DTI
Unilab

Detectar e remover possíveis ameaças

Detectando e removendo arquivos mal-intencionados pelo Prompt do Windows

Você aprenderá como detectar possíveis ameaças sem ter ou utilizar qualquer tipo de anti-vírus e também como apagá-los. Para este tutorial não será necessário nada além do bom e velho MS-DOS – a famosa tela preta e um pouco de conhecimento com o Sistema Operacional (S.O.) Windows:

1º Passo: Clique no botão Iniciar da Barra de Tarefas, depois no Executar…

2º Passo: No campo Abrir digite cmd, após clique em OK. Isso irá abrir o Prompt de comando do Windows XP. Para outras versões, o mesmo caminho pode ser feito através do Botão Iniciar – Todos os Programas – Acessórios – Prompt de Comando.

3º Passo: Você deve “apontar” o endereço do drive (Pendrive, Cartão de Memória, HD Portátil, Celular, etc.), colocando a letra do mesmo seguida de dois pontos. Ex: E: ou F: Ao teclar Enter aparecerá a letra assim “E:\>“. Se você não sabe qual é a letra do dispositivo, clique no botão Iniciar, depois em Meu computador. Na janela procure pelo nome do seu dispositivo, a letra estará entre parênteses à direita.

4º Passo: Digite o comando dir/ah, após tecle Enter. Se o dispositivo não conter ameaças, irá aparecer algo do tipo:
prompt1

Caso contenha, irá aparecer no lugar de Arquivo não encontrado um ou vários nomes, os quais serão mostrados em linhas e seguirão a seguinte forma:

Data e hora de modificação: dd/mm/aaaa hh:mm
Diretório ou Arquivo: quando for uma pasta aparecerá ‹DIR›
Tamanho do arquivo: mostrado em bytes
Nome e extensão do arquivo: separado por ponto
E no final exibi o total de arquivo(s) e pasta(s) que podem representar alguma ameaça.

Demonstração:
prompt2

Fique atento, nem todos os arquivos ou diretórios são vírus. Existem arquivos do próprio sistema que também são detectados.

Ex.: boot.ini / Bootfont.bin / Config.Msi / IO.SYS / MSDOS.SYS / MSOCache / NTDETECT.COM / ntldr / pagefile.sys / System Volume Information, etc. Mas isso se o dispositivo tiver um Sistema Operacional Instalado, tipo o Disco Local (C:). Se tratando de dispositivos removíveis o que aparecer pode deletar*, inclusive o diretório RECYCLER que é uma pasta gerada pelo sistema (Lixeira), pois ela não fará diferença para o S.O. e é uma das preferidas pelos vírus.

5º Passo: Entendendo isso, para apagar a possível ameaça digite o comando del/a:rh mais o tamanho e o nome do arquivo encontrado ou só o nome, depois tecle Enter.

Demonstração:
prompt3
Caso ele não permita a ação, feche o Prompt e abra-o novamente mas como administrador (“Não sabe como?” clique com o botão direito sobre o ícone da aplicação, depois em Executar como administrador e repita os passos anteriores).

Pronto! O processo é individual, ou seja, deve ser feito linha por linha caso existam mais de uma ameaça.

Dicas:
Não abra dispositivos removíveis “suspeitos” antes de realizar estas verificações.

Você pode repetir os comandos digitados através do histórico, teclando seta para cima ou para baixo.

Utilize a tecla TAB (tecla acima do Caps Lock) para completar com o nome dos arquivos ou pastas daquele diretório de forma Crescente, ou Shift + TAB para forma Decrescente.

Caso tenha dificuldade em deletar a pasta RECYCLER ou qualquer outro diretório ‹DIR›, no lugar do comando del/a:rh, digite rd /q /s (rd espaço barra q espaço barra s) mais o nome do diretório. Ex.: rd /q /s RECYCLER. Tome muita cautela ao utilizar este comando, pois ele deleta sem questionar.

Para verificar a unidade C:\ digite o comando cd .. (cd espaço dois pontos). O comando especifica que você quer ir para a pasta raiz, repita-o até ficar C:\> ou digite cd ../.. (após abrir o Prompt).

Observações:
Só utilize este recurso no Disco Local C:\ se você leu esse tutorial com atenção e já tem experiência com o Windows. Tome cuidado com dispositivos que contenha sistema operacional instalado, pois o DOS também encontra arquivos que são do próprio sistema e que se deletados comprometerão a execução do mesmo. Na dúvida, faça uma busca pelo nome do arquivo na internet antes de apagar ou não apague e opte por escanear com um anti-vírus atualizado.
*Desconfie se aparecerem muitos arquivos infectados nas unidades removíveis – quase que a quantidade total de arquivos presentes no dispositivo, pois o vírus pode ter “camuflado” todos os seus arquivos e pastas como atalho – para executar quando você tentar abrir um destes arquivos infectados. Nestes casos, rode o comando attrib /d /s -a -s -h -r *.* para “descamuflar”/mostrar todos os seus arquivos. Depois, verifique novamente a unidade com o comando dir/ah – deverão aparecer menos ameaças.
Publicado em 13/08/2014

Outras notícias

Ir ao Topo da Página
Divisão de Sistemas da Informação (DSI): +55 (85) 3332.6136
Divisão de Sistemas de Redes (DISIR): +55 (85) 3332.6138
Divisão de Suporte (DISUP): +55 (85) 3332.6136
Diretoria de Tecnologia da Informação (DTI): +55 (85) 3332.6136
Desenvolvido pela Seção de Portais e Aplicações Web (SPA) © 2018 - DSI/DTI/Unilab | RSS