Removendo vírus e spywares do Windows, na unha
A falta de informação das pessoas aliada
à falta de segurança do Windows traz sérios riscos, não é de hoje. Um
programa com código malicioso executado no computador pode fazer coisas
das mais terríveis. Tudo bem, isso já é
do conhecimento de todos, mas de qualquer forma as pessoas precisam usar
seus computadores, e estes devem estar livres de pragas.
Use antivírus. Use antispyware. Use firewall.
Até que ponto isso é verdadeiro? Muita gente se surpreende comigo
quando digo: eu não uso antivírus! Recuso-me até a morte (ou, quem sabe,
até que um vírus me prove o contrário
:). E não recomendo, sinceramente. Tudo fica mais lento. Mesmo em PCs
atuais, sou meio contra a idéia de haver um programa tendo que monitorar
todos os dados no meu computador em tempo real, em busca de um código
malicioso. Isso é coisa para sistemas
operacionais incompetentes.O que não vem a ser totalmente o caso do Windows, pois quem está diante do sistema é uma pessoa. É a pessoa que deveria saber o que abrir, o que fazer e como agir. Ninguém nasce sabendo, então trago aqui algumas noções importantes para detectar e eliminar boa parte dos malwares que infectam o Windows. Além, é claro, de tentar conscientizar um pouco sobre medidas de segurança que boa parte das pessoas sabem - ou pelo menos já ouviram falar - mas não se dão ao trabalho de cumpri-las.
Fui infectado! E agora?
Esses dias entrou um malware no computador de uma amiga, daqueles que ficam enviando mensagens pelo MSN. Eles detectam a janela de conversa aberta e enviam comandos à mesma, fazendo com que um texto seja enviado para a pessoa com a qual a outra esteja conversando - como se tivesse sido digitada pela pessoa. Minha amiga estava com o nick "Tá enviando vírus, não clique!". E logo que abríamos a conversa normalmente vinham lá alguns dizeres "Olha as fotos que eu tirei com fulano, veja aqui..." seguido de um endereço de um site suspeito. Claro, clicando, mais uma pessoa seria infectada. Além disso, vai saber o que esse programinha não fazia nos bastidores. Hoje em dia roubar dados é a principal idéia dos malwares: senhas, contatos, tudo o que foi digitado. Foi-se o tempo em que vírus destruía para se exibir.Numa seção de "exorcismo" virtual, ajudei essa amiga pelo MSN mesmo, de uma forma simples. Ela estava passando desesperada o AVG e um antispyware, e nada de eles detectarem a praga. Então lá fui eu. Pedi para ela abrir o gerenciador de tarefas do Windows na aba "Processos", e me enviar uma imagem da tela. Com base nisso eu chutaria alguns processos e mandaria ela fechar. E isso foi feito. O malware foi fechado. A segunda parte foi um pouco mais complicada para ela, mas nada tão doloroso: abrir o MSConfig e desativar a inicialização do maldito (eu procuraria diretamente no registro, mas ela iria se perder). Depois de reiniciado o PC, esse pelo menos já era. AVG 0 x 1 Eu!
Os malwares são programas como outros quaisquer. Na grande maioria das vezes, são programas que se configuram para iniciar junto com o Windows. E ficam fazendo sua ação. Seja enviar spam (usando o seu IP e a sua banda!), usar seu computador como servidor de um software P2P qualquer ou tentar capturar suas senhas.
Esses quase sempre podem ser removidos manualmente, usando programas simples de monitoramento. A idéia é: eles estão abertos, vamos fechá-los! E se eles se configuram para serem iniciados junto com o computador, vamos remover essa configuração. Alguns casos mais graves podem ocorrer, onde os vírus mais "poderosos" se infiltram dentro de arquivos do sistema, corrompendo-os. Aí a coisa complica, seria tarefa mais para um antivírus (agora sim, automatizada) mas normalmente dá para restaurar arquivos do sistema, caso os arquivos infectados sejam os nativos do Windows. Bem, vamos por partes...
