06/02/2015

Comolimparumcomputadorinfectado?LEIAISSOANTESDEPOSTAR|AVGForums

Como
limparum
computador
infectado?
LEIAISSO
ANTESDE
POSTAR

#3163

umelec

Comolimparumcomputadorinfectado...(Revisadoem30/08/08)
porRandyD.Stafford
26denovembrode2004
Revisadoem30deagostode2008

Snior
Datadeincluso:
30.3.2009
Posts:30

Hojeemdia,limparumcomputadorinfectadoestcadavezmaisdifcil.Paralimparseusistemademodoeficaz,precisoprimeiro
conhecerumpoucosobreoquevocesttentandoeliminarequaisasferramentasnecessriasparaconcluiressetrabalho.Vou
tentarpassaravocumpoucodoquesesabesobreessaspestese,emseguida,obsicoparaselivrardelas.Hojeemdiahuma
variedadedepragasquepodeminfectarseucomputador:vrus,worms,cavalosdeTriaespywares.Chamotudoissodemalware,
jqueessapalavraparecedescrevermelhortodaaespcieeabrangeproblemasrelacionadosavruseaspywares.Prefirousar
umaabordagemmltiplaparacombateromalware,entoutilizovriossoftwaresparalocalizloeeliminlo.Esperamosque,com
umpoucodesseconhecimento,vocsejacapazdesaberquaisferramentasusarequandouslasparapoderlimparoseu
computadordomalwarequepoderenfrentar.
Osvrusforamosprimeirosbugsdecomputador,eosoftwareantivrus(AV)foicriadoespecificamenteparadetectloseelimin
los.Oswormssoumpoucodiferentesdosvrus,porissoosoftwareAVdemoroumaistempoparadetectlos.Emseguida
surgiramoscavalosdeTria.Estessodiferentesdosvrusedosworms.Naverdade,elesseaproveitamdafragilidadeinerenteao
softwareantivrus.Porexemplo,amaioriadoscavalosdeTrianaverdadetentaseesconderdosoftwareantivrus.Elestrabalham
deforma"maisinteligente",criandocpiasocultasdesiprpriosparaque,quandoforemdetectadoselimpos,possamreinfectaro
computadorcomacpiaocultalogoapsosoftwareAVlimparainfecooriginal.Basicamente,oscavalosdeTriasoopior
pesadelodossoftwaresAVsimplesmenteporqueosoftwareAVnofoidesenvolvidoparadetectaressetipoespecficodeameaa.
Hoje,osoftwareAVmuitomelhornadetecodetodosostiposdemalware.ComolanamentodoAVG8.x.xxx...eleagora
combinaumantivruscomumantispywareparaajudarosusuriosacombaterproblemasrelacionadosavruseaspywares.
Ospywarenoumanovaespciedemalware.simplesmenteumacombinaodevriosexploitsdecomputadoreutilizavrias
combinaesdescripts,cavalosdeTriaeworms.AtualmenteelesseutilizamaomximodoscavalosdeTria,jquesomais
difceisdedetectaredelimparapropriadamente.Osoftwareantispyware(AS)foicriadoespecificamenteparadetectarelimpar
essetipodemalware,ento,noquedizrespeitoacavalosdeTriaealgunsworms,ASouumacombinaodesoftwareAV/AS,
estmuitomelhorequipadoparacombateressemalqueostipossomenteAV,comoasversesanterioresdoAVG.
Umanovavariantedespywareotipodesoftwaremalware"invasor"("Rogue").Essetipodesoftwarefingeserumutilitrio
prtico,comoumantispyware,umantivrus,umutilitriodelimpezadoRegistroe/oudodiscorgido,masrealmenteseunico
objetivovenderparavocumsoftwareintilouinstalaroutrospywarenoseusistema.Elesfazemissoidentificandofalsamente
quevocestinfectadoouafirmandoquevoctemoutrosproblemasquepodemafetarodesempenhodoseusistema.
