Infelizmente, não existe um desinstalador oficial e a simples remoção da atualização ( KB3035583 ) responsável pela instalação do GWX.exe não o remove completamente. Apesar do processo de remoção ser simples, é uma pena que a Microsoft tenha escolhido o caminho da imposição ao invés da sugestão.
Se o usuário tem poder de escolha sobre os softwares e sobre o hardware que possui, é bom que a industria respeite sua autonomia de decisão, privacidade de uso e liberdade de escolha.
Como não existe um procedimento oficial, listarei uma sequência de passos e softwares que pessoalmente acredito que podem ajudar nesta tarefa. Esteja avisado que o método apresentado pode não ser completo e muito menos seguro.
Ainda, o método apresentado foi testado apenas em máquinas rodando Windows 7 64 bits - em sistemas operacionais diferentes, mudanças talvez sejam necessárias.
Tenha paciência, cuidado, pesquise e sempre avalie os riscos de seguir cegamente tutoriais de internet.
De modo geral para a remoção de qualquer software - malicioso ou não! - basta seguirmos alguns passos: fechar a aplicação, executar o desinstalador (se possível), garantir privilégio de escrita em disco, remover arquivos restantes, garantir privilégio de escrita e limpeza de registro, por fim, tomar medidas de imunização.
fechar a aplicação: nem sempre um programa é visível ao usuário, ou é apresentado numa janela. Muitas vezes e principalmente no caso de malwares os programas operam em segundo plano, sendo visualizados apenas por programas específicos como: Gerenciador de Tarefas (nativo), Process Explorer (Sysinternals Suite), Process Hacker (SourceForge), TaskList (nativo, cli) e outros.
Para descobrirmos se o programa em questão está aberto basta usarmos uma das ferramentas listadas acima ou executarmos o comando abaixo no Processador de Comandos do Windows (cmd.exe), preferencialmente em modo administrativo:
tasklist /FI "IMAGENAME eq gwx.exe"
E para fecha-lo o comando é quase idêntico.
taskkill /FI "IMAGENAME eq gwx.exe" /F
Também é possível fazê-lo com ferramentas gráficas, bastando clicar com o botão direito sobre o programa e escolhendo opções como terminate ou terminate tree.
executar o desinstalador: normalmente, malware não possui desinstalador. O gwx.exe possui uma atualização do Windows responsável por sua instalação mas não é removido por ela. Em modo gráfico pode-se abrir o Painel de Controle, procurar por Programas e Recursos, escolher a opção Exibir atualizações instaladas, procurar Atualizar para Microsoft Windows (KB3035583) e escolher a opção Desinstalar.
Ou podemos fazê-lo em linha de comando também executado como administrador:
wusa /uninstall /kb:3035583 /quiet /norestart
Como forçamos na linha acima a remoção da atualização sem re-inicialização do sistema, tenha em mente que no final deste processo iremos re-iniciar a máquina.
garantir privilégios de escrita em disco: provavelmente apenas a pasta C:\Windows\System32\GWX e suas sub-pastas precisem ser apagadas e por isso só delas comentarei.
Quem quiser apagar toda alteração provocada pela atualização pode pesquisar por GWX em softwares como hddb ou Everything e com um pouco de atenção e cuidado limpar os resíduos da instalação. Uma dica é sempre olhar para as datas de criação dos diretórios para saber se os diretórios têm relação ou não uns aos outros.
Caso o usuário use o Controle de Conta de Usuário (UAC) o diretório GWX em System32 deverá pertencer ao usuário TrustedInstaller e caso não use UAC, o diretório deverá pertencer ao usuário Sistema.
O conceito aqui é simples: no controle de acesso NTFS você precisa ser o usuário dono (proprietário, owner) do arquivo ou diretório, ou ter permissão, por grupo ou usuário, para manipular seus arquivos.
Como não temos permissão alguma e não somos donos dos diretórios, teremos primeiro que tomar posse para depois garantir as permissões que nos permitirão apagar os arquivos.
As alterações podem ser feitas em modo gráfico ou em linha de comando com praticamente o mesmo resultado. Graficamente é mais simples de entender, porém, mais lento de fazer. Acompanhe pelas imagens.
Navegue até a pasta pai da pasta que se quer alterar. Então selecione a pasta, clique com o botão direito e clique em Propriedades.
Escolha a aba Segurança e clique no botão Avançadas. Na janela seguinte, escolha a aba Proprietário e clique no botão Editar.
Caso o usuário que tomará posse não esteja listado, basta clicar em Outros usuários ou grupos, digitar seu nome no campo disponível, clicar em Verificar nomes e selecioná-lo. No caso acima, meu usuário já está disponível, irei apenas selecioná-lo, marcarei a opção Substituir o proprietário em subcontêineres e objetos e mandarei Aplicar.
