Aviso sobre arquivo suspeito em C: \ [duplicado]

Eu tenho uma mensagem de aviso estranha que acontece na inicialização do Windows 7.

Ele começou apenas recentemente e diz que há um problema com um arquivo no meu computador chamado C:\Program. Ele também diz que renomear isso C:\Program 1resolveria esse problema. Para ser mais preciso,

Aviso de nome de arquivo

Existe um arquivo ou pasta no seu computador chamado "C: \ Program" que pode fazer com que certos aplicativos não funcionem corretamente. Renomeá-lo para "C: \ Program 1" resolveria esse problema. Gostaria de renomeá-lo agora?
                        (Renomear) (Ignorar)

Eu tirei uma captura de tela desta caixa de diálogo:

Até agora eu disse para não mudar o nome, antes de saber o que é.

É assim que o arquivo se parece no Bloco de Notas:

4 ›˜ýÒc?¾Bº3Ldgk/Œ$Oð½      ñ½  ½ÛéÕŽÄl(   ò½  ê¢ñ6£b(   ó½  ;¿¤¸îX (   ô½  ÞÞµkæ (   

Estas são as propriedades gerais do arquivo:

Não consigo encontrar ninguém na Internet com o mesmo problema que eu e gostaria de saber se devo deixar, renomear ou excluir esse arquivo. Eu também quero saber o que é.

Carregue o arquivo em um site que analisa arquivos com vários programas antivírus. Sites que fornecem esse tipo de serviço gratuitamente incluem o seguinte:

1. VirusTotal - agora propriedade do Google. Atualmente verifica arquivos enviados com 56 programas antivírus.
2. O Malware Scan do Jotti
3. VirSCAN

Se for malware, há uma boa chance de um dos programas antivírus usados ​​nesses sites identificar o malware. Depois de ter o nome dado ao malware por um fornecedor de antivírus, você poderá pesquisar on-line com esse nome para obter mais informações sobre o que ele faz.

Se for malware, simplesmente excluir o arquivo ou renomeá-lo pode não ser suficiente para livrar seu sistema do malware. Pode haver outros arquivos e configurações do Registro do Windows associados ao malware que você pode precisar remover. Mesmo que esse arquivo seja crítico para a operação do malware, alguns malwares contêm um código de "ressuscitador" que simplesmente recriará ou baixará qualquer arquivo que você precise excluir, se você não tiver se livrado do restante do malware.

Então você precisa verificar o seu sistema com software antivírus / antispyware. Eu listei alguns programas antivírus / antispyware gratuitos que eu uso para verificar os sistemas infectados abaixo. Como você não tem software antivírus em seu sistema agora, não haverá conflito com o software antivírus existente.

1. Ad-Aware Free Antivirus +
2. Malwarebytes Anti-Malware
3. Ferramenta de Remoção de Sophos Virus
4. SUPERAntispyware
5. Spybot - Search & Destroy

Observação: as versões gratuitas de programas antivírus / antispyware geralmente não executam a verificação em tempo real. Ou seja, eles só fazem a varredura de um sistema quando você inicia manualmente uma varredura. Isso é preferível quando você tem um software antivírus existente, pois diminui as chances de conflito entre vários programas antivírus em um sistema, o que pode atrasar significativamente um sistema se cada arquivo acessado for varrido por vários programas antivírus, que eu vi até mesmo fazer um sistema inutilizável. Mas você deve colocar um programa antivírus que execute varredura em tempo real no sistema depois de ter erradicado qualquer malware que esteja nele. Você deve ter algum software constantemente monitorando o sistema em busca de malware para evitar infecções.

Portanto, eu recomendaria usar inicialmente as versões gratuitas dos programas acima. Depois de ter erradicado qualquer malware, você poderá comprar a versão de verificação em tempo real de um dos programas acima ou de outro programa antivírus.

Talvez seja necessário verificar o sistema com mais de uma das opções acima, pois às vezes os fornecedores de antivírus A, B, C e D ainda não encontraram malware X, mas o software do fornecedor de antivírus E sabe sobre malware X e pode erradicá-lo. Mas para o malware Y, o software antivírus E pode não estar ciente disso, mas B e D podem tê-lo encontrado e, portanto, ter uma assinatura de vírus para ele e saber como erradicá-lo.

Você também pode varrer o sistema com um software de detecção de rootkits que procura por um malware adepto de se esconder. Eu listei alguns programas gratuitos de detector de rootkit abaixo.

