Académique Documents
Professionnel Documents
Culture Documents
2
Muitos usurios de Windows esto com seus computadores infectados por malwares (worms, adwares, spywares,
trojans ...) e s sabem disso quando o sistema operacional comea a se comportar de maneira estranha. Os
sintomas disso incluem:
- janelas do Internet Explorer abrindo sozinhas
- sites desconhecidos aparecem quando se quer fazer uma busca
- o Internet Explorer tem uma nova pgina inicial sem que voc tivesse configurado-o para isso
- programas anti-spywares deixam de funcionar (ao serem abertos, fecham-se automaticamente)
- o acesso Internet torna-se lento sem motivo
- o Windows est mais lento do que de costume
- h um trfego adicional na sua rede sem motivo
Ao acontecer isso, normal o usurio xingar o Windows e a Microsoft e "rebootar o micro para ver se melhora" - e
continuar irritado ao ver que no h melhora alguma depois de (inutilmente) reinicializar o computador.
Os malwares vm embutidos em diversos de programas gratuitos na web que "seduzem" o usurios para instal-los,
infectando o computador dele sem que ele perceba.
Alguns dos conhecidos programas que fazem isso so o KaZaA, Gator, GAIN, PrecisionTime, DashBar, Date
Manager, WeatherScope, WeatherCast, ClockSync, BonziBuddy, IEHelper, SnagIt, MySearch, Comet Cursor entre
muitos outros.
Voc pode obter uma lista com programas que contm malwares em diversos sites como este e este ...
Mas o que malware ? Malware rene toda gama de programas que realizam tarefas nocivas sem que o usurio
saiba e os 7 tipos mais conhecidos so:
Spywares, que monitoram o uso do computador, podendo roubar informaes como a sua lista de endereos de email, por exemplo, enviando-a para spammers
Adwares, que podem mostrar banners aleatoriamente e monitorar o seu uso da Internet, podendo roubar
informaes relativas navegao (sites visitados)
Trojans, programa que ao se instalado no seu computador, abre um canal de comunicao externo para que
hackers possam acessar o seu computador sem o seu conhecimento
Hijackers, programas que alteram o comportamento do seu browser, fazendo com que ele acesse pginas e sites
Pgina 1 de 32
importante que voc perca alguma horas seguindo cada passo deste Guia pois isso
poder economizar muita dor-de-cabea e perda de tempo caso o seu computador
esteja infectado e voc ainda no tenha eliminado os malwares deles. Arme-se de
pacincia e bom-humor pois no final ter valido a pena !
Este guia tem 20 passos que ensinam voc como eliminar os malwares e impedir que
eles voltem. Os passos 1 a 11 mostram como identificar e eliminar todos os malwares
do seu computador e os passos 12 a 20 mostram como evitar que eles reapaream.
Pgina 2 de 32
Este guia sugere o uso de diversos programas gratuitos que podem ser obtidos no site do desenvolvedor
dos mesmos. Para facilitar o seu trabalho, disponibilizamos dois links no BABOO contendo arquivos com
estes programas:
Pgina 3 de 32
Verifique se h algum arquivo suspeito sendo carregado, seguindo estas trs dicas:
1. Arquivos localizados na pasta Temp ou Temporary Internet Files (veja a localizao dos arquivos na coluna Image
Path)
Pgina 4 de 32
localhost
Se houver mais linhas ali (que no tm o smbolo # como primeiro caractere), recomendvel que voc apague
todas elas.
Linhas como as listadas abaixo mostram claramente que o seu arquivo HOSTS est danificado por algum malware
(pois os sites listados ali no podero ser acessados) e por isso essas linhas devem ser imediatamente apagadas:
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
Pgina 5 de 32
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
Aps apagar todas as linhas adicionais, salve o seu arquivo HOSTS.
Se o resultado do seu computador mostrar que as portas 135, 139 e 445 esto abertas, possvel que o seu
computador esteja infectado com algum malware.
Se o computador que voc fizer o teste no est fisicamente conectado Internet, ou seja, h outro computador que
Pgina 6 de 32
est disponibilizando a conexo da web para voc, o teste de segurana ser realizado naquele computador - e no
no seu. Isso no muda em nada a validade do teste do GRC pois o importante que o computador que est
fisicamente conectado Internet esteja protegido, pois por ali que hackers tentaro invadir o computador ou a rede
local.