Identificando e removendo um programa indesejado
Como
no caso da minha amiga, usei uma idéia básica. Mas para isso, eu
precisaria tentar chutar o programa a ser fechado, pelo nome do
executável. Como saber? O Windows por si só carrega diversos programas
em execução (processos) próprios, para uso do sistema. Cada programa
aberto também será considerado um processo, e listado, portanto, no
gerenciador de tarefas e os malwares também ficarão por ali.
A
idéia é listar ou decorar os nomes dos programas do Windows que sempre
se iniciam, mais aqueles que você usa e que se iniciam automaticamente
também (como seu antivírus, o firewall, etc). Com base nisso, você pode
ir tentando fechar os malwares. Na dúvida, uma dica é copiar o nome do programa e jogar no Google. Se for um malware conhecido, provavelmente você irá encontrar páginas (normalmente de fóruns) relatando-o. Aí não resta dúvida, basta fechá-lo.
Acontece
que o gerenciador de tarefas do Windows pode ser facilmente corrompido
ou modificado, e é possível que um programa nem apareça nele. Além
disso, alguns malwares bloqueiam o gerenciador de tarefas
(usando recursos do próprio Windows, por incrível que possa parecer!).
Para uma verificação mais profunda, vamos usar outro gerenciador de
tarefas.
Um muito bom é o Process Explorer NT. Ele é da SysInternals, que foi comprada pela Microsoft. Eu pensava que seria descontinuado depois da compra, mas pelo contrário, foi até atualizado para trabalhar melhor no Windows Vista.
--> | --> |
Baixe em:
Ele
lista todos os processos abertos e permite visualizar muitas
informações sobre os mesmos. A listagem é hierárquica, ele mostra os
processos e os processos que os originaram (o programa que abriu outro
programa, numa linguagem mais clara). Clicando com o botão direito num
item, pode-se matar o processo correspondente, fechando bruscamente o
programa.
O fechamento dessa forma é essencial. Uma que os malwares
normalmente não exibem janelas, não tem onde você clicar para fechar.
Outra que, mesmo se exibissem, é diferente o comando que o sistema
operacional envia ao programa para fechá-lo. Ao clicar no botão com o X
numa janela, o Windows não necessariamente fecha o programa; ele diz ao
programa que é para ser fechado. O programa pode fazer o que quiser,
inclusive decidir se vai mesmo ser fechado ou não.
É isso que permite a um programa tomar a dianteira e exibir uma
janela perguntando se você quer salvar um arquivo antes de fechá-lo,
dando a opção de mantê-lo aberto, por exemplo. Se ele fosse fechado
diretamente ao clicar no X, você perderia qualquer arquivo não salvo.Aqui, o objetivo é justamente o contrário: fechar o programa "à força", "matar o processo", como se diz. O sistema operacional finaliza o programa e libera os recursos usados por ele (como a memória) sem notificá-lo. Algumas vezes complica um pouco, pois malwares mais elaborados podem manter duas instâncias de si mesmo, e se uma for fechada logo a outra detecta e a reabre. Mas com um pouco de paciência e prática, dá para se virar e tomar o controle. Afinal, o computador é seu, não do malware.
Esse Process Explorer NT permite até mesmo "pausar" um determinado programa, e continuá-lo depois. Estando "pausado", o programa continua aberto mas parece morto; por exemplo, esse que envia mensagens pelo MSN, não enviaria enquanto estivesse pausado. Essas ações são feitas ao clicar com o botão direito no processo, dentro do Process Explorer NT.
Pode ocorrer de você fechar um programa inofensivo realmente, por desconhecer o nome dele. Normalmente isso não lhe trará problema algum, bastará reabrir o programa que foi fechado depois. Tome o cuidado de não manter arquivos abertos ou documentos não salvos enquanto fecha os programas suspeitos, e também evite fazer isso conectado à Internet. Simples: você pode fechar seu firewall sem querer e continuar por horas navegando - sem perceber que abriu as portas do seu computador para o mundo.
