muitas vezes eles terão um corte de qualquer lucro.

7. Use sua cabeça quando estiver navegando na web. Você é o elo mais fraco da cadeia de segurança. Se algo soa demasiado bom para ser verdade, provavelmente é. O botão de download mais óbvio raramente é aquele que você quer usar mais ao baixar um novo software, então certifique-se de ler e entender tudo na página da web antes de clicar nesse link. Se vir um pop up ou ouvir uma mensagem sonora a pedir-lhe para ligar à Microsoft ou instalar alguma ferramenta de segurança, é falso. Também, prefira descarregar o software e actualizações/actualizações directamente do fornecedor ou desenvolvedor do que sites de alojamento de ficheiros de terceiros.

1 A Microsoft publica agora o Windows 10 install media para que possa legalmente descarregar e escrever para uma pen drive de 8GB ou maior gratuitamente. Ainda precisa de uma licença válida, mas já não precisa de um disco de recuperação separado para o sistema operativo básico.

2 Este é um bom momento para salientar que suavizei um pouco a minha abordagem. Hoje em dia, a maior parte das “infecções” estão na categoria de PUPs (Potentially Unwanted Programs) e extensões de browser incluídas com outros downloads. Muitas vezes estes PUPs/extensões podem ser removidos com segurança através dos meios tradicionais, e eles são agora uma percentagem suficientemente grande de malware que eu posso parar neste ponto e simplesmente tentar a funcionalidade Adicionar/Remover Programas ou a opção normal do navegador para remover uma extensão. No entanto, ao primeiro sinal de algo mais profundo - qualquer dica de que o software não se desinstala normalmente - e está de volta para repavimentar a máquina.

Como posso saber se o meu PC está infectado?

Os sintomas gerais de malware podem ser qualquer coisa. Os habituais são:

• A máquina é mais lenta que o normal.
• Falhas aleatórias e coisas que acontecem quando não deveriam (por exemplo, alguns novos vírus colocam restrições de política de grupo na sua máquina para impedir que o gestor de tarefas ou outros programas de diagnóstico funcionem).
• O gestor de tarefas mostra um CPU elevado quando pensa que a sua máquina deve estar inactiva (ex.: <5%).
• Avisos que surgem aleatoriamente.
• Avisos de vírus que surgem de um antivírus que não se lembra de instalar (o programa antivírus é falso e tenta afirmar que tem vírus com nomes como ‘bankpasswordstealer.vir’. É encorajado a pagar por este programa para os limpar).
• Popups/fake blue screen of death (BSOD) pedindo-lhe que ligue para um número para corrigir a infecção.
• páginas da Internet redireccionadas ou bloqueadas, por exemplo, páginas iniciais de produtos AV ou sites de suporte (www.symantec. com, www.avg.com, www.microsoft.com) são redireccionadas para sites cheios de anúncios, ou falsos sites que promovam falsos anti-vírus / ferramentas de remoção “úteis”, ou são totalmente bloqueadas.
• Aumento do tempo de arranque, quando não tiver instalado nenhuma aplicação (ou patches)… Este é estranho.
• Os seus ficheiros pessoais são encriptados e vê uma nota de resgate.
• Qualquer coisa do nada, se “conhece” o seu sistema, normalmente sabe quando algo está muito errado.

Como me livro disto?

Usando um Live CD

Uma vez que o verificador de vírus do PC infectado pode estar comprometido, é provavelmente mais seguro verificar a unidade a partir de um Live CD. O CD iniciará um sistema operacional especializado no seu computador, que então escaneará o disco rígido.

Existem, por exemplo, Avira Antivir Rescue System ou ubcd4win . Mais sugestões podem ser encontradas em FREE Bootable AntiVirus Rescue CDs Download List como por exemplo:

• Kaspersky Rescue CD
• BitDefender Rescue CD
• F-Secure Rescue CD
• Avira Antivir Rescue Disk
• Trinity Rescue Kit CD
• AVG Rescue CD

Ligando o disco rígido a outro PC

Se estiver a ligar o disco rígido infectado a um sistema limpo para o poder verificar, certifique-se de que actualiza as definições de vírus para todos os produtos que vai utilizar para verificar a unidade infectada. Esperar uma semana para que os fornecedores de antivírus libertem novas definições de vírus pode melhorar as suas hipóteses de detectar todos os vírus.

Certifique-se de que o seu sistema infectado permanece desligado da Internet assim que o encontrar infectado. Isto irá evitar que ele seja capaz de descarregar novas edições de vírus (entre outras coisas).