O firewall impede que hackers invadam o seu computador e tambm impede que alguns bugs do Windows XP
possam ser explorados remotamente (como a vulnerabilidade que informava que o Windows seria desligado em um
minuto). Para hablitar o firewall no Windows XP, faa o seguinte:
No Windows XP com SP1 ou no: v em Iniciar > Painel de Controle > Conexes da Internet > d um duplo-clique
na sua conexo > Propriedades > Avanado > clique na opo de Firewall de conexo com a Internet ("Proteger o
computador e a rede limitando ...") e clique em OK
No Windows XP com SP2: v em Iniciar > Painel de Controle > Firewall do Windows > certifique que a opo
Ativado est habilitada
Se voc no utiliza o Windows XP, voc deve utilizar um firewall de terceiros, como por exemplo o ZoneAlarm, que
um firewall gratuito muito eficiente.
Outra tima opo de firewall o Norton Personal Firewall (ou o Norton Internet Security, pacote que inclui o Norton
Antivirus) da Symantec.
Pgina 7 de 32
O Service Pack 2 do Windows XP inclui a Central de Segurana, que informa se o seu antivirus est atualizado ou
no.
Uma dica importante que voc deve configurar o seu antivirus para proteo mxima para que todos arquivos
suspeitos possam ser interceptados, pois a maioria dos antivirus vm configurados com proteo mdia e voc deve
verificar e alterar isso.
No Norton Antivirus, por exemplo, voc deve clicar em Opes > clicar em Auto-Protect > Bloodhound > habilitar a
opo "Nvel mais alto de proteo". O mesmo deve ser feito na opo Verificao Manual > Bloodhound.
Um detalhe importante sobre o AVG: muitos usurios usam o antivirus AVG 6.0 pois ele gratuito - e infelizmente
esse antivirus ruim, dando a falsa impresso ao usurio que ele est sem vrus, quando na verdade o micro pode
estar infectado sem que este antivirus seja capaz de detectar isso.
Por isso, na minha opinio voc deve fugir do AVG: desinstale-o e instale algum antivirus decente como o Norton
Antivirus, McAfee, NOD32, Panda ou outros pois com estes o seu computador com certeza estar muito mais
protegido.
muito importante voc fazer a verificao completa dos seus discos rgidos (mesmo que isso demore
algumas horas) antes da prxima etapa pois de nada adianta atualizar o seu Windows se ele estiver
infectado sem que voc saiba !
Depois disso a pgina enviar um arquivo que deve ser executado para que a anlise online possa ser realizada.
Voc poder escolher o que ser analisado e sugiro que voc escolha Meu Computador para que todos os drives do
seu computador sejam analisados.
A anlise demora alguns minutos e no final os arquivos infectados so eliminados.
Pgina 8 de 32
Tambm esto disponveis outras verificaes online de fabricantes de antivirus, como Symantec, McAfee,
BitDefender e Trend Micro.
importante que voc instale TODAS as Atualizaes Crticas e Service Packs existentes para garantir que o seu
Windows esteja atualizado. Usurios com conexo a modem podem pedir gratuitamente Microsoft o envio de
um CD com o Service Pack caso queira evitar obt-lo via Internet.
O maior update (excluindo-se Service Packs) o .NET Framework e embora ele seja importante para uso de
aplicaes desenvolvidas para a plataforma .NET, voc no precisa instal-lo sob o ponto de vista de segurana do
seu computador. O Windows Update 5.0 a verso atual do Windows Update e para os usurios do Windows XP,
ele prov diversas novidades, incluindo arquivos menores para download e uso limitado de banda para no
atrapalhar a navegao.
Pgina 9 de 32
O Windows Update permite que voc salve em seu computador os arquivos obtidos ali; desta maneira voc pode
instal-lo em outros computadores sem a necessidade de obt-los novamente via Internet.
Para fazer isso, clique na opo Opes do administrador ( esquerda) e clique no link Catlogo do Windows
Update ( esquerda, dentro do pargrafo sobre Atualizar vrios sistemas operacionais)
Embora existam sites que faam gratuitamente uma varredura online do computador do usurio para
detectar malwares, como o PestScan da PestPatrol, recomendvel voc fazer isso atravs de software gratuitos,
que so mais completos e melhor indicados para esta tarefa:
Agora que o Ad-aware est atualizado, voc deve utiliz-lo para fazer uma varredura no seu computador. Para isso,
clique no boto Status (o boto superior esquerda) e em seguida no boto Start. Selecione a opo Perform full
system scan (segunda opo) e clique em Next. Aguarde a finalizao da varredura.
