How TO:

How TO:
Remover software malicioso
com o Autoruns for Windows
How TO - Remover software malicioso com o Autoruns for Windows
INTRODUÇÃO
O software Autoruns for Windows da Sysinternals, uma subsidiária da Microsoft, permite ao utilizador obter uma listagem de todos os
programas que estão configurados para serem executados durante o início do sistema ou da sessão, e mostra todas estas entradas na
ordem que o Windows as processa.
Além das localizações habituais que o utilitário MSConfig do Windows também analisa, o Autoruns pode ser configurado para analisar
inúmeras outras localizações, tais como extensões da Shell do Explorador, barras de ferramentas, extensões de navegadores, controladores, codecs, itens Winlogon e muito mais.
Devido a estas capacidades, o Autoruns tornou-se numa ferramenta de eleição para a deteção e remoção de software indesejado ou
malicioso, uma vez que este tipo de software tem evoluído nos últimos anos para evitar a sua deteção. Assim, em vez de criar entradas
no registo ou na pasta de arranque do Windows, usa métodos mais avançados como iniciar-se através de extensões para navegadores,
controladores, serviços ou tarefas agendadas. No fundo, os tais locais que o Autoruns está preparado para analisar.
O software Autoruns for Windows pode ser obtido gratuitamente do site da SysInternals, e não necessita de instalação, pelo que pode
ser executado por exemplo de um disco externo ou pen USB. Convém no entanto ser executado como administrador, já que só assim
teremos acesso a todas as suas funcionalidades.
How TO - Remover software malicioso com o Autoruns for Windows
Ao ser iniciado o programa, somos confrontados com um ecrã semelhante a este:
How TO - Remover software malicioso com o Autoruns for Windows
Por defeito está selecionado o separador Everything, que tal como o nome indica, agrupa todas as entradas de todos os separadores.
Assim sendo, pode-se tornar confuso, pelo que se recomenda ir analisando as entradas, separador a separador. Por defeito, todas as
entradas do Windows e Microsoft estão filtradas, e embora se possa desligar esse filtro, para o propósito que estamos a utilizar o
programa, convém deixá-los ligados.
Para desativar uma entrada qualquer, basta retirar o visto na checkbox respetiva. Depois, basta reiniciar o pc e verificar que a aplicação
ficou efetivamente desativada.
Alguns softwares maliciosos estão constantemente a monitorizar as localizações onde são executados, pelo que se ao fazer refresh
(F5), a mesma checkbox se encontrar novamente ativa, é necessário utilizar um software como o Process Explorer (também da
SysInternals e que pode ser acedido dentro do Autoruns desde que o executável esteja na mesma pasta) para terminar o processo
antes de desativar a entrada.
Ao iniciar o Autoruns, salta imediatamente à vista do utilizador as diferentes cores utilizadas para os diferentes tipos de entrada:
• Verde – usada quando se comparam dados de execuções anteriores do Autoruns e se deteta uma entrada nova.
• Rosa – indica que não foi encontrada qualquer informação relativa a quem publicou a aplicação, ou se a opção “Verify code
signatures” estiver ativa, que não tem uma assinatura digital ou não corresponde à informação de quem publicou, ou ainda que a
informação de quem publicou não existe.
• Amarelo – indica que existe uma entrada, mas que o ficheiro para onde aponta já não existe.
How TO - Remover software malicioso com o Autoruns for Windows
Para cada entrada, um clique com o botão direito do rato
abre um novo menu de contexto com diversas ações
disponíveis:
• Delete - apaga a entrada
• Copy – copia a informação da entrada
• Jump to entry – abre a respetiva entrada no Editor de
Registo do Windows (requer permissões de administração)
How TO - Remover software malicioso com o Autoruns for Windows
• Jump to image - abre o explorador do Windows na pasta
respetiva do ficheiro
• Search Online – pesquisa online pelo nome da entrada
How TO - Remover software malicioso com o Autoruns for Windows
• Process Explorer – abre o respetivo processo no Process
Explorer
• Properties – abre uma nova janela com as propriedades
da entrada
How TO - Remover software malicioso com o Autoruns for Windows
O Autoruns permite ainda analisar um pc offline, isto é, se tivermos um disco onde está instalado o sistema operativo de uma máquina
que não conseguimos arrancar, podemos ligar esse disco a um pc funcional, e nessa mesma máquina analisar o pc problemático.
Para isso, basta ir ao menu File, escolher a opção Analyze Offline System, e somos confrontados com a seguinte janela.
How TO - Remover software malicioso com o Autoruns for Windows
Em System Root, devemos colocar o caminho para a pasta de instalação do Windows da máquina problemática, e em User Profile,
colocamos o caminho para o perfil de utilizador que estamos a tentar diagnosticar.
O Autoruns permite também comparar 2 máquinas diferentes, ou 2 configurações diferentes da mesma máquina. Para isso, basta
guardar a config de uma máquina em File->Save e noutra máquina executar o Autoruns e usar a função Compare (File->Compare)
para selecionar o ficheiro do outro pc ou da outra configuração que queremos usar como base de comparação.
Caso seja guardado um ficheiro criado após uma instalação limpa do Windows, pode servir como uma excelente base de comparação
com o mesmo pc no futuro.
De seguida iremos enumerar os diferentes separadores do Autoruns e os diferentes tipo de cuidados que devemos ter com cada um
deles.
How TO - Remover software malicioso com o Autoruns for Windows
Logon
Este separador agrupa todas as entradas usuais no Windows para arranque de programas automático. No total são mais de 40 as
localizações possíveis, daí que não seja de admirar a quantidade de software malicioso que se pode infiltrar no Windows.