Normalmenteelessoinstaladossemoseuconhecimento,usandoomtodode"instalaodriveby"quandovocvisitavriossites
malintencionados.
HtambmumoutrotipodeprogramaqueoAVGegrandepartedosbonssoftwaresAVdetectaroeelesdetectadodevidoao
potencialriscodeseguranaqueapresenta,apenasrepresentandoriscoquandoousurionotemconhecimentodesuaexistncia.
OAVGchamaessetipodesoftwaredeProgramasPotencialmenteIndesejveis(PUPs)...outroschamamdehacktool,riskwareou
simplesmentedizemque"novrus".Normalmentesoutilitriosmuitoprticos..mas,comotambmpodemserusadosparao
mal,oAVGeoutrosutilitriososdetectaroparaqueousuriofiquecientedesuaexistncia.Soexemplosdessetipode
programaosutilitriosquerecuperamsenhasperdidas,chavesdesoftwareperdidas(comoachavedeinstalaodoWindows),
verificadoresdeIP,softwaresdecontroleremotoeumavariedadedeutilitriossemelhantes.Sevoctiveralgumdessesinstalados
noseusistema,excluaosdadetecoaserfeitacomoutilitriodeverificaodemalware...ouentopelomenosnoosremova
quandoforlimparosistema.Lembresedequeelesnosomalwaresenodanificamoseusistema,MAS,sevocnotem
conhecimentodaexistnciadeles,podeserumsinaldequeumhackerocolocoualiparalhecausaralgummal.Umaregrinha
rpida:sevoctemconhecimentodesuaexistncia,deixeonoseusistemacasocontrrio,coloqueoemquarentenaedepois
verifiqueoquedeverdade.
Suponhoqueeudevaabordarumltimoassuntoantesdemudarparaasetapasdelimpeza...Cookiesderastreamento.OAVG,
assimcomoamaioriadosutilitriosantispyware,detectaessescookiesecadaqualpossuiumalistaespecficaediferentedosque
seroencontrados.ElesNOSOMALWARES..elesnocausammalesnemdanosaoseusistema.Noentanto,elesrepresentam
umapotencialinvasodeprivacidade,poispodemserusadosparacontrolarseushbitosdenavegaonaInternet.Portanto,a
menosquetenhaconfiguradoseunavegadorparabloquelosouqueuseumutilitrioespecializadoparafazerisso...elessero
sempredetectados.Nofiquealarmadocomapresenadeles...elimineossequiser(eusemprefaoisso),massaibatambmque
elesretornarodaprximavezquevocvisitarumsitequeosuse.
Primeiro,vocprecisardealgunssoftwaresparaajudlo.Osprogramasaseguirsoosqueeuuso.Almdeeuconfiarneles,
elessogratuitosparausopessoal.Asempresasquefornecemosoftwaregratuitotambmfornecemosoftwarequeelesvendem
paraambientecomercial.Normalmente,asversesgratuitassoboasdamesmaforma,masnopossuemtodososrecursosque
tornamasversescomerciaisaindamaisatraentes.
Softwareantispyware
ParaWindows98eposteriores
SpybotS&DVocpodeencontrloemhttp://www.spybot.info/en/spybotsd/index.htmlAversomaisrecentea
v1.6.2.46
(NOTA:AoinstalaroSpybot,recomendoquevocdesativeaopoTeaTimer,quevemativadaporpadro,paraqueelanoafete
seusesforosdelimpeza.Sequiser,poderativladepois,massfaaissoquandoterminardelimparosistema.)
SomenteparaWindows2000,WindowsNT,WindowsXP,Vista7
MalwareByte'sAntiMalwareVocpodeencontrloemhttp://www.malwarebytes.org/mbam.phpAversomaisrecente
av1.34
Softwareantivrus
ParaWindows2000,WindowsXP(inc.versode64bits)eVista(inc.versode64bits)
AVGTechnologiesFreeEditionVocpodeencontrloemhttp://free.avg.com/doc/5390/us/frt/0?prd=affversoem

