Como Remover Um Vírus Manualmente

Transcrição

1
Como remover um vírus manualmente Abril, 2008 Paulo Menezes, Newton Bernardo ©Copyright
2
Índice
1. Sobre os autores
........................................................................
3
2. Agradecimentos
........................................................................
4
3. Introdução
........................................................................
5
4. Removendo o vírus
.......................................................................
6
5. Conclusão
........................................................................
20
6.
........................................................................
21
Bibliografia
3
1. Sobre os Autores
Paulo Menezes Mendes de Carvalho
Ocupação: Estudante de Engenharia Informática na Universidade Católica de Angola,
frequenta o 4º Ano.
Passatempos: Filmes, música, praia, desporto.
Contactos: [email protected]
Newton Domingos Bernardo
Ocupação: Estudante de Engenharia Informática na Universidade Católica de Angola,
frequenta o 4º Ano.
Passatempos: Filmes, desporto, música.
Contactos: [email protected]
4
2. Agradecimentos
Antes demais gostaríamos de saudar todos os colegas e amigos que de forma directa incentivaramnos à criação desta pequena apostila sobre como remover vírus em sistemas operativos Windows.
Àqueles que de forma indirecta contribuíram, espantando-se sempre e pondo cara de incrédulos,
com a informação vinda de nossas bocas que não é preciso um antivírus para eliminar um vírus,
agradecemos, pois não gostamos de ser mal compreendidos, e gostaríamos de quebrar o mito com a
criação desta apostila.
Gostaríamos também de agradecer ao Prof. Doutor Engº Aires Veloso, Professor e Director da
Faculdade de Engenharia da Universidade Católica de Angola, pelo tempo dispendido em todas as
suas aulas a abordar outros ramos do domínio da Informática, nada a ver com a cadeira que
lecciona, da qual atitude muitos alunos reclamam no momento, mas acabamos por nos dar conta
mais tarde que, este esforço que pode parecer insignificante aos olhos de muitos, expande o nosso
horizonte para muitas outras áreas de Informática.
5
3. Introdução
A nossa “pancada” com os vírus tem uma história interessante: no início do curso, no 1º
ano, verificava-se um grande descuido por parte dos alunos de Informática em relação à
integridade do seu PC e dos PCs do laboratório. Toda a informação circulava e a
preocupação com a segurança passava apenas por ter um antivírus na máquina, actualizado
como não. Como era de se esperar, surgiu uma epidemia de vírus não só nos PCs do
laboratório como nos de nossas casas também. Curioso que ainda lembramo-nos do nome
do vírus: Ravmon. Este já nos fez comer o pão que ele próprio amassou, desde noites
perdidas na formatação do PC à desinstalações e instalações sem conta, na tentativa de
encontrar um antivírus que o detectasse e o removesse. Connosco não foi diferente,
desinstalamos e instalamos vezes sem conta vários antivírus desde os que requerem menos
memória RAM do PC aos mais pesados, e ainda chegamos a formatar o PC 3 vezes numa só
semana, facto que ainda hoje serve de motivo de gozo por parte de alguns cómicos :P . Com
este sucedido, demo-nos conta que a segurança da máquina depende 60% do seu utilizador
e 40% dos antivírus e firewalls. Agora após a leitura desta apostila, o utilizador passa a ser
responsável por 90% da segurança do seu PC, deixando os antivirus de lado, embora ainda
aconselho a usar um firewall para filtragem do tráfego pela internet, que passam a ficar com
os 10%.
Fica aqui quebrado o mito: é possível remover um vírus sem um antivírus ou uma outra
ferramenta de remoção de malwares.
6
4. Removendo o Vírus
A lógica de remoção de vírus consiste em detectá-lo primeiro, e depois removê-lo. O passo
mais trabalhoso é o primeiro, pois identificá-lo é complicado e requer prática e intuição,
mas isso é coisa que se ganha com o tempo. Um dos motivos pelos quais alguns vírus
passam despercebidos pelos antivírus é pelo facto de, hoje em dia os criadores de vírus se
preocuparem muito mais com as práticas de evasão na programação do vírus, ou seja,