Comece com uma boa ferramenta como Spybot Search and Destroy ou Malwarebytes’ Anti-Malware e realize um scan completo. Tente também ComboFix , e SuperAntiSpyware . Nenhum produto antivírus terá todas as definições de vírus. Utilizar vários produtos é fundamental ( não para protecção em tempo real* ). Se apenas um vírus permanecer no sistema, poderá ser capaz de descarregar e instalar todas as últimas edições de novos vírus e todo o esforço até agora teria sido em vão.

Remover programas suspeitos do arranque

1. Arrancar em modo seguro.
2. Use msconfig para determinar que programas e serviços começam no arranque (ou arranque sob o gestor de tarefas no Windows 8).
3. Se houver programas/serviços suspeitos, remova-os do arranque. Caso contrário, salte para a utilização de um live CD.
4. Reinicie.
5. Se os sintomas não desaparecerem e/ou o programa se substituir na inicialização, tente usar um programa chamado Autoruns para encontrar o programa, e remova-o de lá. Se o seu computador não conseguir arrancar, o Autoruns tem uma funcionalidade onde pode ser executado a partir de um segundo PC chamado “Analyse offline PC”. Preste especial atenção aos separadores Logon e Scheduled tasks.
6. Se ainda não houver sucesso na remoção do programa, e tiver a certeza de que é a causa dos seus problemas, arranque em modo normal, e instale uma ferramenta chamada Unlocker
7. Navegue até à localização do ficheiro que é aquele vírus, e tente usar o desbloqueador para o matar. Algumas coisas podem acontecer:
8. O ficheiro é apagado, e não reaparece no reinício. Este é o melhor caso.
9. O ficheiro é apagado, mas reaparece de imediato. Neste caso, use um programa chamado Process Monitor para descobrir o programa que recriou o ficheiro. Também terá de apagar esse programa.
10. O ficheiro não pode ser apagado, o desbloqueador irá pedir-lhe que o apague quando reiniciar. Faça isso, e veja se ele reaparece. Se o fizer, deverá ter um programa no arranque que faça com que isso aconteça, e reexaminar a lista de programas que correm no arranque.

O que fazer depois de restaurar o

Agora deverá ser seguro (esperançosamente) arrancar no seu sistema (anteriormente) infectado. Mesmo assim, mantenha os olhos abertos para os sinais de infecção. Um vírus pode deixar alterações num computador que tornariam mais fácil reinfectar mesmo depois de o vírus ter sido removido.

Por exemplo, se um vírus alterasse as definições de DNS ou proxy, o seu computador redireccioná-lo-ia para versões falsas de sites legítimos, para que o download do que parece ser um programa bem conhecido e de confiança pudesse realmente ser o download de um vírus.

Também poderiam obter as suas palavras-passe redireccionando-o para sites de contas bancárias falsas ou sites de e-mails falsos. Não se esqueça de verificar as suas definições de DNS e proxy. Na maioria dos casos, o seu DNS deve ser fornecido pelo seu ISP ou adquirido automaticamente pelo DHCP. As suas definições de proxy devem ser desactivadas.

Verifique o seu ficheiro hosts (\%systemroot%\system32\drivers\etc\hosts) para detectar quaisquer entradas suspeitas e remova-as imediatamente. Verifique também se a sua firewall está activada e se tem todas as últimas actualizações do Windows.

Em seguida, proteja o seu sistema com um bom antivírus e complemente-o com um produto Anti malware. O que fazer se tudo falhar

O que fazer se tudo falhar

Deve ser notado que algum malware é muito bom a evitar scanners. É possível que uma vez infectado, ele possa instalar rootkits ou similares para permanecer invisível. Se as coisas estiverem realmente más, a única opção é limpar o disco e reinstalar o sistema operativo a partir do zero. Às vezes um scan usando GMER ou o TDSS Killer de Kaspersky pode mostrar se você tem um rootkit.

Você pode querer fazer algumas execuções de Spybot Search and Destroy. Se após três execuções não conseguir remover uma infestação (e não o fizer manualmente) considere uma reinstalação.

Outra sugestão:

O uso de múltiplos motores de scan pode certamente ajudar a encontrar malwares mais bem escondidos, mas é uma tarefa fastidiosa e uma boa estratégia de backup/restauração será mais eficiente e segura.

Bónus: Existe uma interessante série de vídeos começando com, Compreender e Combater Malware: Vírus, Spyware" com Mark Russinovich, o criador do Sysinternals ProcessExplorer & Autoruns, sobre limpeza de malware.