Assim, minha conta já é dona do diretório e todo seu conteúdo. Apesar de dono eu ainda não tenho permissão de exclusão. Este será o próximo passo.
Antes, um dica: sempre que altero a posse ou a lista de permissões de um arquivo tenho o costume de fechar janelas de propriedades do arquivo e depois abri-las novamente para confirmar se elas foram de fato alteradas.
Nesta mesma janela, ao invés da aba Proprietário, trabalharemos na aba Permissões. Antes, lembre-se que neste guia nosso interesse é apenas de deletar uma pasta e seu conteúdo. Cuidado e atenção. Usar estes mesmos passos em outros contextos poderá deixar o sistema instável ou mesmo inoperante!
Na aba Permissões, desmarque a caixa Incluir permissões herdáveis provenientes do pai deste objeto. Imediatamente após fazê-lo, uma nova janela surgirá, clique em Remover.
Se tiver feito corretamente, o campo Entradas de permissão estará vazio. Marcaremos o campo Substituir todas as permissões de objetos filhos por permissões herdadas deste objeto e clicaremos em Adicionar.
Uma nova janela surgirá. Basta digitar o nome da sua conta de usuário e clicar em Verificar nomes. O nome será completado e corrigido, basta clicar em OK.
Mais uma nova janela surgirá. Clique apenas em Controle total, dê OK e na tela seguinte Aplicar. Surgirão telas de confirmação: Deseja continuar?, escolha sempre Sim e assim estará livre para ferrar com o sistema para apagar a pasta.
Pronto! Seu usuário é dono com permissão de remoção. Abaixo apresentarei os mesmos passos porém em linha de comando (cli).
Temos basicamente quatro ferramentas em linha de comando: cacls, subinacl, takeown e icacls. As duas primeiras são ferramentas legadas, e só as mencionei para avisá-lo: não as use!
Tomar posse de uma pasta é extremamente simples!
takeown /F "C:\Windows\System32\GWX" /R /D Y
O próximo comando é levemente complexo, faz exatamente o que fizemos em modo gráfico e bastante perigoso!
icacls "C:\Windows\System32\GWX" /inheritance:r /grant:r "Fernando":F /T
Substitua o termo Fernando pela conta de usuário ou grupo que deseja obter permissão completa. Caso queira se aprofundar em relação a sua SID, use o comando: whoami ou whoami /user.
remover arquivos restantes: como já nos tornamos proprietários e como já temos permissão de exclusão, não devemos ter qualquer dificuldade para deletar os arquivos.
Porém, caso ainda tenha dificuldades e principalmente no caso de infecções mais graves tente FileASSASSIN, Pocket Killbox, Lock Hunter ou Unlocker. Este último, nas versões mais recentes vem infectado por adware. Uma pena, pois, o software é muito bom e mesmo assim o desenvolvedor não conseguiu encontrar uma forma honesta de financiamento do projeto, shame on him!
Em modo texto, apagamos os arquivos e os diretórios, nesta ordem!
del /F /S /Q "C:\Windows\System32\GWX" rd /S /Q "C:\Windows\System32\GWX"
Caso tenha dificuldade em deletar algum arquivo em linha de comando, e já tiver obtido posse e permissão de exclusão, dê uma olhada no comando attrib.
garantir privilégios de escrita e limpeza de registro: em modo gráfico (gui) através do Regedit o método é praticamente idêntico ao método gráfico de permissões NTFS.
Em modo texto, nunca tentei fazê-lo e acredito que seja impossível com ferramentas nativas. Pesquisando conheci duas ferramentas que não me interessaram em testá-las mas que talvez ajude algum leitor: Set-Acl (Microsoft, PowerShell 5.0) e SetACL (Helge Klein, cmd).
Além do Regedit existem outras ferramentas que nos ajudam nesta tarefa: Autoruns, RegAlyzer, RegScanner e Avira RegCleaner 13.0, que não encontrei mais a versão em inglês disponível na internet para baixar mas é uma excelente ferramenta.
O método mais seguro e que indico é através do Autoruns. No meu notebook, que está sendo utilizado como referência deste guia, nenhuma entrada do GWX foi encontrado pelo Autoruns. Porém, já removi esta atualização de outros computadores, e nos outros elas eram comuns.
Apesar de, como já dito, não ter entradas do GWX nas chaves monitorados pelo Autoruns neste computador, listarei as configurações recomendadas ao se utilizar o programa.
Ao abrir o Autoruns já inicia o processo de escaneamento. Pare-o através da tecla Esc ou se preferir aguardem o término, que dura poucos minutos. Em Options marque apenas Hide Empity Locations, depois no mesmo menu clique em Scan Options..., na janela seguinte marque Verify codes signatures, Check VirusTotal.com, Submit Unkwon Images. Depois Rescan.