passar despercebido ao sistema vitimado. Todos os vírus, worms, malwares, etc., quando
entram no nosso PC, a primeira coisa que fazem é esconder-se, alguns são autoreplicativos(
copiam-se à si próprios para outros directórios, como acontece com os worms ), se
detectarem um antivírus do seu conhecimento destroem-no, gravam uma entrada no
arranque da máquina de formas à que quando o PC seja reiniciado ele seja de novo
executado, e só depois entram em actividades comprometedoras e danosas para a
máquina.
Sem mais conversa, vamos ao que interessa, descrevendo os passos para atingir os nossos
objectivos:
1º Detectar se existe vírus, à partir do registo. Para tal, abra o editor do registo do
Windows, ou regedit, apertando a combinação de teclas Windows + R, aparecerá
uma caixa de diálogo, você deve digitar regedit e clicar em Ok, como mostra a figura:
7
2º Uma vez o registo aberto, lembre-se primeiro de fazer o backup do registo, pois
você pode fazer uma alteração indesejada ou ocorrer um erro, e dizer adeus ao seu
PC, pois ele pode nunca mais vir a ligar. Este passo aconselho principalmente aos
principiantes a mexer com o registo. Para fazer o backup, abra o menu File ou
ficheiro, conforme o idioma escolhido, seleccione o item export, e aparecerá uma
janela pedindo para você escolher aonde salvar os ficheiros do registo, seleccione o
directório e clique em save, como mostra a figura:
8
3º Você precisa de saber que o registo está organizado por 7 hives( colmeias ), mas
visíveis só aparecem 5. Uma hive é semelhante à uma partição no disco duro( ex: C:\,
D:\ ). Dentro dessas hives existem chaves, dentro das quais podem haver outras subchaves e/ou valores. Existem vários tipos de valores, entre os quais passo a citar o
valor binário, o valor de cadeia, o valor dword e entre outros. Na figura seguinte
estão visíveis as 5 hives que o registo do Windows XP apresenta:
HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS
e HKEY_CURRENT_CONFIG. As 2 hives que não aparecem visíveis são
HKEY_DYN_DATA e HKEY_PERFORMANCE_DATA, estas contêm informação volátil e
que está constantemente a ser alterada pelas aplicações, daí o facto de estarem
ocultos ao utilizador, devido à sua grande sensibilidade à alterações.
9
A figura seguinte apresenta à esquerda as hives, algumas chaves da hive
HKEY_LOCAL_MACHINE, e à direita um valor ( de nome flash ) da chave seleccionada( que
no caso é a denominada HKEY_LOCAL_MACHINE\SOFTWARE ).
Para abrir as chaves duma hive ou chave, basta clicar duas vezes sobre ela ou simplesmente
clicar no símbolo de + que está à esquerda do nome da chave ou hive.
10
As informações respeitantes ao utilizador em cuja a conta nós estamos actualmente a
trabalhar estão organizadas na hive HKEY_CURRENT_USER, e as informações respeitantes à
todos os utilizadores do computador e à configurações de hardware, estão organizadas na
hive HKEY_LOCAL_MACHINE. Isto implica dizer que, se nós quisermos alterar algo para o
nosso perfil, temos de nos lembrar que pode ser que tenhamos que alterar também nas
configurações de todos os utilizadores, algo que os vírus muito fazem.
Para mais informações sobre como trabalhar com o registo do Windows, consulte a
seguinte referência bibliográfica:
TÍTULO: Mastering Windows XP Registry
AUTOR: Peter D. Hipson
ISBN: 978-0-7821-2987-8
11
Com certeza você deve estar a se perguntar “Que chatice, porque estou eu a perder o meu
tempo a aprender como manejar o registo, quando o que eu preciso realmente é de chegar
ao vírus e matá-lo?”. Na nossa opinião, você tem toda a razão. Na realidade você não
precisa de saber muito sobre o registo para chegar ao vírus. O 3º passo consistiu em você
questionar-se aonde encontrar o vírus no registo, pergunta que será respondida no passo
seguinte.
4º Como referido atrás, os vírus gravam uma entrada no arranque para que o sistema ao ser
reiniciado lembre-se de executá-lo. Pois bem, é numa chave aonde os vírus criam um valor
com o seu caminho ou destino no disco duro. Mas quais são essas chaves sagradas? Essas
chaves, que de sagradas não têm nada, serão mencionadas em seguida:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