data:text/htmlcharset=utf8,%3Ctable%20class%3D%22normalBorder%22%20cellspacing%3D%220%22%20cellpadding%3D%220%22%20style%3D%

1/4

06/02/2015

Comolimparumcomputadorinfectado?LEIAISSOANTESDEPOSTAR|AVGForums
ingls,http://gratis.avg.it/it.download?prd=afeversoemitaliano,http://free.avg.de/download?prd=afeversoem
alemo,http://gratuit.avg.fr/telecharger?prd=afeversoemfrancs,http://free.avg.com/jp.5390?prd=afeversoem
japons,http://free.avg.com/brpt.download?prd=afeversoemportugusdo
Brasil,http://free.avg.com/nl.downloaden?prd=afeversoemholands,http://free.avg.com/laes.5390?prd=afe
versoemcastelhano,http://free.avg.com/pl.5390?prd=afeversoempolonsehttp://free.avg.es/5390?prd=afe
versoemespanholAversomaisrecenteav8.5.285
Primeirobaixetodososprogramasacimaedepoisinstaleos.Depoisdeinstallos,PRECISARatualizlosparateraproteo
maisrecente.Sevocnoatualizaressesprogramaseforinfectadocomosparasitasmaisrecentes,nopoderdetectlose
limplosdoseucomputadorcomeficcia,entolembresedeatualizar,atualizareatualizar.Amaioriadosarquivosdedefinio,
senotodos,soatualizadosdiariamente.
Agoraquevocbaixou,instaloueatualizoutodososutilitriosacima...imprimaesteartigoparaquepossaconsultlo
posteriormenteedesconecteseucomputadordaInternet.Estaetapaimportanteeremoverummeioqueomalwarepodeusar
parareinfectarseucomputador.
ComolanamentodoAVG8.x,agoracombinandoantivruseantispywareemumproduto,passeiafazeraverificaocomele
primeiro,emvezdecomeleporltimo,poiseleagoraestdetectandomaismalwaresqueosoutros.Tambmusoosdiversos
pacotesdesoftwaresAVemumaordemespecfica,paraqueeupossatentarresolverosproblemasmaisdifceisprimeiroeosmais
fceisporltimo.
Desativararestauraodosistema
OWinMEeoWinXPtmumrecursointeressante,chamadoRestauraodosistema.Eleusadopararestaurarumaconfigurao
anteriordoseucomputadorcasohajaalgumproblema.Onicoproblemaqueissonofoifeitocomomalwareemmenteemuitas
vezesnoseconseguesaberadiferenaentreumarquivoinfectadoeumarquivobom.Assimseriapossvelrestaurarcoma
mesmafacilidadeumarquivoinfectadoseeleestivesseemumareaprotegida,reinfectandodefatoseucomputadorlogoaps
voctlolimpado.Porcausadisso,recomendasedesativaraRestauraodosistemaantesdevocfazerotestee,depoisde
fazlo,ativlonovamenteparaquevoccontinuesendoprotegidodosproblemaspadrodecomputador.
ParaWindowsME
CliqueemIniciar,Configuraese,emseguida,cliqueemPaineldecontrole.
CliqueduasvezesnoconeSistema.AcaixadedilogoPropriedadesdosistemaexibida.
NOTA:SeoconeSistemanoestivervisvel,cliqueem"ExibirtodasasopesdoPaineldecontrole"paraexibilo.
CliquenaguiaDesempenhoe,emseguida,cliqueemSistemadearquivos.
CliquenaguiaSoluodeproblemase,emseguida,cliqueemDesativarrestauraodosistema.
CliqueemOK.CliqueemSim,quandoforsolicitadoareinicializaroWindows.ParaWindowsXP
CliqueemIniciar.
CliquecomobotodireitodomousenoconeMeucomputadore,emseguida,cliqueemPropriedades.
CliquenaguiaRestauraodosistema.
Selecione"Desativarrestauraodosistema"ou"Desativarrestauraodosistemaemtodasasunidades".
CliqueemAplicar.
QuandoaRestauraodosistemafordesativada,ospontosderestauraoexistentesseroexcludos.Parafazerisso,cliqueem
Sim.
CliqueemOK.
ParaWinVista
1.AbraoSistemaclicandonobotoIniciar,clicandoemPaineldecontrole,clicandoemSistemaeManutenoe,emseguida,
clicandoemSistema.
2.Nopainelesquerdo,cliqueemProteodosistema.Seforsolicitadaumasenhadeadministradorouumaconfirmao,digitea
senhaouforneaaconfirmao.
3.ParaativaraProteodosistemadeumdiscorgido,marqueacaixadeseleoaladododiscoe,emseguida,cliqueemOK.