Há algumas grandes dicas de combate ao malware em Jeff Atwood “Como limpar uma infestação de spyware do Windows” . Aqui está o processo básico (não se esqueça de ler o post do blog para obter screenshots e outros detalhes que este sumário encobre):

1. Pare qualquer spyware actualmente em funcionamento. O Gestor de Tarefas do Windows não o corta; obtenha Sysinternals Process Explorer .
2. Execute o Process Explorer.
3. Ordene a lista de processos por Nome da Empresa.
4. Mate quaisquer processos que não tenham Nome da Empresa (excluindo DPCs, Interruptts, System, e System Idle Process), ou que tenham Nomes de Empresas que não reconheça.
5. Pare o spyware de reiniciar na próxima vez que o sistema for reiniciado. Novamente, a ferramenta de construção do Windows, MSconfig, é uma solução parcial, mas Sysinternals AutoRuns é a ferramenta a ser utilizada.
6. Execute o AutoRuns.
7. Percorrer toda a lista. Desmarque entradas suspeitas – aquelas com nomes de Editores em branco ou qualquer nome de Editores que não reconheça.
8. Agora reinicialize.
9. Depois de reiniciar, verifique novamente com Process Explorer e AutoRuns. Se algo “voltar”, você terá que cavar mais fundo.
10. No exemplo de Jeff, uma coisa que voltou foi uma entrada suspeita no AutoRuns. Ele fala através do rastreamento do processo que o carregou no Process Explorer, fechando o cabo, e apagando fisicamente o motorista desonesto.
11. Ele também encontrou um ficheiro DLL de nome estranho que se ligava ao processo Winlogon, e demonstra encontrar e matar os fios do processo que carregam esse DLL para que o AutoRuns possa finalmente remover as entradas.

A minha forma de eliminar o malware é eficaz e nunca o vi falhar:

1. Descarregue Autoruns e se ainda correr 32 bits descarregue um scanner rootkit.
2. Inicie em Modo Seguro e inicie o Autoruns se for capaz, depois vá para o passo 5.
3. Se não conseguir entrar no Modo Seguro, ligue o disco a outro computador.
4. Inicie o Autoruns nesse computador, vá para File -> Analyze Offline System e preencha-o.
5. Aguarde que a digitalização seja feita.
6. No menu Options, seleccione tudo.
7. Deixe-o digitalizar novamente pressionando F5. Isto será rápido à medida que as coisas vão ficando em cache.
8. Percorra a lista e desmarque qualquer coisa que seja conspícua ou que não tenha uma empresa verificada.
9. Opcional: Execute o rootkit scanner.
10. Deixe um verificador de vírus de topo remover quaisquer ficheiros que tenham ficado.
11. Opcional: Executar scanners anti-malware e anti-spyware para se livrar de lixo.
12. Opcional: Correr ferramentas como HijackThis/OTL/ComboFix para se livrar do lixo.
13. Reinicie e desfrute do seu sistema limpo.
14. Opcional: Volte a executar o scanner rootkit.
15. Certifique-se de que o seu computador está suficientemente protegido!

Algumas observações:

• O Autoruns é escrito pela Microsoft e assim mostra qualquer localização de coisas que começam automaticamente…
• Uma vez que o software é desmarcado do Autoruns, não arranca e não o pode impedir de o remover. …
• Não existem rootkits para sistemas operativos de 64 bits porque teriam de ser assinados…

É eficaz porque vai desactivar o arranque de malware/spyware/vírus, é livre de executar ferramentas opcionais para limpar qualquer lixo que tenha ficado no seu sistema.

Siga a ordem indicada abaixo para desinfectar o seu PC

1. Num PC que não esteja infectado, faça um disco AV de arranque e depois arranque a partir do disco do PC infectado e verifique o disco rígido, remova quaisquer infecções que encontre. Prefiro o Windows Defender Offline boot CD/USB porque pode remover vírus do sector de boot, ver “Nota” abaixo.

2. Depois de ter verificado e removido o malware utilizando o disco de arranque, Instale gratuitamente MBAM , execute o programa e vá para o separador Update e actualize, depois vá para o separador Scanner e faça um scan rápido, seleccione e remova tudo o que encontrar.

3. Quando a MBAM terminar de instalar SAS versão livre, execute um scan rápido, remova o que selecciona automaticamente.

4. Se os ficheiros do sistema Windows foram infectados pode ter de executar o SFC para substituir os ficheiros, pode ter de fazer isto offline se não arrancar devido à remoção dos ficheiros do sistema infectados. Eu recomendo que você execute o SFC após qualquer remoção de infecção.

5. Em alguns casos você pode ter que executar uma reparação de inicialização (apenas Windows Vista e Windows7) para que ele inicialize corretamente novamente. Em casos extremos podem ser necessárias 3 reparações de arranque seguidas.

MBAM e SAS não são softwares AV como o Norton, são scanners a pedido que só verificam a existência de desagradáveis quando executa o programa e não interferem com o seu AV instalado, estes podem ser executados uma vez por dia ou semana para garantir que não está infectado. Certifique-se de que os actualiza antes de cada scan diário semanal.

Nota: o produto Windows Defender Offline é muito bom a remover infecções persistentes por MBR que são comuns hoje em dia.