Ao final do novo escaneamento, o resultado apresenta todos programas inicializados automaticamente. Cada linha pode ser desmarcada ou deletada. Se tem dúvidas, apenas desmarque a linha, pois o processo é reversível. Se tem certeza, delete a linha. Mas cuidado este processo é irreversível pela aplicação.
Pesquisando por GWX nos outros programas obtive alguns resultados. RegAlyser encontrou 101 entradas no registro, enquanto o RegScanner, 336. Como nenhuma das entradas apresentadas têm relação com a inicialização automática de programas, deixei tudo como está.
Finalmente, convém re-iniciar seu computador agora.
imunização: não encontrei nenhum método ou comando oficial que proíba a instalação de uma atualização do Windows via linha de comando ou alteração no registro. O método padrão é gráfico e bem simples.
Abra o Windows Update em Painel de Controle, escolha Procurar atualizações para obter a lista mais recente atualizações e depois clique no link das atualizações disponíveis. Clique com o botão direito sobre as atualizações que pretende evitar e escolha a opção Ocultar atualização no menu local. No caso, ocultaremos Atualização do Windows 7 para sistemas com base em x64 (KB3035583).
Em fóruns existe um código escrito em Visual Basic Script que se propõe a automatizar este processo. Porém, como não conheço a linguagem VBScript e como o código é maior do que pretendo listar aqui, deixo o link para quem se interessar: comentário de Opmet em superuser.
Para quem anda cada vez mais preocupado com a privacidade em ambientes Microsoft, a equipe de desenvolvimento do Spybot - Search & Destroy lançou a ferramenta Spybot Anti-Beacon que bloqueia serviços e a comunicação com servidores de telemetria da Microsoft. Ainda, talvez seja interessante visitar os sites: epic e prism-break.
Depois de todos estes passos, fica clara a vantagem dos programas portáveis (portable) sobre os programas instaláveis. Programas de usuário não devem alterar o conteúdo de pastas do sistema e nem mesmo o registro. Se o fizerem, que o façam apenas quando absolutamente necessário e que removam todos seus traços, restaurando assim o sistema ao formato original ao serem desinstalados.
Infelizmente, até a Microsoft é relapsa neste aspecto, como ficou comprovado nesta atualização. Quanto mais tempo o sistema é preservado inalterado, mais estável, seguro e confiável se mantém, fazendo o usuário abandonar a necessidade de re-instalações frequentes.
Considerações finais: A primeira vez que me deparei com esta atualização segui as orientações do Dedoimedo para removê-la. O método empregado pelo Dedoimedo é muito bom e funciona, mas queria a partir dele alcançar um método mais rápido e mais próximo de quem sabe uma futura automatização.
Existem outros métodos disponíveis na internet que convém conhecer como howtogeek, askvg, mikrocenter, ghacks e superuser, sendo estes três últimos muito mais gerais, completos e interessantes.
Em ambiente Windows, sempre fui muito feliz com ferramentas da Sysinternals, NirSoft e nativas para resolver a maior parte dos problemas, inclusive neste tópico. Infelizmente, o grande número de ferramentas e a dificuldade em mantê-las organizadas sempre me atrasou pela confusão que mais de 300 ferramentas provoca. Há alguns anos tenho usado o Windows System Control Center (WSCC) e ele se provou um excelente gerenciador deste inferno!
Por fim, todas as imagens obtidas neste tópico foram feitas pelo Greenshot ou LightShot, ambos gratuitos como todas as outras ferramentas utilizadas com exceção do sistema operacional, Windows 7.
Bônus: Remova todas atualizações de telemetria (2016-07-11)
RemoveTelemetryUpdates.cmd
1 2 3 4 5 6 7 8 9 10 11 12 13 | :: Convertido para HTML por hilite.me wusa /uninstall /kb:2952664 /norestart /quiet wusa /uninstall /kb:2977759 /norestart /quiet wusa /uninstall /kb:2990214 /norestart /quiet wusa /uninstall /kb:3021917 /norestart /quiet wusa /uninstall /kb:3022345 /norestart /quiet wusa /uninstall /kb:3035583 /norestart /quiet wusa /uninstall /kb:3068708 /norestart /quiet wusa /uninstall /kb:3075249 /norestart /quiet wusa /uninstall /kb:3080149 /norestart /quiet wusa /uninstall /kb:3081954 /norestart /quiet wusa /uninstall /kb:3102810 /norestart /quiet TIMEOUT 60 /NOBREAK |
Fonte:
Bônus: Algumas ferramentas de terceiros (2016-07-11)
Spybot Anti-Beacon (Portable)
GWX control panel (Stand-alone)
GCR Never10 (Portable)
detekt
Bônus: corrija erros do Windows Update! (2016-08-16)
https://ofernandofilo.blogspot.com.br/...update.html
https://ofernandofilo.blogspot.com.br/...update.html
TL;DR: MS está querendo que seus clientes migrem para o GNU/Linux!
abraços
Nenhum comentário:
Postar um comentário