[Tutorial/Informática] Ant virus pra quê? Acabe com eles você mesmo.

- Uma
nova arma foi adicionada ao nosso arsenal já a algum bom tempo e pode
nos ajudar, o HijackThis, uma poderosa ferramenta que escaneia o
sistema nos pontos mais críticos e pode apontar falhas e alterações
perigosas. A limpeza é feita de forma manual e deve ser feita por
usuários experientes, afim de não danificar o sistema.




Ultimamente, temos percebido o quanto os antivírus têm se tornado
pesados, lerdos e cada vez menos eficientes diante do farto nascimento
de novas ameaças diariamente. Um programa mal intencionado, pode ter
diversos meios de atuação. Sendo assim, fica difícil qualquer antivírus
detectar todas as ameaças, incluindo spywares, keyloggers, etc. Mas há
uma arma que podemos usar, muito fácil. Essa arma não requer o uso de
nenhum antivírus. Requer apenas “um pouco” de treinamento. Se souber
usá-la, dificilmente você vai sofrer com qualquer tipo de ameaça, seja
ela vírus, programas mal intencionados, keyloggers, spywares, trojans,
etc. Um dia resolvi não usar mais nenhum tipo de proteção, a não ser
aquelas próprias do sistema, como firewall e algumas atualizações. As
vantagens de não se usar um antivírus junto a um antispyware são
inúmeras. Recomendo ler o parágrafo abaixo para saber oque irá encontrar
neste tutorial. Caso não se interesse, não será preciso ler muito.
Preparei também uma seção de dicas, no rodapé do artigo. Mesmo que não
se adapte ao método autoclean, as dicas são bem interessantes.


Parece ser cômodo ter uma ferramenta que elimine todo tipo de
ameaça. Mas infelizmente, a coisa não funciona como deveria. Usei
dezenas de antivírus, antispywares, antimalwares e só oque percebi é uma
significativa perda de desempenho e um resultado não muito empolgante.
Na maioria dos casos, os anti-qualquer-coisa são ineficazes devido a
constante mutação do mundo dos softwares mal intencionados. Devido a
isto, surgiram algumas “soluções” paralelas como o Hijackthis para
ajudar na batalha, mas o que ele faz, nós podemos fazer melhor.


Quer se livrar do incômodo de usar um antivírus lerdo, preguiçoso e
praticamente ineficaz? Você escaneia seu sistema a busca de spywares, o
programa nunca acha nada, mas você percebe que o sistema está sob ataque
de alguma coisa estranha?


Então já vou te desanimar logo de cara! Não existe poção mágica. A
melhor delas, depende só de você. Eu já aprendi a dominar o sistema
operacional que eu uso, diretamente ou indiretamente. Se você tiver
paciência e querer aprender a fazer o serviço de um antivírus
manualmente, você nunca mais vai querer voltar a usar um. A primeira
vista pode soar um tanto quanto complexo fazer o serviço de um
antivírus. Mas garanto que após você dominar as técnicas de remoção e as
técnicas para se evitar vírus, quase nunca vai precisar fazer checkups e
vai ver o quanto é fácil. Também existem exceções. Mas para essas
exceções, também existe uma solução! Oque vou passar para os
interessados é somente o básico, um empurrão ao caminho a que devem
tomar. Existe muita coisa por trás disso e se você realmente quiser se
tornar um expert em remoção de pragas, deve aprofundar mais no assunto.
Em suma, existe sim como manter seu sistema sempre limpo, estável e a
salvo de ameaças sem precisar abrir mão da agilidade do sistema com um
programa trambolhão. Cabe a você querer aprender como.


Você também pode optar por utilizar um programa antivírus em
conjunto com sua habilidade adquirida. Com o tempo, vai descartar o
antivírus.


Como funciona


Todo programa, quando executado, gera um ou mais processos para o
sistema operacional. Um processo, é uma instância de um programa ou de
um comando em execução. Existem formas para gerenciar estes processos.
Logo, existem formas para gerenciar todo programa que roda no pc. Logo,
existem formas para gerenciar qualquer programa, seja
ele do mal, ou do bem. Basicamente é isso que precisamos para entender o
tutorial, porém, recomendo uma leitura mais avançada sobre processos,
sub-processos e threads. Google ajuda as vezes...