ExaminaratentamenteaopoAdicionar/RemoverprogramasdoWindowsprocuradeprogramassuspeitos
Muitasdasameaasdespywarenaverdadesoinstaladasnoseusistemacomoumprogramacomum.Muitospodemparecer
utilitriosprticos,mas,narealidade,noso.Procurebarrasdeferramentassuplementaresenquantobarrasdeferramentas
comoasfornecidaspeloGoogle,peloMSN,peloYahooeporoutrasferramentassoexcelentesutilitrios,hmuitasoutrasqueno
so.Seestiveremdvida,verifiqueseaquevocpossuinoumparasita.Outrosexploitscomunssoosauxiliaresdepesquisa,
WinTools,produtosGator,IEHelper,CometCursoremuitosoutros,sparacitaralguns.Osprogramaspontoaponto(P2P)so
umaoutrafontecomumdessesexploitsemesmoosquenovmcomospywaresrepresentamumaltoriscodeseguranaque
podelevarinfecodoseusistemaoupropagaodeinfecescomoessas.Removatodososprogramassuspeitos.Sevoc
removeracidentalmenteoitemerrado,semprepoderreinstalloposteriormente.
Executaralimpezadodisco
NaverdadevemcomoWindowseinstaladaporpadrodesdeoWindows98.Vocpodeencontrarestaopoclicandonoboto
IniciareindoatProgramas/Acessrios/Ferramentasdosistema/Limpezadodisco.Recomendoaseleodetodasessasopes,
menosadeArquivosdeconfiguraodoOfficeeadeCompactaodearquivosantigos,casoostenha.Apesardevocpoder
selecionlas,elasnosomuitoimportantes.Elaslimparotodososarquivostemporriosparaqueseutestesejafeitomais
rapidamenteetambmpoderoexcluirosspywaresquevenhamaestarocultos,seospywareaindanoestiveremexecuo.
ParalimparsistemasquepossuemRestauraodosistema,vocprecisarselecionarasegundaguiaeclicarnobotodelimpeza.
ExecutaroAVG8.x.xxx
Amaioriadosprogramasantivrus,incluindooAVG,tmcomopadrodeconfiguraoverificarsomentearquivosexecutveisna
tentativadeagilizaraprocuradeinfeces.Apesardeissodarcertonamaioriadasvezes,asmaisrecentesameaasquepodem
infectarseucomputadorcomearamaocultarmelhorseusarquivos,facilitandoareinfecodosistemaseoseuprogramaantivrus
tiverdetectadoeremovidooarquivoexecutvel.Paraajudaradetectartambmessesarquivosde"backup"queainfecodeixa
noseusistema,naminhaopiniovocdevefazeralgumasalteraesnoqueverificadopeloseuAVGduranteessestestesem
vezdeverificarapenasarquivosexecutveis,verificartodososarquivos.
ParaalterarasconfiguraesdoAVGduranteumaverificao,abraaInterfacedoUsuriodoAVG.
CliquenaguiaVerificadordocomputadore,emseguida,nareaVerificarocomputadortodo,selecioneAlterarconfiguraes
deverificao.DesmarqueVerificarsomentearquivosinfectveiseassinaletodasasoutrasmarcasdeseleocomas
opesDesinfectar/RemoverinfecesautomaticamenteeVerificarcookiesderastreamentoqueeudeixareivocdecidirse
desejaativadasouno.
AgoraoAVGverificartodososarquivosquandovocverificarseucomputador.Vaidemorarmais,squeeuconsideroumpreo
baixoapagarpelaseguranaadicional.

data:text/htmlcharset=utf8,%3Ctable%20class%3D%22normalBorder%22%20cellspacing%3D%220%22%20cellpadding%3D%220%22%20style%3D%

