Detectar e Remover Vírus Sem Anti-Vírus!
“Ultimamente, temos
percebido o quanto os antivírus têm se tornado pesados, lerdos e cada
vez menos eficientes diante do farto nascimento de novas ameaças
diariamente. Um programa mal intencionado, pode ter diversos meios de
atuação. Sendo assim, fica difícil qualquer antivírus detectar todas as
ameaças, incluindo spywares, keyloggers, etc. Mas há uma arma que
podemos usar, muito fácil. Essa arma não requer o uso de nenhum
antivírus. Requer apenas um pouco de treinamento. Se souber usá-la,
dificilmente você vai sofrer com qualquer tipo de ameaça, seja ela
vírus, programas mal intencionados, keyloggers, spywares, trojans, etc.
Um dia resolvi não usar mais nenhum tipo de proteção, a não ser aquelas
próprias do sistema, como firewall e algumas atualizações. As vantagens
de não se usar um antivírus junto a um antispyware são inúmeras.
Recomendo ler o parágrafo abaixo para saber o que irá encontrar neste
tutorial. Caso não se interesse, não será preciso ler muito. Preparei
também uma seção de dicas, no rodapé do artigo. Mesmo que não se adapte
ao método autoclean, as dicas são bem interessantes.
Parece ser
cômodo ter uma ferramenta que elimine todo tipo de ameaça. Mas
infelizmente, a coisa não funciona como deveria. Usei dezenas de
antivírus, antispywares, antimalwares e só o que percebi é uma
significativa perda de desempenho e um resultado não muito empolgante.
Na maioria dos casos, os "anti-qualquer-coisa" são ineficazes devido a
constante mutação do mundo dos softwares mal intencionados. Devido a
isto, surgiram algumas "soluções" paralelas como o Hijackthis para
ajudar na batalha, mas o que ele faz, nós podemos fazer melhor.
Quer se livrar do incômodo de usar um antivírus lerdo, preguiçoso e praticamente ineficaz?
Você escaneia seu sistema a busca de spywares, o programa nunca acha
nada, mas você percebe que o sistema está sob ataque de alguma coisa
estranha?
Então já vou te desanimar logo de cara! Não existe poção
mágica. A melhor delas, depende só de você. Eu já aprendi a dominar o
sistema operacional que eu uso, diretamente ou indiretamente. Se você
tiver paciência e querer aprender a fazer o serviço de um antivírus
manualmente, você nunca mais vai querer voltar a usar um. A primeira
vista pode soar um tanto quanto complexo fazer o serviço de um
antivírus. Mas garanto que após você dominar as técnicas de remoção e as
técnicas para se evitar vírus, quase nunca vai precisar fazer checkups e
vai ver o quanto é fácil. Também existem exceções. Mas para essas
exceções, também existe uma solução! O que vou passar para os
interessados é somente o básico, um empurrão ao caminho a que devem
tomar. Existe muita coisa por trás disso e se você realmente quiser se
tornar um expert em remoção de pragas, deve aprofundar mais no assunto.
Em suma, existe sim como manter seu sistema sempre limpo, estável e a
salvo de ameaças sem precisar abrir mão da agilidade do sistema com um
programa trambolhão. Cabe a você querer aprender como.
Você também
pode optar por utilizar um programa antivírus em conjunto com sua
habilidade adquirida. Com o tempo, vai descartar o antivírus.
Como funciona:
Todo programa, quando executado, gera um ou mais processos para o
sistema operacional. Um processo, é uma instância de um programa ou de
um comando em execução. Existem formas para gerenciar estes processos.
Logo, existem formas para gerenciar todo programa que roda no pc. Logo,
existem formas para gerenciar qualquer programa, seja ele do mal, ou do
bem.