.

.

Para Utilizadores Avançados:

Se tem uma única infecção que se representa a si própria como software, ou seja, “System Fix” “AV Security 2012” etc, ver esta página para guias de remoção específicos

.

Se notar algum dos sintomas, uma coisa a verificar são as definições DNS na sua ligação de rede.

Se estas tiverem sido alteradas de “Obter automaticamente o endereço do servidor DNS” ou para um servidor diferente daquele que deveria ser, então isso é um bom sinal de que tem uma infecção. Esta será a causa dos redireccionamentos de sites anti-malware, ou de uma falha total no acesso ao site.

É provavelmente uma boa ideia tomar nota das suas definições de DNS antes de ocorrer uma infecção, para que saiba quais devem ser. Também os detalhes estarão disponíveis nas páginas de ajuda do site do seu ISP.

Se não tem uma nota dos servidores DNS e não consegue encontrar a informação no site do seu ISP então utilizar os servidores DNS do Google é uma boa alternativa. Eles podem ser encontrados em 8.8.8.8 e 8.8.4.4 para os servidores primários e secundários, respectivamente.

Embora o restabelecimento do DNS não resolva o problema, permitir-lhe-á a) aceder aos sites anti-malware para obter o software necessário para limpar o PC e b) detectar se a infecção se repetir, uma vez que as definições do DNS irão mudar novamente.

Ransomware

Uma forma mais recente, particularmente horrível de malware é ransomware*. Este tipo de programa, normalmente entregue com um Trojan (por exemplo, um anexo de e-mail) ou uma exploração de browser, percorre os ficheiros do seu computador, encripta-os (tornando-os completamente irreconhecíveis e inutilizáveis) e exige um resgate para os devolver ao estado utilizável.

O Ransomware utiliza geralmente criptografia assimétrica de chaves , que envolve duas chaves: a chave pública e a chave privada. Quando você é atingido pelo ransomware, o programa malicioso executado no seu computador se conecta ao servidor dos bandidos (o comando e controle, ou C&C), que gera as duas chaves. Ele apenas envia a chave pública para o malware no seu computador, já que é tudo o que precisa para encriptar os ficheiros. Infelizmente, os ficheiros só podem ser desencriptados com a chave privada, que nem sequer entra na memória do seu computador se o software de resgate estiver bem escrito. Os maus da fita normalmente dizem que lhe darão a chave privada (permitindo-lhe assim desencriptar os seus ficheiros) se pagar, mas é claro que tem de confiar neles para o fazer.

O que pode fazer

A melhor opção é reinstalar o SO (para remover todos os vestígios de malware) e restaurar os seus ficheiros pessoais a partir de cópias de segurança que fez anteriormente. Se não tiver backups agora, isto será mais desafiante. Crie o hábito de fazer backups de ficheiros importantes.

Pagar irá provavelmente permitir-lhe recuperar os seus ficheiros, mas por favor não o faça*. Ao fazê-lo, suporta o seu modelo de negócio. Além disso, digo “provavelmente deixá-lo-á recuperar” porque sei de pelo menos duas estirpes que estão tão mal escritas que eles manipulam irremediavelmente os seus ficheiros; mesmo o programa de desencriptação correspondente não funciona.

Alternativas

Felizmente, existe uma terceira opção. Muitos programadores de ransomware cometeram erros que permitiram aos bons profissionais de segurança desenvolver processos que desfazem os danos. O processo para fazer isso depende inteiramente do esforço do ransomware, e essa lista está em constante mudança. Algumas pessoas maravilhosas juntaram * uma grande lista de variantes de ransomware , incluindo as extensões aplicadas aos arquivos bloqueados e o nome da nota de resgate, que podem ajudá-lo a identificar qual versão você tem. Para algumas estirpes, essa lista também tem um link para um descodificador gratuito! Siga as instruções apropriadas (os links estão na coluna Decriptor) para recuperar os seus ficheiros. **Antes de começar , utilize as outras respostas a esta pergunta para se certificar de que o programa de resgate é removido do seu computador.

Se não consegue identificar o que foi atingido apenas pelas extensões e pelo nome da nota de resgate, tente procurar na Internet algumas frases distintivas da nota de resgate. Os erros ortográficos ou gramaticais são geralmente bastante únicos, e provavelmente encontrará um tópico do fórum que identifica o programa de resgate.

Se a sua versão ainda não é conhecida, ou não tem uma forma gratuita de desencriptar os ficheiros, não perca a esperança! Os investigadores de segurança estão a trabalhar no sentido de desfazer os ransomware e a aplicação da lei está a perseguir os programadores. É possível que um decifrador acabe por aparecer. Se o resgate for limitado no tempo, é concebível que os seus ficheiros ainda possam ser recuperados quando a reparação for desenvolvida. Mesmo que não, por favor não pague, a menos que seja absolutamente necessário. Enquanto espera, certifique-se de que o seu computador está livre de malware, utilizando novamente as outras respostas a esta pergunta. Considere fazer o backup das versões encriptadas dos seus ficheiros para os manter seguros até que a correcção seja efectuada.