2/4

06/02/2015

Comolimparumcomputadorinfectado?LEIAISSOANTESDEPOSTAR|AVGForums
ExecutaroMalwareByte'sAntiMalware
SelecioneexecutarumaverificaocompletaecliquenobotoVerificar.Esteoutroutilitrioespecializadoquenosvisaao
spyware"invasor"("Rogue")comoaoutrosmalwarestambm.Atualmentevisaaosmalwareseroguesdemaisde931
fornecedores(osautoresdosmalwares).Omalwarevisadonestacategoriasempreatualizadoporseusautores,devidoao
potencialqueelestmdefazerdinheiro.Assimcomodevefazercomtodososutilitriosantisypware,atualizeocomfreqnciae
antesdecadausoparaterumamargemdecombateaessemalware.
ExecutaroSpybotSearchandDestroy
Quandovocoexecuta,eleselecionaautomaticamentetodososspywaresqueeleencontra.Casohajaalgoquenoqueira
eliminarporalgummotivo,canceleaseleoedeixeoSpybotresolvertodososoutrosproblemasquesurgirem.Esteprograma
tambmpedirquevocreinicieoseucomputadorparaqueelepossafazerotestenovamente.Casohajaproblemaparaalguma
remoo,deixeparal.
ExecuteasverificaesnovamentenoMododesegurana.Issoimpedirocarregamentodevriosdosparasitaseelespodero
continuarseocultandodoseusoftwaredeproteo.ParaacessaroMododesegurananamaioriadasversesdoWindows,
comecepressionandoatecla[F8]apsiniciarosistemapelaprimeiravezoureinicilo,comeceapressionlaatverumatela
splashdoWindowsecontinueatchegaraomenu,ondepoderselecionlonalista.NoWinNT,elesechamaModoVGAenoWin2k
naverdadevoccomeaapressionaratecla[F8]assimquemostradaaprimeiratelasplash.Paraobterinstruesdetalhadas,
consulteReiniciandoseucomputadornomododesegurana
Essesprocedimentosdeveroterlimpadoamaioriadoscasosdeinfecoquevocencontrar.Sim,eudisseaMAIORIA,poish
algumasinfecesquesomuitodifceisdedetectareremover.Emgeral,sevoctemumadelas,precisardaassistnciadeum
especialistaparaajudloaselivrardela.
Quandoacreditarqueterminou,lembresedeativaraRestauraonovamenteseativerdesativado.
Recomendoquetestesehparasitascomamaiorfreqnciapossvel,aomenosumavezporms.Quandomaisrpidodetect
los,menosdanoelaspoderocausaraoseucomputadoremenoschancedeumhackerencontrarsuasinformaesconfidenciais,
comoinformaesdecontacorrente,senhasetc.
DicadoWindows
Porpadro,oWindowsemsiocultadousuriodeterminadosarquivos,pastasdosistemaouextensesdearquivoparafacilitara
navegao.Sevocprecisalocalizarumarquivoinfectadoousimplesmenteumqueestejaprocurando,issopoderfazercomque
noconsiga.Sequiser,mudeestaopoparaadeexibiodetodososarquivosdoseucomputador.
AbraoconeMeucomputador(nareadetrabalhoounomenuIniciar).
CliquenomenuFerramentaseselecioneOpesdepasta(emsistemasmaisantigos,podesernomenuExibir).
SelecioneaguiaExibirerolepelasConfiguraesavanadas.
Ativeoudesativeasseguintesopes(usandoumamarcadeseleoparaativlas):
ativeMostrararquivosepastasocultos.
desativeOcultarextensesdetiposdearquivosconhecidos.
desativeOcultararquivosprotegidosdosistemaoperacional(somenteWinMEeWinXP)