Ao finalizar a verificao, clique no boto Next e voc ver a lista de arquivos encontrados. Para obter informaes
sobre cada um dos arquivos encontrados, basta dar um duplo-clique no nome e voc ter uma descrio completa
do mesmo.
Para eliminar todos os arquivos (o que altamente recomendvel), clique com o boto da direita do mouse em
Pgina 10 de 32
qualquer lugar da janela > escolha a opo Select all objects (imagem abaixo) e clique no boto Next. Clique em OK
para eliminar os arquivos encontrados.
importante que voc saiba que alguns programas que utilizam adwares no funcionam mais caso ele seja
eliminado (como o KaZaA) e que muitos dos arquivos mostrados pelo Ad-Aware so cookies (que so listados com
a palavra "Tracking" na coluna Vendor), que so arquivos comumente utilizados por alguns sites para controle de
acesso e que so automaticamente recriados quando voc acessa novamente o site.
O mais importante no Ad-Aware que ele localiza e elimina adwares perigosos, contidos em arquivos e linhas no
Registro do Windows, pois comparados com os malwares existentes, os cookies no representam perigo de
segurana para o internauta (embora algumas empresas de marketing utilizem-nos para rastrear os sites navegados
pelo internauta).
Aps realizar essa varredura com a opo Perform full system scan, voc pode utilizar a opo recomendada
(Perform smart system scan) nas prximas vezes (item 19).
Quando o TeaTimer est rodando, comum aparecer algumas mensagens dele quando realizada atualizao do
Windows (item 6 acima) pois estas usualmente fazem modificaes no Registro do Windows: isso normal e voc
deve aceitar as modificaes.
Pgina 11 de 32
Aps finalizar a instalao do Spybot e execut-lo, o programa sugere realizar trs importantes tarefas que ajudam
na proteo do seu computador e ALTAMENTE recomendvel que voc aceite-as. So elas:
1. Create Registry Backup, que far um backup do Registro do Windows. Ao clicar no boto Create registry
backup, a opo Next (na parte inferior da janela, ao lado da seta verde) ficar cinza at a finalizao do backup
(que pode demorar alguns minutos)
2. Search for Updates e Download all available updates, que procurar atualizaes para o programa e as
instalar, caso existam.
Essa etapa importantssima pois permite que o Spybot atualize-se, permitindo a identificao e remoo de novos
malwares que possam estar instalados no seu computador.
Aps a finalizao do processo (quando a janela Update progress desaparecer e a lista de atualizaes tiver o
), clique em Next.
smbolo
3. Immunize this system, que imunizar o computador contra diversos malwares, evitando que eles sejam
instalados no computador. Ao clicar em Next, aparecer na janela o nmero de programas ruins (malwares)
bloqueados que no podero ser instalados. Clique ento em Next e no boto inferior Start using the program.
Rodando o Spybot
Agora que o programa est instalado e atualizado, voc deve execut-lo para que ele detecte spywares instalados
no seu computador. Para isso, clique na opo Search & Destroy (primeiro cone superior na janela esquerda) e
em seguida em Check for problems.
Aps alguns minutos (sendo que s vezes o programa parece estar travado, mas no est), o programa mostrar
uma lista de arquivos que envolvem malwares e tambm cookies de empresas de banners (que podem fazer com
que essas empresas monitorem a sua navegao nos sites gerenciados por elas).
Um detalhe interessante o DSO Exploit, usualmente detectado pelo Spybot, mas que na realidade so chaves do
registro relativas a Zonas do Internet Explorer e que no oferecem perigo algum.
Para eliminar todos os arquivos encontrados, clique na opo Fix selected problems e os arquivos sero apagados
aps voc confirmar que deseja remov-los. Se voc utiliza o Windows XP, criado um Ponto de Restaurao por
questo de segurana.
Quando o Spybot no consegue eliminar o arquivo (pois ele est ativo na memria, por exemplo), ele informa-o
disso e pergunta se voc deseja que esses arquivos sejam eliminados na prxima vez que o computador for ligado.
importante que voc aceite isso e reinicie o computador o mais breve possvel, pois dessa maneira o Spybot ser
executado no incio do Windows e os arquivos podero ser (enfim) eliminados.
Pgina 12 de 32
Opo Immunize
Um detalhe muito til para fazer depois do Spybot confirmar que voc no tem nenhum arquivo suspeito no seu
micro clicar a opo Immunize para ter certeza que o seu computador ficar imune a alguns malwares.
Tenha certeza que a segunda opo do Imunnize ("Enable permanent blocking of bad addresses in Internet
Explorer") esteja clicado e a opo "Block all pages silently" selecionada. Para ter certeza que o seu sistema est
razoavelmente imune, clique no boto superior Immunize.