Ferramenta 1


Todo bom usuário do Windows conhece o gerenciador de tarefas, o
famoso, CTRL+ALT+DEL. Mas não vamos usar ele. E não vamos usar ele,
simplesmente porque existem programas mal intencionados que desativam a
chamada do gerenciador de tarefas do Windows. Para nosso serviço,
usaremos o Process Explorer .


Escolha a versão correta para seu sistema operacional. No tutorial
usarei a versão para Win XP.

O programa é gratuito.


Ferramenta 2


Provavelmente você já deve ter tentando deletar algum arquivo em
uso. Certamente, deparou-se com uma mensagem de erro. Com o Killbox, isso não vai mais acontecer. Vamos
precisar dele também, baixe-o. Também é gratuito.


Conhecendo os programas


O Process Explorer (a partir de agora, PE) vem compactado e não tem
instalador. Basta descompactá-lo para uma pasta qualquer e executar o
arquivo procexp.exe.


Bem vindo a um gerenciador de tarefas expert! O PE reúne diversas
informações sobre processos, uso da cpu, memória, etc. Não precisamos
conhecer o programa integralmente para usarmos. Antes de prosseguir,
passeie pelos menus do programa para familiarizar-se. Clique no menu
View -> Select Columns. Marque todas as opções disponíveis e clique
em OK.




Clique para ampliar


No quadro a esquerda, seguem os processos e seus sub-processos.
Observe como tudo é mais organizado do que o gerenciador do Windows.

A direita, temos um quadro com informações dos processos, como o ID
(PID), parcela que está usando na CPU, uma breve descrição, nome da
companhia, nome do usuário que iniciou o processo, título da janela (se
tiver), sessão, diretório aonde está o programa/arquivo que instanciou o
processo (isso é muito importante!), e estado da janela. Vou ressaltar
novamente, que quero deixar o tutorial prático e objetivo. Quem se
interessar em conhecer as peculiaridades do PE, pode ler o arquivo de
ajuda, que está bem completo.


Vamos praticar um pouco. Abra o PE e maximize-o para melhor
visualiação. Clique em Iniciar->Executar e digite notepad . O bloco
de notas do Windows se abrirá. Agora, observe que um novo processo,
chamado notepad.exe, é instanciado no PE. Feche o bloco de notas pelo
botão fechar na barra de título e observe que o processo é destruído da
lista de processos. Agora, abra novamente o bloco de notas. Vá ao
processo correspondente a ele no PE, o notepad.exe, e clique com o botão
direito do mouse. Um menu pop-up se abrirá com algumas opções. Clique
em Kill Process Tree, e observe como a janela do bloco de notas se fecha
e o programa se encerra. Oque você acabou de fazer foi finalizar o
processo do notepad.exe, interrompendo a sua execução forçadamente. É
isso que iremos fazer com as pragas!


Agora, precisamos aprender como diferenciar oque são processos do
sistema e processos que o usuário abre. Repare que os processos possuem
um campo User Name no quadro a direita. Quando nesse campo constar
AUTORIDADE/XX SYSTEM (ou em inglês), ou AUTORIDADE /XX NETWORK, quer
dizer que estes processos foram iniciados pelo sistema operacional, ou
seja, não houve intervenção do usuário. Quando este campo constar o nome
de seu PC e seu nome de usuário, quer dizer que este processo foi
iniciado com a intervenção do usuário.


OBS: Mesmo processos que carregam automaticamente com o Windows
podem constar como que abertos pelo usuário, porque o usuário teve de
instalar o programa.


O Killbox é muito simples de ser usado. Também não requer
instalação. Basta executar o arquivo .exe que acompanha o pacote.





Usaremos o Killbox para apagar aqueles vírus que não podem ser
apagados, porque ao terem seus processos finalizados, voltam a serem
executados imediatamente, tornando assim, “impossível” sua remoção pelo
método comum. O campo “End Explorer Shell While Killing File” deve estar
sempre marcado para apagar esse tipo de arquivo.



O segredo da coisa!