Assim que recuperar o máximo possível (e fazer backups para suportes externos!), considere fortemente a instalação do SO a partir do zero. Mais uma vez, isso irá eliminar qualquer malware que se tenha alojado no interior do sistema.

Dicas adicionais específicas para variantes

Algumas dicas específicas para resgates que ainda não estão na grande folha de cálculo:

• Se a ferramenta de desencriptação para LeChiffre não funcionar, pode recuperar todos os dados de cada ficheiro, excepto o primeiro e o último 8KB, usando um editor hexadecimal. Salte para o endereço 0x2000 e copie todos os bytes, excepto os últimos 0x2000. Arquivos pequenos serão completamente destruídos, mas com alguma confusão você pode conseguir algo útil em arquivos maiores.
• Se você foi atingido com WannaCrypt e está rodando Windows XP, não reinicializou desde a infecção, e tem sorte, você pode ser capaz de extrair a chave privada com Wannakey .
• Bitdefender tem uma série de ferramentas gratuitas para ajudar a identificar a variante e descodificar algumas variantes específicas.
• (outras serão adicionadas à medida que forem descobertas)

Conclusão

Ransomware é desagradável, e a triste realidade é que nem sempre é possível recuperar dele. Para se manter seguro no futuro:

• Mantenha o seu sistema operativo, browser e antivírus actualizados
• Não abra anexos de e-mail que não estava à espera, especialmente se não conhece o remetente
• Evite sites esquemáticos (ou seja, aqueles com conteúdo ilegal ou eticamente duvidoso)
• Certifique-se de que a sua conta só tem acesso aos documentos de que necessita para trabalhar pessoalmente com
• Tenha sempre ** cópias de segurança operacionais** em suportes externos (não ligados ao seu computador)!

Existe uma grande variedade de malware. Parte dele é trivial de encontrar e remover. Alguns deles são mais complicados. Alguns são realmente difíceis de encontrar, e muito difíceis de remover.

Mas mesmo que você tenha um malware leve você deve considerar fortemente reformar e reinstalar o sistema operacional. Isto porque a sua segurança já falhou, e se falhou para um simples malware talvez já esteja infectado com um malware vicioso.

As pessoas que trabalham com dados sensíveis ou dentro de redes onde os dados sensíveis são mantidos devem considerar seriamente a possibilidade de limpar e reinstalar. As pessoas cujo tempo é valioso devem considerar fortemente a limpeza e reinstalação (é o método mais rápido, fácil e seguro). As pessoas que não se sentem confortáveis com ferramentas avançadas devem considerar a possibilidade de limpar e reinstalar.

Mas as pessoas que têm tempo, e gostam de se mexer, podem tentar os métodos listados em outros posts.

As soluções possíveis para uma infecção pelo vírus estão em ordem: (1) varreduras antivírus, (2) reparação do sistema, (3) reinstalação total.

Certifique-se primeiro de que todos os seus dados têm backup.

Carregue e instale alguns antivírus, certifique-se de que estão actualizados e faça um scan profundo ao seu disco rígido. Eu recomendo usar pelo menos Malwarebytes’ Anti-Malware . Eu também gosto do Avast.

Se isso não funcionar por qualquer razão, você pode usar um scanner de vírus de CD ao vivo de resgate: Eu gosto mais do Avira AntiVir Rescue System porque ele é atualizado várias vezes ao dia e por isso o CD de download está atualizado. Como CD de arranque é autónomo e não funciona utilizando o seu sistema Windows.

Se não for encontrado nenhum vírus, utilize “sfc /scannow” para reparar ficheiros Windows importantes. Veja este artigo .

Se isso também não funcionar, deverá Executar uma Instalação de Reparação .

Se nada funcionar, deverá formatar o disco rígido e reinstalar o Windows.

Outra ferramenta que gostaria de acrescentar à discussão é o Microsoft Safety Scanner . Foi lançado há apenas alguns meses. É um pouco como a Ferramenta de Remoção de Software Malicioso , mas concebida para uso offline. Terá as últimas definições a partir do momento em que a descarregar e só será utilizável durante 10 dias, pois considerará o seu ficheiro de definições “demasiado antigo para utilizar”. Descarregue-o com outro computador e execute-o em modo seguro. Funciona muito bem.

Um pouco de teoria primeiro: por favor, perceba que não há substituto para a compreensão.