TeaTimer
Usurios mais atentos devem ter notado um novo cone no tray (ao lado do relgio): o TeaTimer, um aplicativo que
monitora algumas chaves do Registro do Windows, avisando o usurio sempre que algum programa tentar modificlas.
O TeaTimer muito til pois permite manter o computador mais seguro, informando quando algum programa tenta
modificar o Registro - mesmo programas conhecidos e importantes, como durante a Atualizao Automtica do
Windows, atualizaes do antivirus, ou quando o usurio instalar algum programa novo.
Antes de instalar um Service Pack, recomendvel que voc desabilite o TeaTimer
Quando algum programa tentar alterar o Registro do Windows ou o Internet Explorer (ao instalar a barra da MSN ou
do Google, por exemplo), o TeaTimer permite que voc permita que a mudana seja feita (Allow change) ou que ela
seja recusada (Deny change). Alm disso h a opo Remember this decision que permite que o TeaTimer relembre
a opo que voc definiu e aplique-a novamente, evitando que a janela aparea a todo instante.
O Spybot um programa bastante poderoso, permitindo a verificao de mais opes alm de spywares. Alm
do programa poder ser configurado para idioma portugus brasileiro (menu Language > Brasil), voc pode habilitar a
opo Avanada (menu Mode > Advanced Mode), o que trar muitas outras opes. Exemplo: clique na barra Tools
(Ferramentas) e voc poder alterar a configurao de BHOs, ActiveX, arquivo HOSTS, entre outras opes.
Pgina 13 de 32
Na imagem acima voc tem a lista de BHO (so 6 ao todo), aonde eles so tidos como Benignos (Benign, escrito em
verde). Para obter mais informao sobre um determinado BHO, d um duplo-clique nele e abrir uma janela
mostrando detalhes do arquivo.
No nosso caso, os BHO instalados so estes:
1. AcroIEHelper = Adobe Reader
2. SDHelper.dll = aplicativo do Spybot
3. NISShExt.dll = Norton Internet Security
4. GoogleToolbar3.dll = barra do Google
5. NAVSHEXT.dll = Norton Antivirus
Caso exista algum BHO suspeito no seu micro, voc pode desativ-lo clicando no smbolo correspondente que
aparece na coluna Enabled?. Qualquer programa que voc no conhea pode ser um malware e recomendvel
que voc desabilite-o.
Usurios do Service Pack 2 do Windows XP
Usurios do Service Pack 2 do Windows XP no precisam do BHO Demon pois o IE vm com uma funo similar: o
Gerenciador de Complementos, que est na opo Ferramentas > Opes da Internet > aba Programas > boto
Gerenciar Complementos.
O Gerenciador de Complementos lista os BHO instalados no seu computador, permitindo que voc desative-os a
qualquer instante.
Pgina 14 de 32
Embora isso seja suficiente para impedir de algum BHO indesejvel funcionar, o uso do BHO Demon continue sendo
recomendvel por fornecer muito mais detalhes sobre os BHOs instalados.
Na imagem acima, pode-se ver diversos aplicativos BHO conhecidos que so executados juntamente com o Internet
Explorer, como o Norton Antivirus, Shockwave Flash e Windows Messenger - e outros nem to reconhecidos, como
o SDHelper (aplicativo do Spybot) e CTAdjust Class (ActiveX que permite a configurao do ClearType).
Caso voc desconfie de um deles, desabilite-o clicando na opo Desativar (que no est mostrada na imagem
acima) e volte a utilizar o browser para verificar se ele continua funcionando corretamente. Voc poder faz-lo
voltar a funcionar bastando clicar no nome dele e selecionar a opo Ativar.
O CWShredder elimina diversos problemas como redirecionamento de URL, mudanas na pgina inicial, janelas
pop-up e outras aes caractersticas de hijackers.
Pgina 15 de 32
O seu uso bastante simples: voc deve fechar todas as janelas do Internet Explorer e clicar a opo Next.
O programa verificar a existncia de diversos malwares (embora muitos recentes no esto na lista) e eliminar
aqueles que forem detectados.
O criador do CWShredder tambm criou o HiJackThis! um timo programa que permite visualizar os arquivos que
so carregados na inicializao do Windows, entre outras informaes teis para quem tem conhecimento para lidar
com elas. O HiJackThis! pode ser obtido aqui.
