Restaurando arquivos de pendrives contaminados com virus

Existe um virus bastante comum circulando nos computadores de empresas e residências por aí a fora, worm32 e suas variantes, que tem um "Q" a mais para desesperar usuários. Essa praga "some", na realidade oculta os diretórios e arquivos no hd ou pendrive criando atalhos para sua replicação e para alimentar um database que está oculto no diretório raiz da mídia infectada, com os arquivos do usuário. O assunto novamente foi levantado no fórum da comunidade Técnicos em Informática, no Orkut [que ainda existe sim e continua tendo coisas interessantes. Até quando não sei, depende do Google].

Colocaram no tal tópico um batch file, cheio de firulas, pedindo orientações mas prefiro a simplicidade para soluções.

Aqui apresento apenas a solução simples de "recuperação" desses arquivos via modo de comando com "attrib". A ação proposta nada mais faz que retornar os arquivos a seu estado de visibilidade no sistema, removendo o atributo de arquivo oculto e restaurando as atribuições de leitura e escrita, caso tenham sido afetadas:

Basta fazer o procedimento abaixo com login de administrador [root], preferencialmente em modo de segurança:

1 - Em uma máquina com S.O windows XP ou superior [se win95, instale antes o suporte a usb 2.0]
2 - Atualizar seu antivirus
3 - Reiniciar o computador em modo de segurança como [root]
4 - Conectar o pendrive a sua máquina
5 - Verificar qual letra de drive é identificada para o pendrive em questão
6 - Entrar no modo terminal [cmd. com]
7 - Ir para o diretório do pendrive com o comando
[x]: [onde x é a letra do drive identificado pelo windows]
8 - digitar o comando attrib na forma abaixo:
attrib /S /D -r -s -h +a *
9 - Aguardar o sistema liberar o prompt de comando
10 - Verificar via modo terminal ou no gerenciador de arquivos [windows explorer] [ctrl+e] se os atributos de pastas e arquivos foram alterados, normalizando a situação. A operação referente ao comando no item 8 levará de 2 a 10 minutos, conforme o volume de arquivos que você tenha no hd com o problema


Quanto aos arquivos criados pelo virus:
11 - Os links, criados pelo virus em substituição ao diretório, podem ser removidos manualmente utilizando o próprio windows explorer como ferramenta para a visualização, bastando selecionar estes links e excluí-los normalmente. Isto evita que você exclua indevidamente algum link criado por você anteriormente.
12 - Os arquivos de controle e dados criados pelo virus, caso não tenham sido removidos pelo antivirus, podem ser excluidos da mesma forma descrita no item 11.


Nota: Os arquivos do virus no pendrive podem não ter sido excluídos pelo antivirus. Pessoalmente prefiro removê-los "na unha" a partir do Linux. Os arquivos de dados gerados pelo virus permanecem no pendrive como arquivos ocultos, geralmente sem nome mas apenas com uma extensão após um "ponto", constando um arquivo com extesão de 3 letras e menos de 1 KB de tamanho, conteúdo visível a partir do notepad [windows], e outro com extensão de 4 letras e maior que 1 MB, em formato SQL contendo database com informações da máquina, midia e usuário infectado.

Lembre-se de passar o antivirus atualizado na máquina que usou para realizar esta operação e nas máquinas infectadas com o virus.

Pessoalmente aconselho a utilização do F-Prot Antivirus, que tem versão gratuita e pode ser baixado no site www.f-prot.com , mas você pode usar o antivirus de sua preferência.

Paz e Bem! Beny

Blog do Beny
Gestão de Telecom
Ágape - Amor Esponsal
Twitter Gestão de Telecom
Canal youtube Gestão de Telecom

Leia também neste blog:
Como planejar e configurar uma rede de computadores
Configurando modems e roteadores de uso doméstico e SOHO.
Configurar Interfaces de Rede no Linux - Editando o arquivo "interfaces"
Minha rede é segura ?
Dica - Speedstream 4200 atualização de firmware

Videos de Atividades de TI e Telecom:
Videos de atividades técnicas