Basicamente é isso que precisamos para entender o tutorial,
porém, recomendo uma leitura mais avançada sobre processos,
sub-processos e threads. Google ajuda as vezes…
Ferramenta 1
Todo bom usuário do Windows conhece o gerenciador de tarefas, o famoso,
CTRL+ALT+DEL. Mas não vamos usar ele. E não vamos usar ele simplesmente
porque existem programas mal intencionados que desativam a chamada do
gerenciador de tarefas do Windows. Para nosso serviço, usaremos o
Process Explorer.
Escolha a versão correta para seu sistema operacional. No tutorial usarei a versão para Windows XP. O programa é gratuito.
Ferramenta 2
Provavelmente você já deve ter tentando deletar algum arquivo em uso.
Certamente deparou-se com uma mensagem de erro. Com o Killbox, isso não
vai mais acontecer.
Vamos precisar dele também, baixe-o. Também é gratuito.
Conhecendo os Programas:
O Process Explorer (a partir de agora, chamado de PE) vem compactado e não tem instalador.
Basta descompactá-lo para uma pasta qualquer e executar o arquivo procexp.exe.
Bem vindo a um gerenciador de tarefas expert! O PE reúne diversas
informações sobre processos, uso da cpu, memória, etc. Não precisamos
conhecer o programa integralmente para usarmos. Antes de prosseguir,
passeie pelos menus do programa para familiarizar-se. Clique no menu
View -> Select Columns. Marque todas as opções disponíveis e clique
em OK.
No quadro a esquerda, seguem os processos e seus
sub-processos. Observe como tudo é mais organizado do que o gerenciador
do Windows. A direita, temos um quadro com informações dos processos,
como o ID (PID), parcela que está usando na CPU, uma breve descrição,
nome da companhia, nome do usuário que iniciou o processo, título da
janela (se tiver), sessão, diretório aonde está o programa/arquivo que
instanciou o processo (isso é muito importante!), e estado da janela.
Vou ressaltar novamente, que quero deixar o tutorial prático e objetivo.
Quem se interessar em conhecer as peculiaridades do PE, pode ler o
arquivo de ajuda, que está bem completo.
Vamos praticar um pouco.
Abra o PE e maximize-o para melhor visualiação. Clique em
Iniciar->Executar e digite notepad. O bloco de notas do Windows se
abrirá. Agora, observe que um novo processo, chamado notepad.exe, é
instanciado no PE. Feche o bloco de notas pelo botão fechar na barra de
título e observe que o processo é destruído da lista de processos.
Agora, abra novamente o bloco de notas. Vá ao processo correspondente a
ele no PE, o notepad.exe, e clique com o botão direito do mouse. Um menu
pop-up se abrirá com algumas opções. Clique em Kill Process Tree, e
observe como a janela do bloco de notas se fecha e o programa se
encerra. O que você acabou de fazer foi finalizar o processo do
notepad.exe, interrompendo a sua execução forçadamente. É isso que
iremos fazer com as pragas!
Agora, precisamos aprender como
diferenciar o que são processos do sistema e processos que o usuário
abre. Repare que os processos possuem um campo User Name no quadro a
direita.
Quando nesse campo constar AUTORIDADE/XX SYSTEM (ou em
inglês), ou AUTORIDADE /XX NETWORK, quer dizer que estes processos foram
iniciados pelo sistema operacional, ou seja, não houve intervenção do
usuário. Quando este campo constar o nome de seu PC e seu nome de
usuário, quer dizer que este processo foi iniciado com a intervenção do
usuário.
OBS.: Mesmo processos que carregam automaticamente com o
Windows podem constar como que abertos pelo usuário, porque o usuário
teve de instalar o programa.
O Killbox é muito simples de ser usado. Também não requer instalação. Basta executar o arquivo .EXE que acompanha o pacote.
Usaremos o Killbox para apagar aqueles vírus que não podem ser
apagados, porque ao terem seus processos finalizados, voltam a serem
executados imediatamente, tornando assim, "impossível" sua remoção pelo
método comum. O campo "End Explorer Shell While Killing File" deve estar
sempre marcado para apagar esse tipo de arquivo.