Pgina 16 de 32
Caso algum hijacker for encontrado, voc deve verificar qual o nome dele na janela de resultados, clicar no cone
correspondente na parte superior da janela e, por fim, clicar no ltimo cone da lista, que eliminar o malware.
Exemplo prtico: vamos supor que o seu computador esteja infectado com o hijacker MyWebSearch mas voc no
sabe disso. Voc deve seguir estes passos:
1. Clique na opo Hijacker Away e no terceiro cone (mostrado na imagem acima) para fazer uma varredura
procura de qualquer hijacker
2. Aparecer na lista Totally Found: [1] Malware Objects!, indicando que foi encontrado um malware no seu
computador !
3. Para saber qual esse malware, voc deve subir a lista e localiz-lo: neste caso, aparecer Found [1]
MyWebSearch Hijacker, indicando que o seu computador est infectado com o MyWebSearch.
4. Na lista de cones da parte superior, voc deve clicar no cone MyWebSearch Hijacker, indicando que este o
malware que voc pretende eliminar
5. Agora voc deve clicar no ltimo boto (o ltimo direita), que eliminar o malware escolhido (MyWebSearch) do
seu computador.
Um detalhe importante que alm de voc clicar em Hijacker Away, procurando por Hijackers, voc tambm deve
fazer a varredura de Adwares (clicando em Adware Away), Spywares (clicando em Spyware Away) e Trojans e
Worms (clicando em Trojan & Worm Away), clicando o terceiro cone de cada um deles para certificar-se que o seu
computador no est infectado com nenhum malware listado.
importante que voc saiba que o Adware Aware identifica algumas chaves no Registro (Use FormSuggest,
FormSuggest Passwords, FormSuggest PW Ask e AutoSuggest, por exemplo) como Backdoor Berbew, quando na
verdade essas chaves so usadas pelo IE para armazenar logins e senhas (embora tambm sejam utilizadas por
trojans caso eles existam no computador).
Ao seguir todos os passos acima, agora o seu computador deve estar livre da imensa maioria dos malwares portanto agora hora de nos preocuparmos em evitar e impedir que eles voltem. Para impedir a volta de malwares,
voc deve seguir os prximos passos:
Pgina 17 de 32
O Nvel do Filtro deve ficar em Mdio pois ao configur-lo para Alto, isso impedir a abertura de qualquer nova
janela (mesmo quando voc clica em links), obrigando o usurio a manter pressionada a tecla CTRL para acessar
os links clicados.
Pgina 18 de 32
1. Utilizando-se o Service Pack 2 do Windows XP, que automaticamente bloqueia a instalao de scripts ActiveX e
s instala-os caso o usurio decida fazer isso (sendo que voc pode ver os scripts ActiveX instalados acessando a
opo de Gerenciamento de Complementos descrita no item 9 acima).
2. Configurando-se as opes "Inicializar e executar scripts de controles ActiveX no marcados como seguros" e
"Fazer o download de controles ActiveX no assinados" para Desativada no IE. Para isso, clique no menu
Ferramentas > Opes da Internet > aba Segurana > clique na zona Internet > boto Nvel Personalizado > Plugins e controles ActiveX
3. Utilizando programas de terceiros, como o TeaTimer do Spybot (item 6 acima) e o SpywareBlaster
H outras solues curiosas que impedem a instalao de scripts ActiveX que so reconhecidamente spywares: o
site Spyware-Guide, por exemplo, disponibiliza para download um arquivo .reg que adiciona no Registro do Windows
uma lista contendo diversos scripts ActiveX que esto impedidos de serem instalados para evitar que o computador
seja infectado.
Para facilitar o trabalho do usurio, estamos desenvolvendo um aplicativo em .NET que far as
modificaes no Registro de maneira automtica e pretendemos disponibiliz-lo para download
no incio de Set/04.
Esta dica exige o uso do Windows NT, Windows 2000, Windows XP Professional ou
Windows 2003 com partio NTFS no drive aonde o Windows est instalado, no estando
disponvel para Windows 9x/Me, Windows XP Home Edition, nem para qualquer verso do
Windows instalado sob partio FAT32. Para voc saber qual a partio do seu drive, v em
Meu Computador > Clique com o boto da direita do mouse sobre a partio aonde o Windows
est instalado (usualmente C:) > Propriedades e veja em Sistema de arquivos qual o tipo de
partio (FAT ou NTFS)
Pgina 19 de 32
Alterando a permisso
Para alterar a permisso da chave HKCU\Software\Microsoft\Internet Explorer\Main, que algo que desejamos fazer
Pgina 20 de 32
para evitar que as variveis direita sejam modificadas por qualquer malwares, voc deve clicar com o boto da
direita do mouse sobre a palavra Main (na rvore esquerda) e escolher a opo Permisses.