O último antivírus é entender o que está a fazer e geralmente o que se passa com o seu sistema, com a sua própria mente e na chamada realidade.

Nenhuma quantidade de software ou hardware o protegerá totalmente de si próprio e das suas próprias acções, que na maioria dos casos é como o malware entra num sistema em primeiro lugar.

A maioria dos malwares modernos de “nível de produção”, adware e spyware, recorrem a vários truques de “engenharia social” para o enganar na instalação de aplicações “úteis”, add-ons, barras de ferramentas de browser, “scanners de vírus” ou clicando nos grandes botões verdes de Download que irão instalar malware na sua máquina.

Mesmo um instalador para uma aplicação supostamente confiável, como por exemplo o uTorrent, instalaria por padrão adware e possivelmente spyware se você simplesmente clicar no botão Next, e não perca tempo para ler o que todas as caixas de seleção significam.

A melhor maneira de combater os truques de engenharia social que os hackers usam é reverse social engineering - se dominar esta técnica conseguirá evitar a maioria dos tipos de ameaças e manter o seu sistema limpo e saudável mesmo sem um antivírus ou firewall.

Se tiver notado sinais de formas de vida maliciosas/não solicitadas a habitar o seu sistema a única solução limpa seria reformatar e reinstalar totalmente o seu sistema. Faça uma cópia de segurança como descrito noutras respostas aqui, formate rapidamente os discos e reinstale o seu sistema, ou, melhor ainda, mova os dados úteis para algum armazenamento externo, e reimente a partição do sistema a partir de um despejo de partição limpa que tenha feito anteriormente.

Alguns computadores têm uma opção de BIOS para reverter o sistema para as configurações originais de fábrica. Mesmo que isto possa parecer um pouco exagerado, nunca irá doer e, mais importante, isto irá resolver todos os outros eventuais problemas, quer esteja ciente deles ou não, sem ter de tratar de cada problema um a um.

A melhor maneira de ‘corrigir’ um sistema comprometido é não o corrigir de todo, mas em vez disso reverter para uma imagem ‘boa’ conhecida usando algum tipo de software de imagem de partição, como o Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, ou e.g. dd se você fez a cópia de segurança a partir do Linux.

Com referência a William Hilsum “How Do I Get Rid Of This”: Usando um CD em directo “ acima:

Um vírus não será capaz de correr num ambiente de CD em directo, por isso pode fazer uso temporário do seu computador sem receio de mais infecções. O melhor de tudo é que pode aceder a todos os seus ficheiros. A 20 de Junho de 2011, Justin Pot escreveu um folheto intitulado "50 Usos Fixes para Live CDs”. O início da brochura explica como arrancar a partir de CD, Flash Drive ou SD Card, e as páginas 19-20 explicam sobre a digitalização com diferentes “anti-malwares” alguns dos quais já foram mencionados. Os conselhos dados são inestimáveis para este cenário, e são explicados em inglês de fácil compreensão. Claro que o resto da brochura é inestimável para as suas outras necessidades informáticas. (o link para o download (em formato PDF) é fornecido a partir do link abaixo. Lembre-se sempre de ser sensato ao utilizar a Internet, não se sinta tentado a desviar-se para “lugares” onde é muito provável que haja malware à espreita, e não deve ter problemas. Qualquer Antivírus, Suítes de Segurança da Internet, etc que possa utilizar deve ter as últimas actualizações, e qualquer SO que utilize deve também ser mantido actualizado. http://www.makeuseof.com/tag/download-50-cool-live-cds/

Depois de ter clicado ou copiado e colado o link acima, por favor clique em

DOWNLOAD 50 Cool Uses for Live CDs (escrito em azul)

Nota de Por favor Tentei escrever isto na secção de comentários, mas não consegui encaixar. Por isso, dei-o numa resposta oficial, pois é inestimável.

Dois pontos importantes:

1. Em primeiro lugar, não se infecte. Use uma boa firewall e antivírus, e pratique “computação segura” – afaste-se de sites questionáveis e evite descarregar coisas quando não souber de onde vem.
2. Esteja ciente de que muitos sites na web lhe dirão que você está “infectado” quando você não está – eles querem enganá-lo para comprar seu anti-spyware junky, ou, pior, eles querem que você faça download de coisas que são, de fato, spyware disfarçado como uma “aplicação anti-spyware gratuita”. Da mesma forma, esteja ciente de que muitos neste site, na sua maioria por estupidez, diagnosticarão qualquer erro “estranho”, particularmente o tipo de corrupção de registo pelo qual o Windows é famoso, como sinais de spyware.

Como sugerido anteriormente neste tópico, se tiver a certeza de que está infectado, utilize um linux live CD para arrancar o seu computador e faça imediatamente o backup de todos os seus dados sensíveis.