AgoracliqueemAplicareemOk
ParainformaessobreoVista.consulteestelink:http://www.howtogeek.com/howto/windowsvista/showhiddenfiles
andfoldersinwindowsvista/.
Comoencontrarumainfecoincorporada
OAVG8Freeagoradetectainfecesemreasquenoconseguiadetectarantes.Asmaisnotveissoasincorporadasem
arquivamentos.ComooAVGnopodeidentificarsevoccriouoarquivamentoousefoiumparasitaqueocriou,essasreasno
sofreminterferncia,paraquevoctenhaapossibilidadederecuperardoarquivamentoosarquivosnoinfectadosedepoiss
preciseexcluiroarquivamentoquandoterminar.Infecesdentrodeumarquivamentonosoumaameaadiretaaoseusistema,
amenosqueoarquivosejaextradoparapermitirsuaexecuo.AGrisoftescolheuessemtodoporqueelemaisseguroparaos
seusdadosqueoarquivamentopodeconter.
Paraquemnuncaviuessasinfecesincorporadas,podeserumtantoconfusoomodocomooAVGlistaoarquivo,poiseletambm
incluionomedoarquivodearquivamentoqueocontmnocaminho/nomedearquivocompleto.Vejaaseguirumexemploqueeu
crieiparadestacarasinformaesafimdequevocsaibaquenomedearquivoprocurardemodoquepossaextrairarquivose/ou
excluiroarquivocorreto.Voucolorirocdigoparavoc,masoAVGnofarisso.
OAVGfornecerumnomecomo...
C:\Windows\Temp\InfectedArchive.cab:\InfectedFile.exe
OarquivoestlocalizadoemC:\Windows\Temp
OarquivamentoquecontmainfecoInfectedArchive.cab
EoarquivoinfectadorealdentrodoarquivamentoInfectedFile.exe
Observeo":\"queseparaoarquivamentodoarquivoqueelecontm.
Depoisderecuperarosarquivosdentrodoarquivamentoquevocpodequerermanter(diferentedoinfectadoqueestl),basta
excluiroarquivamentointeiro..nesteexemplo,oarquivoaserexcludoseriaInfectedArchive.cab
Parecemaisdifcildoquerealmente..lembreseapenasdequeonomedoarquivoquevocdesejaprocurarencontraseantesdo
ltimosinal":\"
Namaioriadasvezes,vocnoterarquivosarecuperardentrodosarquivamentos.Issosnoserverdadesersevocmesmo
tivercriadoumarquivamento.Sevocnotivercriadoumarquivamento..bastarexcluireseguiremfrente.
Rootkits
OsRootkitssooutroassuntocomplexoqueconfundeosusurios.Oprincipalproblemaqueamaioriadosusuriosassumeque
rootkitssomalwareissonoverdadeenecessrioentenderisso.
ATecnologiaRootkitfoidesenvolvidaparaocultarcertosprocessosearquivosdosistemaedosprpriosusurios.Essesprocessos
ouarquivosnormalmentesocrticosenodeveriamseracessadosdiretamentepelousurio.Umarquivoqueservecomoexemplo
oWindows$MFT...conhecidocomoMasterFileTablequeutilizadoparaguardarinformaessobredadosdosistema
operacional,pensenelecomoondicedeumlivro,masaoinvsdissoondicedoseucomputador.Issosignificaquebasicamentea
tecnologiaparaocultarcertascoisasdeveserinseridadentrodosistemaoperacionalporummotivo.Todosossistemas
operacionaismodernos(WindowsNTesuperiores,MACOSX,Linuxetc)possuemessahabilidadeportantocorremoriscode
sofrerproblemascomrootkitsutilizadoscomomalware.