Sempre que iniciamos o sistema operacional, seus processos
necessários para funcionamento são carregados. Junto a eles, são
carregados os processos que o usuário criou, carregados automaticamente
pelo sistema. O grande segredo da coisa, é justamente saber diferenciar
oque são processos do sistema (ou processos que você permite que
estejam abertos) e processos maléficos. Abaixo segue uma imagem de um
Windows XP limpo, sem nenhum processo aberto a não ser os que são do
sistema.






Todos estes processos, com exceção do procexp.exe, que é o próprio
visualizador de processos abertos, são os processos que você NÃO
“precisa” se preocupar . Aconselho a guardar esta imagem enquanto não
decora quais processos são os originais do sistema. Ainda assim, existem
vírus ou spywares que se disfarçam destes arquivos. Um dos mais comuns é
o Isass.exe. Geralmente o processo falso do Isass.exe leva um ícone
diferente deste original, um ícone como o de um arquivo .html e é
carregado pelo usuário e não pelo sistema. É comum também, processos
maléficos se disfarçarem de svchost.exe. Normalmente haverá umas 5 ou 6
instâncias do svchost (podem haver mais ou menos, tudo depende de quais
serviços sua máquina carrega. Para ver os serviços que sua máquina
carrega, digite services.msc em iniciar->executar e aperte enter). O
svchost são processos individuais do Kernel do Windows e levam consigo
uma lista de outros serviços rodando nele. Aponte o mouse sobre qualquer
um deles e espere um tempo. Aparecerá a lista dos serviços referentes
àquela instância do Kernel. Caso desconfie de algum processo svchot.exe,
deixe o mouse apontado sobre ele e observe se na lista de serviços
consta alguma coisa estranha. Geralmente, processos disfarçados de
svchost.exe carregam consigo somente o serviço do vírus. Nestes casos, é
possível que se repare também um processo do vírus instanciado, mas ao
desativá-lo, ele volta, justamente por causa do svchost.exe disfarçado
que o está chamando toda vez que você o apaga. (este não é o único caso
em que um vírus vai voltar) Também é possível que em um svchost.exe
original esteja infectado e carregando o serviço de algum vírus. Outro
fator de exceção importante são os parâmetros passados ao processo
explorer.exe. Existem vírus ou spywares ou adwares que ao invés de
instanciar um processo, agregam um parâmetro ao explorer.exe que carrega
a sua biblioteca. Desta forma, a praga ficará rodando em sua máquina e
você não enxergará o processo dela. Para resolver isso manualmente,
basta pesquisar pelo Google por ferramentas feitas especialmente para
aquele caso. Na parte de prática deste tutorial, mais abaixo, eu dei um
exemplo de um vírus do tipo.


Quando você rodar o PE aí na sua máquina, dificilmente vai encontrar
seus processos como na imagem logo acima. Saiba diferenciar também, os
processos de Drivers de hardware que o usuário instalou. Na primeira
imagem lá em cima, vocês podem notar um ou 2 processos que se chama
ati2evxx.exe. A direita, observe o nome da companhia que criou o
arquivo: ATI Technologies Inc. Obviamente este processo faz referência a
meu driver de vídeo, da minha placa da ATI. Notem que uma outra sacada é
observar o nome da companhia do processo. É importante para isso, que o
usuário saiba oque tem dentro de sua máquina e suas devidas marcas.
Procurem por processos como processos de software de placas de som, de
vídeo, modems, etc.


Para gerenciar direito a sua máquina, você deve reconhecer
tudo oque está rodando nela. Abra o PE e procure reconhecer
entre os vários processos, quais são do sistema, quais são de programas
conhecidos e quais são desconhecidos. Os desconhecidos, você pode
conseguir alguma referência usando o campo PATH no quadro direito do PE.
Neste quadro, consta o diretório em que o arquivo do processo está,
como já citado anteriormente. Observe qual o diretório em que se
encontra, a companhia que o criou, e quem o está chamando (usuário ou
sistema).