O segredo da coisa:
Sempre que iniciamos o sistema operacional, seus processos necessários
para funcionamento são carregados. Junto a eles, são carregados os
processos que o usuário criou, carregados automaticamente pelo sistema. O
grande segredo da coisa, é justamente saber diferenciar o que são
processos do sistema (ou processos que você permite que estejam abertos)
e processos maléficos.
Um dos mais comuns é o Isass*****.
Geralmente o processo falso do Isass.exe leva um ícone diferente deste
original, um ícone como o de um arquivo .html e é carregado pelo usuário
e não pelo sistema. É comum também, processos maléficos se disfarçarem
de svchost.exe.
Normalmente haverá umas 5 ou 6 instâncias do svchost
(podem haver mais ou menos, tudo depende de quais serviços sua máquina
carrega. Para ver os serviços que sua máquina carrega, digite
services.msc em iniciar->executar e aperte enter. O svchost são
processos individuais do Kernel do Windows e levam consigo uma lista de
outros serviços rodando nele.
Aponte o mouse sobre qualquer um deles
e espere um tempo. Aparecerá a lista dos serviços referentes àquela
instância do Kernel. Caso desconfie de algum processo svchot.exe, deixe o
mouse apontado sobre ele e observe se na lista de serviços consta
alguma coisa estranha.
Geralmente, processos disfarçados de
svchost.exe carregam consigo somente o serviço do vírus. Nestes casos, é
possível que se repare também um processo do vírus instanciado, mas ao
desativá-lo, ele volta, justamente por causa do svchost.exe disfarçado
que o está chamando toda vez que você o apaga (este não é o único caso
em que um vírus vai voltar).
Também é possível que em um svchost.exe
original esteja infectado e carregando o serviço de algum vírus. Outro
fator de exceção importante são os parâmetros passados ao processo
explorer.exe. Existem vírus ou spywares ou adwares que ao invés de
instanciar um processo, agregam um parâmetro ao explorer.exe que carrega
a sua biblioteca. Desta forma, a praga ficará rodando em sua máquina e
você não enxergará o processo dela. Para resolver isso manualmente,
basta pesquisar pelo Google por ferramentas feitas especialmente para
aquele caso. Na parte de prática deste tutorial, mais abaixo, eu dei um
exemplo de um vírus do tipo.
Saiba diferenciar também, os processos
de Drivers de hardware que o usuário instalou. Notem que uma outra
sacada é observar o nome da companhia do processo. É importante para
isso, que o usuário saiba o que tem dentro de sua máquina e suas devidas
marcas. Procurem por processos como processos de software de placas de
som, de vídeo, modems, etc.
Para gerenciar direito a sua máquina,
você deve reconhecer tudo que está rodando nela. Abra o PE e procure
reconhecer entre os vários processos, quais são do sistema, quais são de
programas conhecidos e quais são desconhecidos. Os desconhecidos, você
pode conseguir alguma referência usando o campo PATH no quadro direito
do PE. Neste quadro, consta o diretório em que o arquivo do processo
está, como já citado anteriormente. Observe qual o diretório em que se
encontra, a companhia que o criou, e quem o está chamando (usuário ou
sistema).
Passos para identificar processos:
1º - Nome do processo:
Processos comuns normalmente levam nomes referentes ao da sua
aplicação. Processos maléficos podem levar o nome de qualquer coisa,
desde nomes sem sentido ou com nomes referentes a alguma palavra, marca,
etc. Por isso, é importante que o usuário saiba e decore quais são os
processos que seu sistema normalmente carrega, para caso algum outro
carregue, saiba diferenciar. Em caso de dúvida, use a criatividade.
Procure pelo nome daquele processo no Google e busque informações sobre
ele. Existem sites especializados em descrição de processos.
Caso perceba que é algo maléfico, remova-o.
2º - Nome da companhia:
Quem conhece bem a máquina que tem, sabe das marcas dos programas
instalados. Processos maléficos geralmente não levam marca, ou levam
alguma marca estranha.