Também é uma boa prática ter os seus ficheiros sensíveis guardados num disco rígido diferente do seu disco de arranque do SO. Desta forma pode formatar com segurança o sistema infectado e executar um scan completo nos seus dados sensíveis apenas para estar do lado seguro.

Na verdade, não há melhor solução do que formatar a partição do sistema para ter a certeza que executa um ambiente livre de vírus e malware. Mesmo que corra uma boa ferramenta (e sem dúvida que há muitas por aí), há sempre restos deixados para trás e o seu sistema pode parecer limpo neste momento, mas certamente torna-se uma bomba relógio à espera de explodir mais tarde.

Em 8 de Dezembro de 2012. Remove-Malware lançou um vídeo tutorial intitulado “Remove Malware Free 2013 Edition ” juntamente com um Guia complementar que descreve como se livrar de malware do seu PC infectado gratuitamente.

• Backup - Como fazer o backup dos seus documentos pessoais importantes, no caso do seu PC ficar inacessível.
• Reunindo o software necessário para este guia.
• Bootable Antivirus - Porque é que um antivírus de arranque é a melhor forma de remover malware.
• Bootable Antivirus Disc - Como criar um disco antivírus de arranque.
• Bootable Antivirus Disc - Como fazer um scan ao seu PC com um disco antivírus de arranque.
• Cleanup - Arredonde os restos e remova-os.
• Previne que isso aconteça novamente.

O Video Tutorial tem mais de 1 hora de duração e juntamente com o guia escrito é um excelente recurso.

O vídeo tutorial link

Guia Escrito link

Actualização:

Um muito informativo artigo escrito hoje 1 de Fevereiro de 2013 por J. Brodkin intitulado “Viruses, Trojans, and worms, oh my: O básico sobre malware O malware móvel pode estar na moda, mas o malware de PC continua a ser o grande problema” da arstechnica.com destaca o problema contínuo do malware e dos diferentes tipos de malware com explicações de cada um, destacando:

• Backdoors
• Trojans de Acesso Remoto
• Roubadores de Informação
• Ransomware

O artigo destaca também a propagação de malware, o funcionamento de botnets e os negócios sob ataque.

RESPOSTA CURTA:

1. Cópia de segurança todos os seus ficheiros.
2. Formate a partição do seu sistema.
3. Reinstale o Windows.
4. Instale o antivírus.
5. Actualize o seu Windows.
6. Faça um scan ao seu backup com o antivírus ** antes** de o começar a utilizar.

Hoje nunca poderá ter a certeza de que removeu completamente uma infestação, excepto se limpar o seu disco e começar de novo.

Não creio que programas AV como o MSE, MCAfee, Norton, Kaspersky, etc. possam protegê-lo a 100% porque os seus ficheiros de definição vêm sempre a seguir ao facto - depois de o malware já estar na web e poder ter causado muitos danos. E muitos deles não o protegem contra PUPs e Adware.

Também não acho que os scanners como Malwarbytes, Superantispyware, Bitdefender scanner e outros possam ajudar muito quando o malware já danificou o seu sistema. Se tiver scanners suficientes, será capaz de remover o malware mas não será capaz de reparar os danos que este malware causou.

Por isso desenvolvi uma estratégia de duas camadas:

1. Faço imagens semanais (uso * free Macrium **) da partição do meu sistema e da minha partição de dados para dois discos externos que só estão ligados durante a imagem. Assim, nenhum malware pode chegar até eles. Se algo não funcionar no meu sistema, posso sempre restaurar a imagem mais recente. Normalmente guardo meia dúzia de imagens completas para o caso de ter de voltar mais longe do que na semana passada. Além disso, tenho o sistema de restauro activado no meu sistema operativo para que possa voltar rapidamente no caso de uma actualização defeituosa. Mas as imagens do sistema (sombras) não são muito fiáveis porque podem desaparecer por várias razões. Confiar apenas nas imagens do sistema não é suficiente.

2. A maior parte do meu trabalho na Internet eu faço a partir de uma partição virtual do Linux. O Linux em si não é o alvo de malware e o malware do Windows não pode afectar o Linux. Com este sistema eu faço

todos os meus downloads e verifico-os com * Virus Total *** antes de os mover para o sistema Windows. O Virus Total corre o ficheiro através de 60 dos programas AV mais conhecidos e se sair limpo, as hipóteses de sair limpo são muito altas.

todos os acessos à Internet a websites onde não tenho 100% de certeza que estejam limpos - como por exemplo este website aqui.

todo o meu correio. Essa é a vantagem do Gmail e da AOL. Posso verificar o meu correio com o meu browser. Aqui eu posso abrir qualquer correio sem ter medo de receber um vírus. E anexos que eu corro através do Virus Total.

todos os meus serviços bancários on-line. O Linux fornece-me uma camada extra de segurança

Com esta abordagem não vejo nenhum malware há anos. Se gosta de experimentar uma partição Linux virtual, * aqui está como ***.