Podem-se desativar todas as entradas suspeitas/desnecessárias sem grande cuidado, uma vez que podem sempre ser reativadas
novamente no próximo arranque.
How TO - Remover software malicioso com o Autoruns for Windows
Explorer
Este separador lista todos os componentes que estão associados ao explorador do Windows, como por exemplo entradas adicionais
em menus de contexto (7-Zip ou Winrar por exemplo).
O pior que pode acontecer em desativar aqui uma entrada é perder certas funcionalidades de aplicações, por isso pode ser um bom
sítio para começar a procurar culpados para uma baixa de performance quando se navega pelo explorador de ficheiros ou em certos
menus do explorador do Windows.
How TO - Remover software malicioso com o Autoruns for Windows
Internet Explorer
Tal como o próprio nome indica, este separador lista tudo o que esteja relacionado com o Internet Explorer (barras de ferramentas,
extensões, etc).
É recomendável desativar tudo o que pareça suspeito, já que esta é uma das localizações favoritas para software malicioso.
How TO - Remover software malicioso com o Autoruns for Windows
Scheduled Tasks
Outra localização favorita para muito software malicioso é nas tarefas agendadas, uma vez que podem criar tarefas que o reinstalem
em caso de desinstalação, mostrar publicidade indesejada, entre outras coisas.
É recomendável desinstalar tudo o que não reconheça, e que não seja da Microsoft.
How TO - Remover software malicioso com o Autoruns for Windows
Services
Hoje em dia é bastante comum um software malicioso registar-se como um serviço no Windows, ou até criar um serviço que monitoriza os processos do próprio software e garante que estão a correr.
Neste separador, convém ter mais cuidado, já que desativar certos serviços pode ter consequências no funcionamento da máquina.
Assim sendo, convém investigar bem os processos suspeitos antes de os desativar, e não proceder num modo de tentativa-erro como
noutros separadores.
How TO - Remover software malicioso com o Autoruns for Windows
Drivers
Mais um separador em que todo o cuidado é pouco. Apesar de alguns softwares maliciosos criarem controladores que
monitorizam/espiam a atividade dos pcs, a verdade é que se desativar o controlador errado pode resultar numa máquina não
funcional.
Tal como no separador dos Serviços, convém pesquisar muito bem e ter a certeza absoluta antes de desativar alguma entrada neste
separador.
How TO - Remover software malicioso com o Autoruns for Windows
Codecs
Os codecs não são mais que bibliotecas de código utilizados na reprodução de conteúdo multimédia e também eles já foram usados
como veículo de propagação de software malicioso. Aqui pode-se desativar o que se achar suspeito e voltar a reativar se se verificar
que as suspeitas eram infundadas.
How TO - Remover software malicioso com o Autoruns for Windows
Boot Execute
É pouco provável que exista qualquer entrada neste separador, e ainda menos provável que seja de software malicioso. É utilizado
para iniciar aplicações que necessitem de ser executadas antes do Windows ser iniciado, como por exemplo o scandisk.
Image Hijack
Devemos desconfiar de qualquer entrada deste separador. Basicamente lista todas as entradas no registo que fazem com que a
execução de um programa, levem à invocação de outro por troca. A não ser que tenham feito alguma alteração propositadamente
nesse sentido (por exemplo substituir a execução do notepad nativo do Windows com um outro software mais avançado), devem ser
desativadas todas as entradas neste separador.
AppInit
Mais uma excelente maneira de introduzir software malicioso num pc. Este separador lista todas os DLLs que são carregados sempre
que uma aplicação usa a biblioteca user32.dll. Desconfiar de qualquer entrada neste separador.
How TO - Remover software malicioso com o Autoruns for Windows
KnownDLL
Desde que todas as entradas sejam componentes verificados do Windows, não há que desconfiar. Caso não o sejam, então é investigar do que se trata.
É comum em sistemas de 64bits o Autoruns alertar para o facto de não encontrar os DLLs _Wow64, _Wow64cpu e _Wow64win.
Trata-se de um falso positivo, uma vez que o Autoruns é um processo de 32bits a correr num sistema operativo de 64bits. OS ficheiros estão efetivamente presentes na máquina, mas numa localização que o Autoruns não reconhece.
How TO - Remover software malicioso com o Autoruns for Windows
Winlogon, WMI, Winsock Providers, Print Monitors, LSA Providers, Network Providers
Estes separadores costumam ser menos problemáticos, uma vez que contêm apenas add-ons que aumentam certas funcionalidades
do Windows (autenticação, rede e impressão), ainda que não seja impossível software malicioso apoderar-se dos mesmos. De
qualquer forma convém sempre investigar antes de desativar seja o que for.
Sidebar Gadgets
Tudo o que sejam aplicações da barra lateral do Windows 7 e Vista, aparecem aqui, e podem ser desativadas.
How TO - Remover software malicioso com o Autoruns for Windows
Em resumo, o Autoruns for Windows é uma ferramenta bastante simples, mas ao mesmo tempo bastante poderosa de diagnóstico e
remoção de software malicioso.
Simples, porque para desativar uma entrada basta retirarmos um visto numa checkbox, e poderosa pelo efeito que essa alteração
pode ter no comportamento do Sistema Operativo.
Assim sendo, é sempre aconselhável proceder com cautela quando se efetuam alterações no sistema operativo, pesquisar o máximo
sobre cada entrada que se pretenda desativar, para evitar que a tentativa de desinstalação de um software malicioso produza efeitos
mais nefastos que o próprio software que pretendemos remover.