3°- Caminho / Diretório:
Processos
maléficos gostam de residir em pastas do Windows, como a do system ou
system32, ou até mesmo a pasta Windows, ou criar suas próprias pastas,
das quais em geral, sempre levam o mesmo nome do processo.
Prática:
Agora, vou rodar um spyware de exemplo em minha máquina (sim sim!) e
mostrar a vocês, como eu o identifico e o removo. Vamos lá!
Primeiramente, identifiquei os spywares, porque nunca havia visto estes
processos em minha máquina, pelo nome estranho que eles levam
(isamonitor? Estaria monitorando algo?), porque não possuem uma
companhia e estão colocados em diretórios estranhos, C:\Arquivos de
programas\VideoCodec\ (nunca instalei esse programa!) e algumas pastas
do Windows. Outro detalhe estranho é o rundll32.exe estar carregada logo
após aquele processo. Sempre que ver o rundll32.exe carregado pelo
usuário, desconfie.
Como proceder:
Finalizarei os processos
do spyware, clicando com o botão direito do mouse sobre eles e
selecionando a opção Kill Process Tree. Mas antes disso, anotei aonde
estes arquivos residem, pelo campo PATH no quadro direto do PE, para que
manualmente eu possa ir lá e apagá-los. Anote também o nome exato dos
processos. Caso um processo seja sub-processo de outro, você deve matar o
processo pai. No meu caso, terminei o lafC.tmp, o pmsngr.exe (com ícone
de warning) e o isamonitor.exe. Automaticamente os processos filhos
destes foram destruídos. Caso também um processo insista em voltar assim
que você o apaga, simplesmente vá ao diretório aonde ele se encontra e
apague-o usando o Killbox com os parâmetros passados acima. Mas ainda
não terminou!
OBS: alguns processos maléficos possuem
instaladores. Vá no painel de controle do Windows, adicionar/remover
programas, e tente encontrar alguma entrada relativa. Se encontrar,
clique e remova. Na maioria das vezes esse não vai ser o caso.
Como garantir que estes processos não vão mais voltar?
Simples. Existe uma ferramenta no Windows, chamada de msconfig. Com
ela, você pode editar as entradas de programas que carregam
automaticamente com a inicialização do Windows. Para acessar a
ferramenta, clique em iniciar->executar e digite msconfig. Pressione
enter, e vá na última aba, Inicializar. Aí constam todos os programas
que inicializam automaticamente com o Windows. Localize os processos que
acabou de matar. Geralmente eles estão com o mesmo nome, senão, observe
que na direita consta também o diretório em que ele se encontra.
Observe a linha integralmente, e repare que o nome do arquivo estará no
fim da linha. Esse nome é o mesmo nome do processo que você matou.
Desmarque toda e qualquer entrada destes processos.
Próximo passo:
Matar só os processos não adianta, temos de apagar também os arquivos!
Lembre-se sempre de anotar aonde esses arquivos residem antes de
terminá-los para que você possa eliminá-lo de uma vez por todas de sua
máquina. Se ao tentar apagar um arquivo e não conseguir por ele já estar
em uso, apague-o usando o Killbox com os parâmetros passados acima.
Certo, matei os processos e apaguei os arquivos. Agora, com o nome dos
processos, vou apagar as suas entradas no registro do Windows, caso haja
alguma. Clique em iniciar->executar e digite regedit. Esse é o
editor de registro do Windows. Aperte a tecla F3 e faça uma busca no
registro pelo nome dos processos que finalizou e deletou. Se houver
alguma entrada com o nome EXATO daquele processo, exclua.