Quais são os sintomas de uma infecção?

não poderia ser nada que o utilizador pudesse compreender em termos de desempenho ou de qualquer outra forma, nestes casos sem 100% de precisão poderia ver algo no gestor de tarefas a correr e ele não faz ideia do que é, ou como é que ele lá chegou… mas há casos em que o desempenho dos computadores corre mal, programas a correr mais lentamente, ou não correm nada, ou o que quer que seja. … os sintomas realmente variam e há casos em que uma infecção pode ser óbvia quase sem um segundo pensamento, há casos que são muito difíceis de entender mesmo que algo dê errado. tudo depende do que você está infectado (vírus, trojan, nomeá-lo como você quiser) e principalmente do distaster que causou a partir dele.

O que devo fazer depois de notar uma infecção? O que posso fazer para me ver livre dela? 1. Verificar o seu computador com um Antivírus. (KAspersky Internet Security, McAfee, Avast, etc.). Tenha em mente que mesmo utilizando o MELHOR Antivírus pode encontrar aquilo de que está infectado, mas a desinfecção é NÃO 100% garantida. 2. Mantenha uma cópia de segurança dos seus ficheiros (certifique-se de que não estão infectados também) e certifique-se de se livrar de todos os ficheiros infectados no seu computador, mesmo que isso signifique apagá-los. se os utilizar, voltará a ser infectado, portanto considere-os perdidos de qualquer forma. Você pode querer tentar usar outro programa antivírus e tudo bem, mas não tenha grandes esperanças. 3. a melhor/mais rápida/mais eficaz forma de se livrar de uma infecção, é formatar a unidade de disco e fazer uma instalação limpa do seu sistema operativo. 4. se está prestes a utilizar QUALQUER backup, certifique-se de que o faz novamente com um programa antivírus antes de aplicar. pode também estar infectado antes de conseguir compreender que algo estava errado.

como evitar a infecção por malware?

1. Utilizando um Antivírus, actualmente a maioria dos programas antivírus são uma solução para quase todos os tipos de malware/vírus, etc. Tenha em mente que prevenir é melhor do que tentar resolver o problema mais tarde. Na sua maioria, eles fazem uma grande ajuda. Aplicações como SpyHunter, Malware bytes, Spybot etc também são ótimas para alguma proteção extra. O uso de uma Firewall também ajuda. Tenha em mente que mesmo que o seu computador esteja OFFLINE e não tenha uma ligação à Internet, ainda assim é necessário um antivírus. Motivo? você pode usar CD’s, pen drives, DVD’s, ou outros arquivos que vêm de amigos/clientes, etc que possam estar infectados. ainda assim a proteção que um antivírus oferece, mesmo neste caso, é inestimável
2. Descarregar/instalar/Usar software a partir de fontes confiáveis.
3. Entrar em sites de confiança na Internet.
4. Certifique-se de que o seu sistema operativo está SEMPRE ATÉ DATA! As actualizações não são apenas para melhor desempenho, mas também para segurança.

O problema com a digitalização de malware externamente ou com um CD ao vivo é que muitas destas peças desagradáveis de software se ligam a processos de memória, drivers e muito mais. Se o sistema operativo do PC não estiver carregado, também não estão carregados, o que torna o processo de remoção frustrante. SEMPRE procure malware enquanto o SO infectado é iniciado.

Com isto dito, carregue o Windows com uma cópia do RKILL numa drive USB. A execução deste utilitário mata qualquer processo de malware que seja arrastado em segundo plano, permitindo-lhe avançar com a remoção. É MUITO eficaz. Ainda não encontrei uma situação em que o programa tenha falhado o seu trabalho e estou surpreendido com a quantidade de técnicos que nunca ouviram falar dele.

A seguir escolho digitalizar com bytes Malware ou com o ComboFix. A boa vantagem destes scanners é que em vez de utilizarem definições de vírus, eles localizam malware implacavelmente com base no comportamento - uma técnica muito eficaz. Uma palavra de aviso no entanto - eles também são muito mais perigosos e podem REALMENTE destruir alguma loja séria no seu SO. Certifique-se de que tem uma cópia de segurança.

90 por cento do tempo que o processo acima descrito funciona para mim e eu removo um TON destas coisas no diário. Se a sua paranóia extra, executar uma verificação com algo como AVG, SuperAntiSpyware ou Microsoft Security Essentials pode não ser uma má ideia. Embora eu não tenha visto estes programas detectarem muito mais do que o inofensivo cookie rastreador, algumas pessoas juram por eles. Dê a si mesmo a paz de espírito e faça isso se for necessário.