O que você tem de fazer é ir à cada uma dessas chaves, procurar por valores com nomes
suspeitos, como “chickie”, “Ravmon”, ou ainda nomes muito parecidos com os de certos
ficheiros do sistema operativo Windows, com o intuito de passarem despercebidos, tal
como “Exiplorer”. Muitas vezes o nome do valor pode não ter nada a ver com o nome do
ficheiro no disco duro, como exemplo, há programadores de vírus que têm o hábito de pôr
como nome do valor do vírus no registo Messenger ou Msn, quando na realidade
Messenger é um programa de conversa entre duas pessoas. Contudo é bom você confirmar
o nome do valor com o nome do ficheiro no disco duro.
Se você achou um valor do qual você suspeita, confirme se é um vírus ou não, simplesmente
procurando na internet pelo nome do ficheiro associado ao valor do qual você suspeita. Mas
não se preocupe, eu vou exemplificar; embora minha máquina não tenha vírus, o que seria
quase impossível de exemplificar o acto da remoção do vírus, eu vou executar um dos vírus
que eu tenho guardado no meu PC, numa pasta, cuja intenção é de apenas estudá-lo ( não
aconselho ninguém a fazer o mesmo, pois o feitiço pode voltar-se contra o feiticeiro ).
Primeiro, ir para a chave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
12
Tal como a seta aponta, eis o nome do valor associado ao vírus norBtok.exe. Agora, vamos à
localização no disco duro e eliminámo-lo. Copiamos a sua localização, que é
“C:\Windows\Inf\”, e vamos até esse directório no disco duro, simplesmente colando o
caminho na barra de endereços do explorador do Windows, e apagámo-lo.
13
A cena do crime não mostramos, deixa-mos à vossa imaginação, e recordamo-nos de como
sentimos-nos à primeira vez quando eliminamos um vírus manualmente ( a sensação é
óptima, e sentimos que estamos a fazer um bem à comunidade ).
À seguir, retiramos a referência no arranque do vírus desta chave, apagando este valor, e
para tal clique com o lado direito do rato sobre o valor associado ao vírus, seleccione o item
apagar e confirme que pretende apagá-lo clicando sim, na caixa de diálogo que aparecer.
14
E este é o aspecto da chave limpa ( sem a referência para o vírus ):
15
E pronto, a primeira das 6 chaves de arranque foi verificada e limpa. Agora, este mesmo
passo, o 4º, será repetido para as 4 chaves seguintes. A 6ª chave,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ,
tem um tratamento diferente, pois esta chave contém informação sobre o logon( início de
sessão da conta de utilizador do Windows ), logo tem um propósito diferente.
16
Procure pelo nome de um ficheiro suspeito, aonde é mais comum aparecer, nos seguintes
valores: Shell, System, UIHost e Userinit. Atenção que o valor Userinit apenas deve ter por
defeito, o seguinte dado: C:\WINDOWS\system32\userinit.exe, logo algum dado à seguir à
este que foi especificado é potencial informação com origem viral. O valor Shell tem como
dado Explorer.exe, que no caso não aparece o caminho completo que seria suposto ser
“C:\Windows\Explorer.exe”, mas aparece apenas o nome do ficheiro. Neste caso, você pode
encontrar o ficheiro no directório “C:\Windows\” ou “C:\Windows\system32\”. Você
poderia questionar-se que ao invés de aparecer o nome Explorer.exe, no meu registo o valor
17
Shell tem dado “Explorer2.exe”, isto porque eu alterei o ficheiro Explorer original para fazer
umas alterações à meu gosto, tal como alterar o texto do botão Menu Iniciar, como os
leitores mais atentos já devem ter notado, na primeira figura que foi apresentada. Mas o
mais importante é que aí esteja o ficheiro Explorer, o nome é irrelevante.
O valor UIHost tem como valor predefinido “logonui.exe”, situado no directório
“C:\Windows\system32\”, e o valor System não tem nenhum dado, logo, lembre-se,
qualquer dado “à mais” aqui nesse valor é extremamente suspeito.
Lembre-se sempre que, caso alguma alteração inesperada ou erro aconteça, você pode
sempre recuperar o registo anterior, pois se você se recorda, você fez um backup antes de
qualquer alteração. Para repôr as informações do registo para as anteriores, depois de
alterado, basta abrir o regedit, clicar no menu Ficheiro, seleccionar o item Import, ir para o