data:text/htmlcharset=utf8,%3Ctable%20class%3D%22normalBorder%22%20cellspacing%3D%220%22%20cellpadding%3D%220%22%20style%3D%

3/4

06/02/2015

Comolimparumcomputadorinfectado?LEIAISSOANTESDEPOSTAR|AVGForums
Portanto,esteassunto,enquantofordointeressedosusurios,importantefalarderootkitsrelacionadoscommalwaresmasno
toimportantefalardosnorelacionados.Voctambmdevesaberquenosomenteosistemaoperacionalqueutilizerootkits,
mastambmutilitriosquedevemficarocultosdealgumamaneiraparafuncionarcorretamenteoueficientemente.
Entoporqueimportante?Sevoc,comoumusurio,temrazesparaacreditarqueseusistemafoicomprometidoporum
rootkitmalicioso,voctambmdevesaberquenosedeveremoverosquenosomaliciosos.Existemrootkitsquenoso
malwaresuficientesparanosejapossvellistlos,oquetornaaconfirmaomaisdifciljquecomplexoconfirmarumrootkit
sevocnoconsegueencontrarinformaessobreele.
Esteartigonocontinhainformaessobrerootkitsanteriormenteporvriasrazes.Principalmente,porserumassuntomuito
complexenormalmenteendereadoaumusurioexperiente.Outrarazoqueenquantorootkitsexistemhumbomtempo,eles
noeramcomunsatagora,entonspreferimosfalardelesomenteagoraparanoconfundirosusurios.Almdisso,nopassado
muitosusuriosrecomendariamumaformataocompletedosistemaaoinvsdeencararummalwarecomplexporcausadas
ferramentasutilizadasnapocanoseremefetivasmasissoestmudando.Asferramentasmelhorarambastanteeagoramuitos
malwaresestocomeandoautilizerrootkitsparaseocultaremmelhoreentousuriossoforadosasepreocuparemcomesses
problemas.
Ento,assimcomoemoutrasreas,aotratardeumrootkitpotencialmentemaliciosoimportantetambmfazerumbackupdele
antesdesimplesmentedeletlo.
Amaioriadasferramentasdedeteconormalmentenolistamosrootkitsconhecidosdosistemaoperacional...masassimcomo
rootkitssoocultos,nopossvelerealmentenoexisteumamaneira100%corretadefazerissotodavez.Outilitriode
detecoderootkitquevocusaschegaaumcertoponto,eapsessepontodeveseconfiarnaexperinciadousuriopara
entenderosresultadosquesoexibidosparaeles.
OAVGFreepodedetectoralgunstiposderootkitutilizandosuasdefiniciesmaselenopossuirotinasespecficasdedetecode
rootkitcomoasversesprofissionaisdoAVG.IssosignificaqueoAVGFreepodedetectaroarquivomassomenteemcertas
circunstncias.OquefazcomoqueusuriosdoAVGFreeprecisemusaroutrosutilitriosemcasosondeumrootkitmalwarepode
sersuspeito.
UmdessesutilitrioschamadoGMER.NsnomencionaremosautilizaodoGMERaquijqueissodetalhadonoprprio
websitedoGMER.Vocpodefazerodownloademhttp://www.gmer.net...porfavor,leiaasinformaesdositeparaummelhor
entedimentoemcomousaroutilitrioassimcomoosexemplosfornecidosporeles.Aindamaisinformaessobrerootkitspodem
serencontradasnaspginasdoRootKitRevealeremhttp://technet.microsoft.com/enus/sysinternals/bb897445.aspx
Gmer!!!!ELEUMAFERRAMENTAPARAANLISELEMBRESEDEQUENEMTODOITEMENCONTRADOUMAINFECO!!!!Como
qualquerferramenta,seusadaimpropriadamentepodecausardanosporissosejacuidadosocomela.Maisinformaesnopost
abaixo.
Fimdopost
LembresedesercuidadosoUseEstesPassosporSuaPrpriaContaeRisco.
FaaodownloaddoGmernestewebsite:
http://www.gmer.net/
ExtraiaerenomeieoarquivoGMER.EXEparaoutronome(sefoifeitoodownloaddoarquivo)
ExecutoGMER
(aorenomearoGMER.EXEparaoutronome,umrootkitmalwarenovaiconseguirseseconderfacilmente)
SeforsolicitadoumresultadodeverificaocompletadoGmer,utilizeoboto"Scan"esigaaltimapartedessepost.
Seaprimeiraverificaorpidaencontrouumserviorootkit:
Exemplo:
Serviosystem32\drivers\gxvxcvpbvtumncstfvticowxrierpmyrdhrpp.sys(***hidden***)gxvxcserv.sys<ROOTKIT!!!
Escolhaaaba">>>"edepoisescolhaaaba"Services"
Encontreosserviosmarcadosemvermelho,cliquecomobotodireitoeescolhadisable/delete
reinicieocomputadoreexecuteoGmernovamente
Seaprimeiraverificaonoencontrounada,utilizeoboto"Scan"parafazerumaverificaocompleta.
Seasseguinteslinhasforemexibidasduranteoresultadodaverificao:
.textntoskrnl.exe!IofCallDriver
.textntoskrnl.exe!IofCompleteRequest
pareoteste,cliquecomobotodireitosobreeleseselecione"Restorecode"
fecheoGmereexecutenovamente
Seapareceremlinhassimilares(comamarcarootkitROOTKIT)noresultadodaverificaocomo:
File
C:\Windows\System32\drivers\gxvxcttwqpxcctxtbiqqbgilpidyndmyxtmhr.sys46592bytesexecutable<ROOTKIT!!!
escolhaaaba">>>"edepoisselecioneaaba"Files"
nogerenciadordearquivosencontreeselecioneosarquivosecliquenoboto"Delete"(vocdevefazerobackupprimeiro
clicandonoboto"Copy"porsegurana)eemseguidaremovlosclicandonoboto"Delete".
reinicieocomputadoreexecuteGmer
Sealgumserviorootkitfordetectadovriasvezesapsseguirospassosacima,ounosejapossvelexcluloatravsdoGmer(a
opoDeletenoestdisponvel),sigaospassosabaixo:
abaraoEditordeRegistros(menuIniciar>Executar>insira"regedit"econfirmeclicandoemOK)
localizeessachave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
encontreoserviodorootikitmencionadonalista,cliquecomobotodireitoeescolhaPermisses
selecioneaopo"Adiocionar",nocampodigite"Todos"eselecione"VerificarNomes"
confirmeasalteraespressionandoOK,OK...
agoradeveserpossvelclicarnoserviomencionadocomobotodireitoeescolher"Excluir"
reinicieocomputadoreexecuteoGmernovamente
Seorootkitaindanoforremovidoouvoctemoutrassuspeitas,porfavornosforneaoresultadodaverificaodoGmer:
apsaconclusodoteste,cliquenoboto"Save"
Principais

data:text/htmlcharset=utf8,%3Ctable%20class%3D%22normalBorder%22%20cellspacing%3D%220%22%20cellpadding%3D%220%22%20style%3D%

4/4