1. GMER
2. Kaspersky TDSSKiller
3. Malwarebytes Anti-Rootkit

Eu gosto de ser capaz de inicializar um sistema infectado de um Live CD , de modo que o sistema operacional normalmente usado para inicializar o sistema não esteja em execução no momento da varredura. Muitos fornecedores de antivírus fornecem um Live CD gratuito que você pode usar para esses fins. Alguns que eu usei incluem o seguinte:

1. Avira Rescue System
2. CD de recuperação do AVG
3. CD de Recuperação BitDefender
4. CD de resgate F-Secure
5. Disco de Recuperação Kaspersky

Acredito ter visto no passado o que você descreve no sistema de alguém que foi infectado por malware, mas não consigo lembrar o nome do malware responsável nesse caso.

Se você fez o upload para o VirusTotal e nenhum dos programas antivírus que ele usa sinalizou o arquivo como potencialmente inseguro, ele pode ser inofensivo. Você poderia fazer uma pesquisa em uma soma de verificação para o arquivo, como Scott sugeriu em seu comentário. Uma soma de verificação é determinada por meio de um cálculo matemático que deve gerar um número exclusivo para um arquivo. É possível que dois arquivos não-idênticos tenham a mesma soma de verificação MD5 , mas isso é improvável. Existem outros tipos de soma de verificação, como os determinados por meio de um Algoritmo de Hash Seguro .

Se você fizer upload do arquivo para o VirusTotal , clique na guia Detalhes do arquivo depois que o arquivo tiver sido digitalizado. Procure o valor MD5 e pesquise on-line por esse valor. Você pode encontrar mais informações dessa maneira. Por exemplo, se você acidentalmente moveu / renomeou algum arquivo de sistema operacional ou um arquivo associado a algum programa em seu sistema para este arquivo, a soma de verificação MD5 pode revelar que, se você procurar on-line pela soma de verificação e descobrir que ela está associada a algum programa abcd. exe, por exemplo, então você pode ter inadvertidamente renomeado abcd.exe. Ou pelo menos você poderia ter uma ideia do propósito original do arquivo. Os detalhes do arquivo A guia também pode fornecer informações adicionais sobre o conteúdo do arquivo que você carregou, por exemplo, se alguma informação sobre editores ou direitos autorais foi encontrada no arquivo.

Se você enviar o arquivo para o Malware Scan do Jotti , ele mostrará as somas de verificação MD5 e SHA-1 para o arquivo, bem como o tipo do arquivo. Por exemplo, ele pode mostrar "executável PE32 (console) Intel 80386, para MS Windows" como o tipo, se o arquivo fosse um programa executável. O VirSCAN também mostrará as somas de verificação MD5 e SHA1, bem como o tipo de arquivo. Você também pode pesquisar no hash SHA-1, se você não encontrou uma correspondência para o hash MD5.

Você também pode usar o site de criptografia de hash on - line . Você pode selecionar outras opções de hash, como SHA-256 ou SHA-512, fazer o upload do arquivo e fazer com que o site informe o valor da soma de verificação para as pessoas clicando no botão do arquivo de conversão . Você pode então realizar uma pesquisa online no valor hexadecimal que ele fornece.

A razão pela qual Scott sugeriu tal abordagem é que, se o arquivo encontrado também existir nos sistemas de outros, há uma boa probabilidade de alguém calcular uma soma de verificação para o arquivo e ter postado o checksum em algum lugar on-line com mais detalhes sobre o arquivo. . Se o arquivo em seu sistema é único, você não encontrará nada, mas se não for, você poderá encontrar mais informações sobre ele por esse método.

Para arquivos binários, você também pode procurar por " strings ", ou seja, texto legível por humanos, em um arquivo usando as strings do programa Sysinternals da Microsoft . É uma ferramenta que você executa a partir de um prompt de comando. Por exemplo, você pode usar o comando abaixo:

C:>strings "C:\Program" > examine.txt

Isso resultará no programa de strings pesquisando o arquivo "C: \ Program" para texto legível e armazenando o que encontrar no arquivo examine.txt. Abra o arquivo examine.txt com o Bloco de Notas. Você pode encontrar algum texto que forneça uma pista sobre a origem do arquivo. Por exemplo, você pode ver um nome de empresa ou até mesmo informações de direitos autorais, como "Copyright (c) 1997 Microsoft Corp.1" Você pode até ver um URL. Ou você pode não ver nada que ajude a adivinhar a origem do arquivo. Mas é outra verificação que você pode realizar.

Se você não encontrar nada que pareça suspeito em relação ao arquivo, pode ser seguro simplesmente renomeá-lo ou excluí-lo, mas veja se ele reaparece, por exemplo, se ele voltar no final do dia ou depois de um reinicialize.