directório aonde o backup do registo foi feito, e abrí-lo.
Agora mais um ou dois detalhes importantes: faltam dois sítios aonde procurar por vírus,
que são os directórios de arranque no disco duro. Para ir à estas duas pastas basta ir para o
menu iniciar, All programs( Todos os programas ), clicar no lado direito do rato sobre o
menu startup( arranque ) e seleccionar o item Open, que vai abrir o directório
“C:\Documents and Settings\Quarenta\Start Menu\Programs\Startup” na nossa máquina, e
em seguida apagar os ficheiros suspeitos. Agora você deve repetir este passo tal como ele
foi descrito, à excepção que, ao invés de você seleccionar o item Open quando clicar sobre o
menu startup com o lado direito do rato, seleccione o item “Open All Users”, e depois é só
eliminar os suspeitos. O nome do directório aberto desta última vez será algo parecido com
este: “C:\Documents and Settings\All Users\Start Menu\Programs\Startup”. Quanto ao
ficheiro desktop.ini, não se assuste, ele não apresenta nenhum problema, logo não o
remova, isso para o bem da sua máquina.
Como vêem abaixo na figura, para o primeiro directório aberto encontramos um link(
ligação ) para o vírus. Toca a removê-lo:
18
Agora para o segundo directório não há ameaças, como vemos:
19
Agora sim eu posso dizer que o meu computador está livre de vírus. Finalmente... mas valeu
esse esforço.
20
5. Conclusão
Podemos tirar muitas conclusões sobre a “habilidade de não depender dum antivírus”, não
só analisando em termos de conhecimento mas também em termos de desempenho do
nosso PC. Actualmente, os melhores antivírus são na nossa óptica muito pesados e
acreditem, nós já testamos muitos, e dentre esses muitos estão os melhores, como é o caso
do Kaspersky, TrendMicro e BitDefender, fica aqui a referência para aqueles leitores que
acharem uma seca essa coisa de “remover manualmente”! Acreditem, às vezes nós próprios
achamos uma seca... já não se fazem vírus como antigamente... :P
Não ter instalado um antivírus torna a máquina mais rápida, pois poupa memória RAM,
espaço em disco duro e tempo de CPU.
Newton Bernardo
Até bem pouco tempo, alguém disse-me que havia dois tipos de indivíduos quanto à
questão de segurança no PC: aqueles que se preocupam em instalar um antivírus e
regularmente actualizá-lo, e aqueles que não têm simplesmente um antivírus instalado, mas
fazem backup’s regulares de toda a informação do seu PC. Eu, pessoalmente, diria que há
um outro tipo de gente, aqueles que não dão a mínima para os antivírus e que muito menos
preocupam-se em fazer backup’s regulares, que é ainda mais cansativo que ter um antivírus
e estar à toda a hora a actualizá-lo.
Paulo Menezes
Sentimo-nos satisfeitos por saber que vamos ajudar muita gente interessada em vírus e
preocupada com a integridade do seu PC com este trabalho, mas acima de tudo ficaríamos
muito mais felizes se, o espírito de não ajudar o próximo e partilhar o conhecimento
diminuísse consideravelmente, diminuir, pois desaparecer só numa Utopia e isso é algo que
eu acho que só encontrarei do outro lado. Ensinando também aprendemos, prova disso é
que eu nunca fui muito bom com o Office, arrasto-me com o Word e o PowerPoint, quanto
à isso não tenho vergonha de admitir, e ao elaborar esta apostila desenvolvi mais algumas
skills no Office, tal como mudar
mudar a letra,
letra pôr à Negrito, salvar um ficheiro............... :D
Divirtam-se
21
6. Bibliografia
• www.google.com
• Mastering Windows XP Registry, Peter D. Hipson, ISBN: 978-0-7821-2987-8.
• www.kellys_korner_xp.com
OUTRAS REFERÊNCIAS
• www.newberninc.wordpress.com
• www.quarenta.wordpress.com
Julho de 2009

Como Remover Um Vírus Manualmente

Transcrição

Documentos relacionados

Propaganda Digital - academiadetalentos.com.br

G Data EndpointProtectionEnterprise

Doenças de Inverno - life empresarial saúde

EXANTEMA SÚBITO (“6ª Doença” ou “Roseola infantum”)

Apresentação do PowerPoint

Norovírus Definição Norovírus são parte de um grupo de vírus que

Cidade espera kit para exame `triplo`

HPV com maior incidência nos homens

Filtro 2" Super c/ Malha

DSPTI II - aula 2 [Modo de Compatibilidade]