Passos para identificar processos


1 – Nome do processo

Processos comuns normalmente levam nomes referentes ao da sua
aplicação. Processos maléficos podem levar o nome de qualquer coisa,
desde nomes sem sentido ou com nomes referentes a alguma palavra, marca,
etc. Por isso, é importante que o usuário saiba e decore quais são os
processos que seu sistema normalmente carrega, para caso algum outro
carregue, saiba diferenciar. Em caso de dúvida, use a criatividade.
Procure pelo nome daquele processo no Google e busque informações sobre
ele. Existem sites especializados em descrição de processos, um que
costumo usar e acho muito bom, apesar de ser em inglês, é este.Caso perceba que é algo maléfico, remova-o.


2 – Nome da companhia

Quem conhece bem a máquina que tem, sabe das marcas dos programas
instalados. Processos maléficos geralmente não levam marca, ou levam
alguma marca estranha.


3 – Caminho / Diretório

Processos maléficos gostam de residir em pastas do Windows, como a
do system ou system32, ou até mesmo a pasta Windows, ou criar suas
próprias pastas, das quais em geral, sempre levam o mesmo nome do
processo.


Prática


Agora, vou rodar um spyware de exemplo em minha máquina (sim sim!) e
mostrar a vocês, como eu o identifico e o removo. Vamos lá!





Observem na imagem, que carreguei os Spywares em minha máquina.
Abaixo do procexp.exe estão os malditos.


Primeiramente, identifiquei os spywares, porque nunca havia visto
estes processos em minha máquina, pelo nome estranho que eles levam
(isamonitor? Estaria monitorando algo?), porque não possuem uma
companhia e estão colocados em diretórios estranhos, C:\Arquivos de
programas\VideoCodec\ (nunca instalei esse programa!) e algumas pastas
do Windows. Outro detalhe estranho é o rundll32.exe estar carregada logo
após aquele processo. Sempre que ver o rundll32.exe carregado pelo
usuário, desconfie.


Como proceder:


Finalizarei os processos do spy, clicando com o botão direito do
mouse sobre eles e selecionando a opção Kill Process Tree. Mas antes
disso, anotei aonde estes arquivos residem, pelo campo PATH no quadro
direto do PE, para que manualmente eu possa ir lá e apagá-los. Anote
também o nome exato dos processos. Caso um processo seja sub-processo de
outro, você deve matar o processo pai. No meu caso, terminei o
lafC.tmp, o pmsngr.exe (com ícone de warning) e o isamonitor.exe.
Automaticamente os processos filhos destes foram destruídos. Caso também
um processo insista em voltar assim que você o apaga, simplesmente vá
ao diretório aonde ele se encontra e apague-o usando o Killbox com os
parâmetros passados acima. Mas ainda não terminou!


OBS: alguns processos maléficos possuem instaladores. Vá no painel
de controle do Windows, adicionar/remover programas, e tente encontrar
alguma entrada relativa. Se encontrar, clique e remova. Na maioria das
vezes esse não vai ser o caso.


Como garantir que estes processos não vão mais voltar?


Simples. Existe uma ferramenta no Windows, chamada de msconfig. Com
ela, você pode editar as entradas de programas que carregam
automaticamente com a inicialização do Windows. Para acessar a
ferramenta, clique em iniciar->executar e digite msconfig. Pressione
enter, e vá na útlima aba, Inicializar. Aí constam todos os programas
que inicializam automaticamente com o Windows. Localize os processos que
acabou de matar. Geralmente eles estão com o mesmo nome, senão, observe
que na direita consta também o diretório em que ele se encontra.
Observe a linha integralmente, e repare que o nome do arquivo estará no
fim da linha. Esse nome é o mesmo nome do processo que você matou.
Desmarque toda e qualquer entrada destes processos.


Próximo passo:


Matar só os processos não adianta, temos de apagar também os
arquivos!


Lembre-se sempre de anotar aonde esses arquivos residem antes de
terminá-los para que você possa eliminá-lo de uma vez por todas de sua
máquina. Se ao tentar apagar um arquivo e não conseguir por ele já estar
em uso, apague-o usando o Killbox com os parâmetros passados acima.