Bem, fechado o programa, você pode excluir o arquivo correspondente a ele. Tome cuidado aqui, para não excluir um arquivo errado, do sistema ou de outro programa bom que você use. Antes de excluir é bom pesquisar na Internet pelo nome do executável, ou então movê-lo para uma outra pasta, ou mesmo renomeá-lo com outra extensão (por exemplo, "
coisax.exe
" viraria "coisax.123
").Para excluir, você deverá saber onde se encontra o arquivo. A maioria dos spywares são instalados na pasta "
system32
"
(creio que escolhem essa por ser uma pasta de sistema, que ainda por
cima contém muitos arquivos), assim fica difícil encontrar "suspeitos" apenas olhando lá dentro. Uma dica é usar a pesquisa do sistema operacional, aquele "Pesquisar"
do Iniciar, jogando o nome do arquivo desejado. Nessa tarefa, algumas
configurações do Windows acabam atrapalhando. Para ficar mais seguro
para você, altere estas opções:-
Na guia "Modos de exibição" das opções de pasta (menu "Ferramentas > Opções de pasta", do Windows Explorer), marque o item "Mostrar todos os arquivos" na categoria "Arquivos ocultos". E desmarque o "Ocultar arquivos protegidos do sistema operacional".
Ainda ali, desmarque a opção que oculta as extensões dos arquivos.
Depois disso, basta tomar cuidado ao renomear seus arquivos, onde você
deverá digitar o nome junto com a extensão, e não apague alguns arquivos
que "aparecerão" na unidade C:, como
boot.ini
,ntldr
, etc. Esses arquivos são do sistema e ficam ocultos por padrão. Pedi para exibi-los pois assim ele não ocultará os outros arquivos, facilitando a localização dos malwares, inclusive usando o "Pesquisar".
-
O "Pesquisar" do Windows XP veio para facilitar apenas para
usuários iniciantes. Para pesquisar arquivos ocultos em pastas do
sistema, usando regras de pesquisa (máscaras) e opções avançadas, é
terrível, ficou muito ruim. O ideal é voltar para a pesquisa clássica,
igual à do Windows 2000/Me. Veja como fazer isso aqui:
(envolve edição do registro)
Pronto. Agora ficou mais fácil localizar o arquivo no disco e excluí-lo. Quase sempre os spywares estarão dentro da pasta system32
, ou pelo menos na pasta do Windows. Mande pesquisar na pasta "C:\windows
"
incluindo subpastas; caso não o encontre ali, mande buscar então em
todos os discos rígidos locais. Pesquisando apenas na pasta do Windows a
pesquisa será mais rápida, já que o buscador não terá que vasculhar
todo o seu HD :)Fechado o programa, excluído o arquivo, agora falta remover o ponto de entrada de inicialização, que faz com que o programa seja carregado durante o boot do sistema. Os programas que se iniciam junto com o computador podem ficar configurados em alguns lugares diferentes no Windows. Uma forma básica de ver isso é usar o MSConfig, programinha que já vem com o Windows (exceto NT e 2000) e que lista os programas abertos. Clique no "Iniciar > Executar", digite
msconfig
e tecle enter. Na aba "Inicializar", localize os itens desejados e desmarque o suposto malware. Depois de desmarcado, clique em Aplicar > OK. Ele pedirá para reiniciar o computador, fica a seu critério reiniciar no momento ou depois.
Dica: desativar outros itens
desnecessários pelo MSConfig fará com que o computador inicie um pouco
mais rápido e use menos memória; mas cuidado para não desativar
programas importantes, como o firewall, antivírus (se você usar), etc.
Importante: sempre
remova a entrada de inicialização do programa com ele fechado. Se você
não fizer isso, alguns programas ficam regravando as chaves no registro
enquanto estão abertos, justamente para que se você remova, logo eles
regravam e serão inicializados depois, na maior cara de pau. Com eles
fechados, simplesmente não têm como regravar.Nem sempre será fácil remover programas indesejados dessa forma, mas boa parte deles podem ser removidos assim, por incrível que possa parecer :)
Outra dica é iniciar o computador limpo, sem spywares, e anotar os nomes dos programas que se iniciam automaticamente (seja pelo Process Explorer NT ou pelo próprio gerenciador de tarefas). Boa sorte :)
Fonte: Guia do Hardware.
0 comentários:
Postar um comentário