Solução rápida: este guia ensina a desativar o serviço rsEngineSvc.exe (RAV Endpoint Protection), apagar os resíduos deixados no sistema, remover potenciais co‑infecções como o vírus W32/Expiro e, se necessário, realizar uma reinstalação limpa do Windows para garantir a erradicação completa.
O que é o RAV Endpoint Protection (rsEngineSvc.exe)?
O RAV Endpoint Protection é distribuído pela ReasonLabs como “antivírus gratuito”, mas, em muitos casos, instala‑se sem consentimento do utilizador ou disfarçado dentro de instaladores de jogos, cracks ou geradores de chaves. O executável central chama‑se rsEngineSvc.exe, corre como serviço de sistema (“Reason Security Engine”) e não surge no painel Programas e Recursos. Entre os sintomas mais relatados estão:
- consumo elevado de CPU e memória;
- remoção automática de executáveis legítimos (incluindo jogos da Steam, GoG e Epic);
- bloqueio de ferramentas de segurança concorrentes;
- reinstalação automática após tentativa de eliminação.
Como essa ameaça chega ao seu PC
Mesmo quem possui um antivírus principal atualizado pode ver o RAV entrar por brechas comuns:
- Pacotes “freemium” duvidosos – instaladores de utilitários que oferecem “verificação de drivers”, “acelerador de FPS” ou “atualizador de biblioteca DLL”.
- Versões pirateadas de software – cracks embutem silenciosamente o instalador do RAV como “antivírus de brinde”.
- Anúncios falsos (malvertising) – banners que simulam alertas de segurança e redirecionam para downloads contaminados.
Por não exigir privilégios elevados na instalação, o RAV evita alertas do UAC e passa despercebido até que começa a interferir no dia a dia do utilizador.
Antes de começar: preparativos essenciais
- Backup imediato – copie documentos, fotos e saves de jogos para um disco externo. O Expiro, associado a esta praga, corrompe executáveis ao infectá‑los.
- Modo avião / rede desconectada – impede o RAV de descarregar atualizações ou reinstalar módulos enquanto decorre a limpeza.
- Conta de administrador – todos os passos precisam de privilégios elevados; confirme que possui senha e acesso ao firmware (UEFI/BIOS) caso seja necessário alterar a ordem de boot.
Guia passo a passo para eliminar o RAV
| Etapa | Ação | Objetivo / Resultado |
|---|---|---|
| 1 | Autoruns (Sysinternals) Executar como Administrador → procurar e desmarcar toda entrada contendo “RAV”, “ReasonLabs”, “rsEngineSvc”, “rsClamAV”, “rsLayer” ou “rsTray”. Reiniciar o PC. | Impede a carga automática do serviço; após o reinício, rsEngineSvc.exe já não inicia. |
| 2 | Farbar Recovery Scan Tool (FRST) Se bloqueado, renomear o executável ou adicionar a pasta às exclusões do Windows Defender. Clicar Scan para gerar FRST.txt e Addition.txt.Obter (ou redigir) um fixlist.txt contendo:DeleteKey: HKLM\System\CurrentControlSet\Services\rsEngineSvc DeleteKey: HKLM\Software\ReasonLabs CreateRestorePoint:Executar Fix. | Remove drivers, tarefas agendadas e chaves de registo persistentes. |
| 3 | Verificação dos logs A leitura de FRST.txt procura linhas como infected: Win32/Expiro. Caso positivo, proceder à desinfecção ou reinstalação limpa. | Confirma presença do vírus file‑infector Expiro. |
| 4 | Reinstalação limpa do Windows Baixar a Media Creation Tool oficial da Microsoft; criar pen USB. Fazer backup completo. Arrancar pela pen, escolher “Instalação personalizada” e excluir todas as partições do disco do sistema antes de criar partição nova. | Elimina qualquer vestígio do RAV e do Expiro em discos e partições ocultas. |
Detalhes avançados de cada etapa
Por que o Autoruns é indispensável
O Autoruns verifica não só as chaves “Run” do registo, mas também tarefas agendadas, drivers, serviços, ganchos de shell e catalog files. O RAV costuma infiltrar‑se em Services e AppInit_DLLs. Ao desmarcar as entradas, nenhuma dll é carregada na memória, o que evita “arquivos em uso” durante a limpeza.