Ao abrir a janela de Permisses, voc ver os nomes dos grupos ou usurios. Como queremos impedir que
*qualquer* usurio altere os dados da chave, vamos criar o grupo Todos, que conter todos os usurios, e definir
que este grupo no poder modificar as variveis, podendo apenas acess-las (l-las): desta maneira ningum
poder alterar as variveis, sendo que a nica maneira de fazer isso ser alterar a permisso desse grupo Todos.
Criando o grupo Todos
Clique no boto Adicionar e no campo que aparecer (abaixo da frase "Digite os nomes de objeto a serem
selecionados"), digite a palavra "Todos" (sem as aspas).
Clique no boto Verificar nomes para confirmar que o grupo Todos est correto (note que agora a palavra Todos
est sublinhada, indicando que o grupo foi reconhecido) e clique em OK.
Clique agora no boto Avanado. Clique na linha que contm a palavra Todos sob o campo Nome e clique no boto
Editar.
Na lista que aparecer, clique no primeiro quadrado superior direito (Controle total / Negar) e todos os demais
quadrados da coluna Negar sero ativados.
Como queremos permitir que as chaves possam ser lidas, desclique o segundo quadrado (Consultar valor) da
coluna Negar e tambm a opo "Enumerar Subchaves" (para permitir que as sub-chaves existentes tambm
possam ser lidas). O resultado final ser o que voc v na imagem direita: todos os quadrados da coluna Negar
devem estar ativados, exceto os dois primeiros. Clique em OK. Agora voc deve clicar na opo "Herdar do pai as
entradas de permisso aplicveis ..." e clicar na opo Copiar quando a janela de confirmao aparecer.
Clique em OK e aparecer uma mensagem informando sobre a configurao de entrada de permisses. Isso ocorre
Pgina 21 de 32
pois quando voc cria uma permisso de negao, esta tem mais importncia sobre entradas de permisso e com
isso algumas funcionalidades podero ser afetadas (e justamente isso que queremos: proibir que as variveis da
chave possam ser alteradas). Clique em Sim para confirmar e, por fim, em OK para fechar a janela.
Desfazendo as alteraes:
Caso voc queira modificar algum parmetro na chave HKCU\Software\Microsoft\Internet Explorer\Main, voc deve
simplesmente permitir a gravao de dados ali por Todos. Faa o seguinte:
1. Clique com o boto da direita do mouse em Main > Permisses ...
2. Clique em Todos e no boto Avanado
3. Clique na linha aonde Todos est no campo Nome e clique em Editar
4. Clique no primeiro quadrado abaixo de Permitir (Controle total) e todas as demais opes da coluna Permitir
sero habilitadas.
5. Clique em OK, OK e novamente em OK.
Pgina 22 de 32
Refazendo as alteraes:
Aps voc fazer as modificaes nas variveis, recomendvel que voc recoloque a permisso de negao na
chave para garantir que nenhum programa possa mud-la. Basta voc seguir os passos abaixo:
1. Clique com o boto da direita do mouse em Main > Permisses ...
2. Clique em Todos e no boto Avanado
3. Clique na linha aonde Todos est no campo Nome e clique em Editar
4. Clique no primeiro quadrado abaixo de Negar (Controle total) e todas as demais opes da coluna Negar sero
habilitadas.
5. Clique no segundo quadrado abaixo de Negar (Consultar valor) e na opo "Enumerar subchaves": com isso
todas as opes da coluna Negar estaro habilitadas, exceto as duas primeiras e a "Enumerar subchaves".
5. Clique em OK, OK, Sim (confirmando a mensagem sobre permisso de negao) e novamente em OK.
Quais so as chaves que devem ser modificadas ?
Dependendo do grau de segurana desejado, aplique a modificao das permisses nas chaves abaixo, lembrando
que HKCU indica a chave HKEY_CURRENT_USER e HKLM indica a chave HKEY_LOCAL_MACHINE:
Proteo mnima:
Suficiente para impedir que a maioria dos spywares e trojans se instalem:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Proteo mdia:
Suficiente para impedir que a maioria dos spywares, trojans e hijackers se instalem:
HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Main
HKLM\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Proteo mxima:
Impede que a maioria dos spywares, trojans e hijackers se instalem, bem como malwares mais sofisticados e difceis
de serem removidos. O ideal que voc tambm siga os prximos passos para manter a segurana mxima:
HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Main
HKLM\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Pgina 23 de 32
Voc deve aplicar nas chaves acima o mesmo passo-a-passo que foi aplicado na chave
HKCU\Software\Microsoft\Internet Explorer\Main exemplificado acima.
