Uma das perguntas que freqüentemente recebo de internautas em apuros é a seguinte:  

_ Meu antivírus localiza e elimina um vírus mas depois ele volta... O que fazer?

Isso tem ocorrido cada vez mais e deve-se ao fato do sistema afetado atender a pelo menos uma das três condições a seguir (podem ocorrer duas ou até as três num mesmo sistema): Windows ME, Windows XP ou Rede.

Windows ME

O Windows Millennium Edition tem um recurso denominado Restauração do sistema que serve para restaurar arquivos em caso de algum problema que os danifique. Esse recurso vem habilitado na instalação padrão e faz backups colocando-os na pasta _Restore que é criada em cada unidade de HD do sistema... Essa pasta é protegida pelo Windows o que significa que nenhum outro programa consegue apagar seu conteúdo a não ser que a Restauração do sistema seja desabilitada. O que ocorre com os vírus é que eles são copiados nessa pasta e depois restaurados... Está tudo explicadinho (em inglês) pela própria Microsoft em: http://support.microsoft.com/default.aspx?scid=KB;en-us;q263455 .

Então num caso em que o usuário de Win ME elimina o vírus mas este volta é preciso desabilitar a Restauração do sistema, eliminar o vírus novamente e depois, se for o caso; reabilitar o dito recurso. Como se faz isso? Em http://www.symantec.com.br/region/br/avcenter/data/W32.Goner.A@mm.html a Symantec dá a dica (português) com screenshot inclusive e também em http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239 (inglês).

Windows XP

Da mesma forma que o Windows ME o XP utiliza a Restauração de sistemas, também protege os arquivos copiados para o caso de uma restauração e também tem restaurado vírus por conta disso...

A solução é semelhante e passa por desabilitar a Restauração do sistema, veja como em (inglês): http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039 

Rede

Alguns dos worms atuais (worm não contamina outros arquivos, vírus sim) tem a capacidade de se reproduzirem através de redes (corporativas ou domésticas) isso faz com que a contaminação que geralmente se dá por um ponto passe a ser da rede ou seja com os worms atuais não temos um ou outro terminal de rede contaminado mas sim a rede toda... Nesses casos quando se elimina o worm de um terminal é preciso deixa-lo desconectado da rede e limpar todos os outros terminais um a um sempre com o cuidado de desconecta-lo da rede e da Internet (se for o caso) além de desativar eventuais compartilhamentos de arquivos. Parece claro que numa rede ponto a ponto tal procedimento poderá ser executado facilmente mas numa rede corporativa com milhares de terminais será um grande transtorno... Muito melhor seria ter o sistema atualizado e não ter se exposto a isso pois a grande maioria desse worms age explorando falhas conhecidas e com correções gratuitas disponíveis para download.

Conversando com um administrador da rede de uma grande empresa com milhares de terminais espalhados por vários estados do território nacional ele me confidenciou que a rede em questão está contaminada pelo Nimda mas ele não pode derruba-la para elimina-lo e ainda que não estava muito preocupado com isso pois a situação estava sob controle. De fato num dado momento a rede toda precisa estar desligada pois há que se eliminar o worm de cada ponto inclusive os servidores e mantê-los desconectados até que todos estejam limpos... Por outro lado se o worm em questão fosse um com carga mais agressiva a situação já teria fugido ao controle há muito tempo... Eu nem o lembrei que o Nimda tem esse nome como uma ironia aos administradores de sistemas (NIMDA = ADMIN ao contrário) pois só contamina redes cujas atualizações de segurança foram negligenciadas...

Esses worms que se especializaram em disseminar-se por redes (Nimda, Klez, Datom e Opaserv por exemplo) costumam dar muito trabalho para serem eliminados e por isso mais uma vez cabe a velha sabedoria popular: "é melhor prevenir do que remediar". Prevenção no caso é manter o antivírus e os outros programas (sistema operacional, navegador e correio eletrônico principalmente) sempre atualizados em relação aos patchs de segurança e assinaturas de vírus, é claro que em redes corporativas a demanda por atualizações é bem maior pois inclui servidores web, ftp, softwares de roteadores, firewalls e etc...

Atualmente um worm que tem incomodado bastante muitos administradores de rede é o Opaserv (http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.opaserv.worm.html e http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.opaserv.worm.removal.tool.html). Ele se caracteriza por sua capacidade de reconhecer uma rede e disseminar-se através dos compartilhamentos abertos da mesma. Para variar ele utiliza uma falha dos Windows 95/98/98SE/ME que tem correção disponível desde outubro/2000... 8( http://www.microsoft.com/technet/security/bulletin/MS00-072.asp .

Win ME/XP na rede

Desnecessário dizer que se o caso for de um terminal com Windows Me ou XP pendurado numa rede é preciso executar os passos referentes a Restauração do sistema (desabilitar) e a rede (limpar cada ponto e só reconecta-lo depois que toda a rede estiver limpa) pois senão o worm pode ser restaurado pelo Windows ou ficar escondido num outro ponto da rede para voltar em seguida.