Montando o fixlist do FRST
Quem posta logs em fóruns de suporte recebe um fixlist.txt personalizado. Se preferir fazê‑lo sozinho, inclua estas linhas mínimas:
Start:: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\rsEngineSvc DeleteKey: HKLM\SOFTWARE\ReasonLabs DeleteFile: %ProgramFiles%\Reason\* DeleteFile: %ProgramData%\Reason\* End::
Acrescente CreateRestorePoint: para gerar ponto de restauro automático antes de aplicar mudanças.
Entendendo o W32/Expiro
Esse file‑infector injeta código malicioso no corpo de executáveis PE, driblando assinaturas digitais. Uma vez activo, o antivírus nativo do Windows (Microsoft Defender) detecta‑o, porém já pode ter danificado dezenas de programas. Não basta “tratar” o ficheiro: é recomendável reinstalar o sistema para evitar que um executável remanescente reinstale o RAV futuramente.
Reinstalação limpa sem dores de cabeça
- Desative Secure Boot só se usar ferramentas de clonagem; caso contrário, mantenha‑o ativo para impedir rootkits.
- Escolha GPT + UEFI em máquinas modernas; a reinstalação sobre MBR limita recursos como atualização dinâmica do firmware.
- Instale drivers a partir do Windows Update; só recorra ao site do fabricante se algo ficar em “Dispositivo desconhecido”.
- Restaure os backups após varrê‑los num PC limpo com três motores antivírus (ex.: Defender, Malwarebytes e Kaspersky VirusDesk online).
Medidas de segurança pós‑limpeza
- Altere senhas de contas críticas e ative 2FA.
- Mantenha o Windows Update no modo automático.
- Instale um antivírus de reputação reconhecida (Microsoft Defender já cobre 98 % das detecções diárias; complemente com escaneamento semanal do Malwarebytes).
- Evite torrents de software pago; opte por bibliotecas open‑source ou promoções oficiais (Steam, Humble, giveaways).
- Active a Proteção de Ransomware (pasta Acesso controlado) no Windows Defender.
FAQ — Perguntas frequentes
Autoruns é seguro? Vou quebrar o Windows se desmarcar algo errado?
Sim, a aplicação é da Microsoft Sysinternals. Tudo o que é desmarcado pode ser reativado na mesma interface. Recomendamos criar ponto de restauro antes.
FRST é detectado como ameaça. Posso confiar?
Alguns antivírus marcam FRST como PUA (aplicação potencialmente indesejada) porque ele manipula o registo. Faça download do fórum oficial bleepingcomputer.com para evitar falsificações.
Posso usar apenas o Defender Offline e evitar a formatação?
Se o Expiro tiver infectado ficheiros de sistema, o Defender tentará reparar, mas os executáveis podem ficar corrompidos. Instalação limpa é a solução 100 % confiável.
Por que o RAV removeu meus jogos?
Ele analisa executáveis grandes em lote; quando acusados erroneamente, são postos em quarentena. Como o motor age na inicialização, jogos recém‑instalados podem sumir minutos depois.
Depois da limpeza, posso excluir a pasta C:\FRST?
Pode. É criada apenas para logs e backups do FRST.
Conclusão
O RAV Endpoint Protection é mais do que um bloatware: combinado ao Expiro, oferece risco real de corromper aplicações críticas. Seguindo este guia, primeiro corta‑se o carregamento automático (Autoruns), depois eliminam‑se resíduos (FRST) e, se necessário, reinstala‑se o Windows para recomeçar num ambiente limpo. No futuro, mantenha‑se vigilante contra instaladores suspeitos e mantenha backups atualizados. Assim, jogos, documentos e produtividade permanecem a salvo.