Os requisitos para esta dica so os mesmos da dica anterior: ela exige o uso do Windows NT,
Windows 2000, Windows XP Professional ou Windows 2003 com partio NTFS no drive
aonde o Windows est instalado, no estando disponvel para Windows 9x/Me, Windows XP
Home Edition, nem para qualquer verso do Windows instalado sob partio FAT32. Para
voc saber qual a partio do seu drive, v em Meu Computador > Clique com o boto da
direita do mouse sobre a partio aonde o Windows est instalado (usualmente C:) >
Propriedades e veja em Sistema de arquivos qual o tipo de partio (FAT ou NTFS)
Windows em portugus:
- Todos os usurios: \Documents and Settings \All Users \Menu Iniciar \Programas \Inicializar
- Usurio especfico: \Documents and Settings \(usurio) \Menu Iniciar \Programas \Inicializar
Windows em ingls:
- Todos os usurios: \Documents and Settings \All Users \Start Menu \Programs \Startup
- Usurio especfico: \Documents and Settings \(usurio) \Start Menu \Programs \Startup
No Windows NT as pastas ficam dentro de WINNT/Profiles.
importante que voc modifique a Permisso de ambas as pastas, para uma maior segurana. Abaixo, utilizaremos
como exemplo o Windows XP em portugus e a pasta \Documents and Settings \All Users \Menu Iniciar \Programas
\Inicializar.
Navegue at a pasta \Documents and Settings \All Users \Menu Iniciar \Programas \Inicializar, clique com o boto da
direita do mouse em qualquer espao em branco da pasta e clique na opo Propriedades. Clique na aba
Segurana e siga basicamente os mesmos passos da dica anterior: clique no boto Adicionar e no campo que
aparecer (abaixo da frase "Digite os nomes de objeto a serem selecionados"), digite a palavra "Todos" (sem as
aspas). Clique no boto Verificar nomes para confirmar que o grupo Todos est correto (note que agora a palavra
Todos est sublinhada, indicando que o grupo foi reconhecido) e clique em OK. Tendo certeza que o usurio Todos
est selecionado, clique na janela de Permisses o quadrado Gravar/Negar (veja imagem abaixo) para impedir a
gravao de dados na pasta.
Pgina 24 de 32
Pgina 25 de 32
Os requisitos para esta dica so os mesmos da dica anterior: ela exige o uso do Windows NT,
Windows 2000, Windows XP ou Windows 2003 com partio NTFS no drive aonde o Windows est
instalado, no estando disponvel para Windows 9x/Me nem para qualquer verso do Windows
instalado sob partio FAT32. Para voc saber qual a partio do seu drive, v em Meu
Computador > Clique com o boto da direita do mouse sobre a partio aonde o Windows est
instalado (usualmente C:) > Propriedades e veja em Sistema de arquivos qual o tipo de partio
(FAT ou NTFS)
Navegue at a pasta aonde se encontra o arquivo HOSTS, clique com o boto da direita do mouse nele e escolha a
opo Propriedades. Clique na aba Segurana e siga basicamente os mesmos passos da dica anterior: clique no
boto Adicionar e no campo que aparecer (abaixo da frase "Digite os nomes de objeto a serem selecionados"), digite
a palavra "Todos" (sem as aspas).
Clique no boto Verificar nomes para confirmar que o grupo Todos est correto (note que agora a palavra Todos
est sublinhada, indicando que o grupo foi reconhecido) e clique em OK.
Tendo certeza que o usurio Todos est selecionado, clique na janela de Permisses o quadrado Gravar/Negar
(veja imagem abaixo) para impedir a gravao de dados na pasta.
Pgina 26 de 32
Refazendo as alteraes:
Aps voc alterar o arquivo HOSTS, recomendvel que voc recoloque a permisso de negao na pasta nele
para garantir que nenhum programa possa alter-lo. Basta voc seguir os passos abaixo:
1. V at a pasta aonde o arquivo HOSTS se encontra
2. Clique com o boto da direita do mouse em uma rea em branco > Propriedades
3. Clique na aba Segurana
4. Clique no usurio Todos
5. Clique a opo Gravar na coluna Negar.
6. Clique em OK e Sim (para confirmar a mensagem sobre permisso de negao)
Pgina 27 de 32
Mesmo que voc se arrisque e faa o download do arquivo, um bom antivirus comprovar a farsa do e-mail,
indicando que ele na verdade um arquivo infectado com um malware (um trojan, neste caso):
Evidentemente se o seu antivirus est atualizado (passo 4), ele interceptar arquivos com malwares e evitar que
voc seja infectado - por isso um antivirus deve estar sempre atualizado ou ele no servir para muita coisa.