Após tudo
isso, minha máquina pareceu estar limpa. Quando reiniciei o PC percebi
que um ícone do spy na bandeja do Windows ainda continuava enchendo o
saco. Ora, mas deve haver algum processo por trás daquele ícone! Mas
para meu azar, não havia nada a vista nem na lista de serviços dos
svchosts. Então, certamente esse tipo de processo tem sua biblioteca
carregada como parâmetro para o explorer.exe. E aonde estará essa
biblioteca? E como apagar os parâmetros? Dará muito trabalho localizar
todas essas informações, então, cliquei no ícone do spy, que estava na
bandeja e carregou-se um site, chamado VirusBurst. Então, usando a
criatividade, fui no Google e pesquisei pelo VirusBurst e encontrei
facilmente uma ferramenta de remoção feita especialmente para ele,
chamada SmitFraudFix. Baixei, executei e pronto! Agora sim, tudo
eliminado.
Esse meu caso, foi só um exemplo. Na maioria dos casos,
somente o passo de eliminar os processos da memória e apagar seus
arquivos já resolverá o problema. Mas como sempre existem exceções,
demonstrei um caso "dos piores".
Tenha sempre em mente, que apesar
de estar manuseando os processos do seu sistema, você sempre pode deixar
escapar algo e ainda, não pode saber se o vírus é vírus, se não
rodá-lo.
Entradas de cookies infectadas, (geralmente casos
insignificantes) e arquivos infectados na pasta temporária da Internet
também são muito comuns e você não pode ter controle do que entra e sai.
Para isso, preparei algumas dicas, porque tão importante quanto remover
um vírus é saber evitá-lo.
Dicas:
- Mantenha seu sistema operacional sempre atualizado!
- Desconfie de arquivos executáveis (Exe, .com) de tamanho muito
pequenos, algo entre 10 e 100 Kbytes. Tenha certeza se aquele programa
que você busca pode ser tão pequeno quanto.
- Ao usar programas
p2p, como o Kazaa, Shareaza, leve em conta também o item acima. Se você
estiver baixando uma música, deve saber que uma música em MP3, WMA ou
seja lá o formato, não pode ter tamanho menor que ~500Kbytes, a menos
que seja um som curtinho ou um com uma qualidade horrível. A busca por
arquivos em redes p2p pode retornar muitos vírus disfarçados. Sempre
estes vírus possuem uma parcela de fontes enormes, uma banda altíssima e
eleito o melhor entre todos. Tudo isso para atraí-lo.
Fiz uma busca
por músicas, pelo artista e a busca me retornou uns arquivos estranhos,
fazendo mix com o nome que passei como parâmetro da busca e palavras
sem sentido, como "realease", "serial", "uncensored", etc. Observe o
tamanho desses arquivos, entre 100 e 400 Kbytes. Uma música não pode ter
esse tamanho minúsculo!
- Ao receber emails com links, antes
de clicar, aponte para o link e observe na barra de status para aonde o
link o levará se você clicar. Se no endereço que aparecer, o final (as
útimas 4 letras do endereço) for algo com .scr, .exe ou .com, pode ter
certeza que é vírus, a menos que seja algo que você saiba de quem está
vindo.
- Sites de pornografia adoram instalar porcarias nas
máquinas. Se você é viciado e não consegue viver sem tais sites, NUNCA instale nada
que o site te pedir. Por isso é importante manter sistema e o navegador
atualizado, assim ele o avisará se algo tentar se auto-instalar sem a
sua permissão. Não instale, mesmo se não tiver outro jeito de prosseguir
no site! Arranje outro site, ou vá ler um livro!
Ou então, trabalhe com dual boot.....Linux para seus sites pornográficos e Windows para suas pesquisas.
- Apague regularmente os cookies do seu navegador e os arquivos temporários da Internet.
Aqui eu apago toda semana, 1 vez. Para fazer isso, basta ir em opções no menu ferramentas do navegador. Habilite a função " esvaziar a pasta temp toda vez que o navegador for fechado "
Cuidado com e-mails de "veja como ficou as suas fotos e etc" Cuidado com o Orkut e troca de arquivos no msn.
Espero ter sido útil ok ?
jjsound@hotmail.com
