Windows: attrib e cacls contra vírus

Hoje em dia os malwares são cada vez mais comuns no cotidiano dos usuários. Frequentemente arrancamos cabelos por causa dessas pragas virtuais. Os famosos vírus estão aí, cada vez mais fortes e eficientes, infestando as máquinas dos pobres usuários. Com o pen drive – e devirados – sua proliferação se tornou ainda mais aguda.

Infelizmente os anti-vírus não são perfeitos, principalmente os gratuitos, que são utilizados pela maioria dos usuários, consequentemente cedo ou tarde a máquina pode estar “contemplada” com estes malwares. Contudo existem diversos softwares destinados a remoção dos vírus,  o Combofix é um ótimo exemplo disso e é muito bem avaliado por seus usuários, podendo “salvar a vida” de muitos sistemas.

Também podemos analisar manualmente o que pode estar por trás de nosso sistema, vou dar aqui algumas dicas que podem identificar e remover algumas pragas virtuais no Windows.

Pelo prompt de comando do Windows podemos utilizar o comando attrib que tem a função de exibir ou alterar os atributos dos arquivos. Normalmente a maioria dos vírus são camuflados no sistema, tornando-os invisíveis mesmo quando ativamos a exibição de arquivos ocultos. Estes vírus então possuem atributos de arquivos ocultos, arquivos de sistema e também de somente leitura, que por consequência dificulta sua localização. Também muito destes arquivos removem todos os privilégios dos usuários sobre ele, sendo necessário que precisemos forçar novamente privilégios totais sobre o arquivo, e nós podemos fazer isto utilizando o comando cacls.

Podemos então começar verificando os arquivos que possuem atributos ocultos e de sistema. Mas atenção! Muitos arquivos com estes atributos não são vírus, arquivos importantes do Windows – ou outros programas -, principalmente os presentes na pasta system32 utilizam-os. Então como identificá-los?! A screen abaixo mostra um resultado comum desta busca, mas recomendo o usuário fazê-la mesmo que o sistema esteja intacto a fim de aprendizado. Muitos vírus possuem nomes meio óbvios, como autorun.inf, explore.exe, csrsc.exe, svhost.exe e etc, tornado mais fácil a tarefa de eliminá-los.

Sem mais vamos ao comando:

Vá para a raíz da unidade a ser verificada:

cd \

Logo após rode a verificação:

attrib /s | findstr /I "shr"

O parâmetro /s define que o processamento será feito em pastas e subpastas. Logo após filtramos os resultados com o comando findstr com parametro /I que separa somente arquivos que possuem os caracteres “shr” em seu conteúdo. Este “shr” são os atributos que buscamos. O “s” define que um arquivo é um arquivo de sistema, o “h” significa arquivo oculto e “r” atributo de somente leitura. Se encontrarmos um malware, resta tirar estes atributos para poder removê-lo:

attrib -s -h -r nomedoarquivo

Deste modo o arquivo ficará acessível para podermos deletá-lo.

Muitas vezes ao se rodar este comando attrib sobre o malware, será exibida a mensagem de que não foi possível processá-lo. O que acontece é que estamos sem privilégios para modificar seus atributos, o que modificaremos usando o cacls.

cacls nomedoarquivo /g usuario:F

Pronto! Agora já temos privilégios para tirar seus atributos e deletá-los.

Ter na ponta dos dedos estes comandos já é um bom modo de prevenir seu sistema contra malwares. Como já dito existem diversos programas que podem resolver o problema mais eficientemente, mas porém dominar alguns métodos manuais podem nós salvar quando mais precisamos. Além disso devemos conhecer um pouco mais do registro do Windows, o qual contém alguns itens que devemos conhecer mais um pouco. Porém isto eu abordarei mais para frente.

2010

05/03

CATEGORY

Windows

TAGS

linha de comando
malware
Vírus
Windows

Write comment