Veja mais um exemplo abaixo, aonde o arquivo para "ver a dvida do SERASA" obtido em um site que no tem
absolutamente nada a ver com o SERASA: o site www.theblog.com (mais especificamente em
www.debitobradesco.theblog.com.br/debitobradesco.zip), denunciando a falsidade da mensagem:
Para voc saber qual o site original aonde se encontra o arquivo para download, basta unir "www". com o site
original (.com, .com.br ou qualquer que seja a extenso). Exemplos:
www.meumundo.americaonline.com.br/kalangoazsado/Cartao.exe indica que o arquivo est hospedado no site
www.americaonline.com.br.
www.debitobradesco.theblog.com.br/debitobradesco.zip indica que o arquivo est hospedado no site
www.theblog.com.br.
Tenha em mente que bancos e empresas grandes JAMAIS enviam arquivos via Internet e os links que constam nos
seus e-mails so sempre do site da prpria empresa. Alm disso o site real sempre aquele que tem a primeira
extenso. Exemplos fictcios:
Pgina 28 de 32
Pgina 29 de 32
seguinte: acesse o Internet Explorer > opo Ferramentas > na aba Geral, clique no boto Configuraes que est
dentro da rea Arquivos de Internet temporrios: altere ali o tamanho do espao em disco a ser utilizado para 10 Mb.
3. No Outlook Express, impea a visualizao de imagens nas mensagens de e-mail para dificultar a sua
identificao por spammers: v no Outlook Express > menu Ferramentas > Opes > Segurana > clique a opo
"Bloquear imagens e outros contedos externos em e-mails em HTML"
4. Ainda no Outlook Express, confirme se a opo "Zona de sites restritos" est selecionada na aba Segurana.
Pgina 30 de 32
Concluso:
Como voc pode observar nas dicas deste guia, no difcil manter o Windows praticamente imune a malwares:
apenas um pouco trabalhoso para quem nunca se preocupou com isso.
Excetuando a dica 14 (detalhando a mudana de permisso de algumas chaves do Registro do Windows, que a
soluo mais complexa e eficiente para impedir a instalao de malwares no computador), as demais dicas so
bastante fceis e simples de serem implementadas.
H tempos a Microsoft iniciou uma campanha ressaltando 3 etapas para manter o seu computador seguro:
1. Usar um firewall
2. Manter o Windows atualizado
3. Manter o antivirus atualizado
Embora estas trs dicas sejam suficientes para manter o seu computador seguro, os malwares esto ficando cada
vez mais sofisticados e criativos, exigindo um cuidado maior para evitar que eles infectem o seu computador.
A midia especializada adora mostrar casos escabrosos de prejuzos bilionrios que empresas tm com vrus, worms
e malwares em geral, mas ignora que h milhes de computadores que no sofrem problema algum com isso. E
por este motivo que eu criei este Guia: fazer com que voc faa parte do grupo que no se preocupa mais com
malwares, tendo conhecimento deles apenas ao ler notcias sobre algum malware novo que apareceu na web !
Eu espero que este Guia ajude o internauta brasileiro a se proteger contra qualquer tipo de malwares, aumentando
(e muito !) a segurana do seu computador contra estas pragas. Por isso, este Guia pode (e deve) ser distribudo
livremente para que todos possam aproveitar ao mximo as dicas aqui postadas, fazendo com que o Brasil no seja
um dos campees de computadores infectados, como ocorre hoje.
O Guia Definitivo para Deteco, Eliminao e Proteo contra Malwares ser atualizado sempre que for necessrio
(quando houverem novas verses dos programas citados) e para obter a verso mais recente deste guia, acesse a
pgina http://www.baboo.com.br/malware.
Este guia te ajudou ? Queremos saber ! Envie suas crticas ou elogios para malware@baboo.com.br. Dvidas sobre
o contedo deste guia devem ser postadas no Frum do BABOO pois no respondemos dvidas via e-mail.
Obrigado pelo seu tempo e at a prxima !
Baboo.
www.baboo.com.br
BABOO/MSN
MVP Windows
Pgina 31 de 32
Pgina 32 de 32