Certo, matei os processos e apaguei os arquivos. Agora, com o nome
dos processos, vou apagar as suas entradas no registro do Windows, caso
haja alguma. Clique em iniciar->executar e digite regedit. Esse é o
editor de registro do Windows. Aperte a tecla F3 e faça uma busca no
registro pelo nome dos processos que finalizou e deletou. Se houver
alguma entrada com o nome EXATO daquele processo, exclua.


Após tudo isso, minha máquina pareceu estar limpa. Quando reiniciei o
PC percebi que um ícone do spy na bandeja do Windows ainda continuava
enchendo o saco. Ora, mas deve haver algum processo por trás daquele
ícone! Mas para meu azar, não havia nada a vista nem na lista de
serviços dos svchosts. Então, certamente esse tipo de processo tem sua
biblioteca carregada como parâmetro para o explorer.exe. E aonde estará
essa biblioteca? E como apagar os parâmetros? Dará muito trabalho
localizar todas essas informações, então, cliquei no ícone do spy, que
estava na bandeja e carregou-se um site, chamado VirusBurst. Então,
usando a criatividade, fui no Google e pesquisei pelo VirusBurst e
encontrei facilmente uma ferramenta de remoção feita especialmente para
ele, chamada SmitFraudFix. Baixei, executei e pronto! Agora sim, tudo
eliminado.


Esse meu caso, foi só um exemplo. Na maioria dos casos, somente o
passo de eliminar os processos da memória e apagar seus arquivos já
resolverá o problema. Mas como sempre existem exceções, demonstrei um
caso “dos piores”.


Tenha sempre em mente, que apesar de estar manuseando os processos
do seu sitema, você sempre pode deixar escapar algo e ainda, não pode
saber se o vírus é vírus, se não rodá-lo. Entradas de cookies
infectadas, (geralmente casos insignificantes) e arquivos infectados na
pasta temporária da Internet também são muito comuns e você não pode ter
controle do que entra e sai. Para isso, preparei algumas dicas, porque
tão importante quanto remover um vírus é saber evitá-lo.


Dicas


-Mantenha seu sistema operacional sempre atualizado!


-Desconfie de arquivos executáveis (.exe, .com) de tamanho muito
pequenos, algo entre 10 e 100 Kbytes. Tenha certeza se aquele programa
que você busca pode ser tão pequeno quanto


-A busca por arquivos em redes p2p pode retornar muitos vírus
disfarçados. Sempre estes vírus possuem uma parcela de fontes enormes,
uma banda altíssima e eleito o melhor entre todos. Tudo isso para
atraí-lo.

Observe o screenshot abaixo:





A busca me retornou uns arquivos estranhos, fazendo mix com o nome
que passei como parâmetro da busca e palavras sem sentido, como
“realease”, “serial”, “uncensored”, etc. Observe também o tamanho desses
arquivos.


- Ao receber emails com links, antes de clicar, aponte para o link e
observe na barra de status para aonde o link o levará se você clicar.
Se no endereço que aparecer, o final (as útimas 4 letras do endereço)
for algo com .scr, .exe ou .com
pode ter certeza que é vírus, a menos que seja algo que você saiba de
quem está vindo.


- Sites de pornografia adoram instalar porcarias nas máquinas. Se
você não consegue viver sem tais sites, NUNCA instale
nada que o site te pedir. Por isso é importante manter o sistema e o
navegador atualizado, assim ele o avisará se algo tentar se
auto-instalar sem a sua permissão. Não instale, mesmo se não tiver outro
jeito de prosseguir no site! Arranje outro site, ou vá ler um livro!


- Apague regularmente os cookies do seu navegador e os arquivos
temporários da Internet. Aqui eu apago toda semana, 1 vez. Para fazer
isso, basta ir em opções no menu ferramentas do navegador.


Bem, vou encerrar o tutorial por aqui, mas espero que a discussão
comece e que podemos nos ajudar. Existem muitos adeptos ao “auto-clean”
que não usam antivírus nem nenhum anti-qualquer coisa. Espero ter a
colaboração destes, com dicas, macetes e truques, complementando este
tutorial que representa só o básico nessa luta contra as pragas.
Qualquer dúvida, postem um screenshot do PE com os processos rodando, e
tentarei ajudar!

Origem: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]