Como recuperar sistema com vírus sem ter que formatar

Excelente artigo de José Ferreira Neto

Estamos publicando mais um artigo técnico e neste a proposta é recuperar um sistema operacional totalmente corrompido sem ter que formatar o disco.

Suponhamos que um cliente (ou mesmo você) tenha um programa/aplicativo que não pode ser reinstalado por algum motivo (no nosso caso o cliente tinha um programa chamado ITISCad cuja empresa/desenvolvedor fechou e não tem mais suporte) e por essa razão a formatação é inviável, o quê fazer?

Primeiramente é necessário que você conheça o tipo de infecção/vírus que está agindo no sistema, geralmente é do tipo win32 (File Infector: Sality, etc) e este tipo de vírus corrompe todos os executáveis do sistema e usar antivírus como Avast, Avira, entre outros pode resultar em perda dos executáveis e até dos arquivos do sistema.

Mas você diria: O sistema não trabalha no modo protegido? Sim, mas a primeira coisa que o File Infector faz e contaminar o Explorer, que é o sistema de janelas do sistema (Windows) e alguns aplicativos quando chamados, assim que forem encerrados sairão do modo protegido e assim pode ser infectado como qualquer outro executável.

#ComoFazer

Descoberto o tipo de infecção, observe os seguintes:

- não use Avast ou AVG genérico, ou seja, antivírus comum, use uma ferramenta própria para a remoção do vírus, tipo Sality Killer, que remove o vírus sem apagar o arquivo infectado;

- antes do escaneamento verifique (e desative) opções de remoção;

- e fique observando se o aplicativo que deseja preservar se ele será apagado, se não puder verificar “in loco”;

- configure para que os arquivos infectados sejam renomeados ou enviados para a quarentena (é para isto que a quarentena existe!), se for arquivos do sistema, delete-os; Este monitoramento é super-importante para evitar que os executáveis do aplicativo (que não pode ser reinstalado) sejam apagados (eles devem ser mantidos, mesmo infectados, pois no final vamos desinfecta-los).

Coloque um outro HD ou instale o sistema em outra partição (no mesmo disco) e imite a estrutura do sistema danificado, ou seja, crie os mesmos usuários, mesmas senhas.

Desinstale TODOS os aplicativos/programas que você pode reinstalar e deixe no sistema que está danificado aquilo que deve ser reaproveitado, ou seja, só o necessário.

Inicie o boot com um Live CD (Linux ou do tipo Hiren’s Boot | recomendo o Ubuntu), tendo o HD /Partição  do sistema “limpo” no mesmo computador que o sistema danificado.

ATENÇÃO: Copie a pasta C:\WINDOWS\SYSTEM32\CONFIG (do disco danificado) para outro local (é essa pasta que guarda as configurações do usuário, link dos programas, etc).

Agora COPIE a pasta WINDOWS do disco limpo e cole no disco danificado – solicitar permissão para substituir/sobrescrever os arquivos antigos, clique em SIM;

Copie a pasta CONFIG que você fez cópia e cole-a dentro de C:\WINDOWS\SYSTEM32\

IMPORTANTE! Observe que NÃO apagamos a pasta WINDOWS e sim substituímos os arquivos contidos nela por outros que não foram modificados, isto é importante pois se houver alguma biblioteca ou arquivo de configuração que o aplicativo (que não pode ser reinstalado) necessitar, serão preservados.

Verifique se não está faltando nenhum arquivo na raiz do disco (C:\), compare o sistema de arquivos do sistema limpo com o sistema danificado, devem ficar idênticos.

Remova o HD (limpo) e deixe somente o que estava danificado, dê boot pelo HD (o que estava danificado) e veja como o sistema se comporta. Se tudo der certo, se ligar normalmente, vamos à outros passos.

NÃO instale nada! É importante observar isto!

Use o removedor Sality Killer (ou a ferramenta de opção para o vírus que você identificou) novamente (observe que você está usando os arquivos do sistema limpo no sistema danificado) e se houver alguma infecção, mande limpar (clean) e NUNCA apagar. Se não existir a opção de limpar, use o antivírus Dr. Web (a versão trial já resolve) que ele limpa sem excluir.

Se não houver mais nenhuma infecção, antes de executar seus programas, INSTALE E ATUALIZE um antivírus e só depois então, comece executando os aplicativos que foram preservados.

Alguns aplicativos exigem a instalado do gerenciador de banco de dados (Firebird, BDE, etc).

A primeira vez que você iniciar o sistema pode se comportar um pouco estranho, isto se deve ao fato de estar usando a configuração de um usuário (Pasta /WINDOWS/SYSTEM32/CONFIG) em outro sistema, se for preciso recrie o usuário.

Considerações finais

Isto pode não dar certo se o aplicativo que deseja preservar for do tipo que registra as bibliotecas no sistema de registros do sistema, porém na maioria dos casos esses registros são mantidos pois são gravados no arquivo SOFTWARE que está dentro da pasta C:\WINDOWS\SYSTEM32\CONFIG;

Em todos os casos de aplicativos que usam gerenciador de banco de dados como BDE, Firebird, e não-relacionais (DBF) desenvolvidos no Clipper, foram resolvidos com sucesso e sem perda de dados.

FONTE:  Veia Digital