1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Guia Como limpar o pc de trojans, spy-wares e afins...

Discussão em 'Análises e Artigos - Internet, Redes e Segurança' iniciada por [ThunderS], 14 de Novembro de 2005. (Respostas: 3; Visualizações: 19229)

Estado do Tópico:
Fechado a novas mensagens.
  1. [ThunderS]

    [ThunderS] Power Member

    Bem.. Como ainda não existe aqui tal tutorial, vou eu fazê-lo, pois penso que irá ajudar muita gente. Vou tentar simplificar da melhor maneira possível.

    -> Digo já que não me responsabilizo pelos mal manuseamento dado ás informações neste tutorial.

    -> Digo também desde já que não respondo a provocações de alguém que considere que não é necessário fazer passo X ou Y. Ou que não se faz assim o assado, se sabem fazer melhor, força, contribuam com um Tutorial.

    -----------------------------------------------------------------------------------------

    Para começar é necessário ter os seguintes programas que podem arranjar facilmente:

    LISTA DE PROGRAMAS:

    -> http://www.lavasoftusa.com/software/adaware/ (é só clicar em Ad-aware Personal do lado esquerdo e depois em
    Download da página que abre.)

    -> http://www.safer-networking.org/pt/download/index.html (tocam na bandeira portuguesa e depois em download do lado esquerdo e de seguida, na nova página, em download à frente das palavras Spybot - Search & Destroy 1.4 - descrição do produto)

    -> http://www.download.com/3000-2085-10062969.html?part=65960&subj=dlpage&tag=button
    (Ao clicar no link acima basta depois tocar onde diz Download que automaticamente aparece a janela a pedir para salvar o programa. O site original do Active Ports é o http://www.protect-me.com/freeware.html, onde têm mais aplicações gratuitas que podem dar jeito)

    -> http://www.spywareinfo.com/~merijn/downloads.html (nessa página têm 2 programas que têm de "sacar" um é o STARTUPLIST e o outro é o HijackTHIS, está um por baixo do outro.)

    -> Caso não tenham, recomendo um Anti-Virus (há muitos gratuitos e há muitas threads a falarem sobre isso, por isso sintam-se livres para escolher).

    -> Firewall (Também há muitas threads a falarem sobre isso, sintam-se livres para escolher).

    -> Netcount (Também há muitas threads a falarem sobre isso e a ensinarem a instalar).
     
    Última edição: 18 de Novembro de 2005
  2. [ThunderS]

    [ThunderS] Power Member

    Bem, vamos então começar.

    Começamos pelo internet explorer (quem usar outro browser, descubra como é que eu não sei).


    -> Abrimos uma janela do I.E. e vamos a Ferramentas -> Opções da Internet
    [​IMG]

    -> Aparece a janela que está na imagem abaixo, e começamos a fazer a limpeza por ordem da numeração.
    [​IMG]

    -> Após o passo numero 4, passamos para a divisória correspondente ao "Conteúdo" e clicamos no local com o numero 1 onde se irá abrir a janela igual à do lado direito (ver imagem) e selecionamos tudo tal e qual como ilustra a figura (passo 2) e passamos ao passo 3.
    [​IMG]




    -> Fechamos o I.E. e passamos ao seguinte, pois o fim da limpeza ainda está longe. Por enquanto vamos continuar a limpeza, sem recorrer ainda aos programas que disse que seriam necessários. Vamos fazer a limpeza das "cenas" que ficam nas pastas do Sun Java. (Suponho que todos tenham o JAVA instalado no windows, pode é dar-se o caso de não ser o Sun Java, neste caso, salte este passo). Podem verificar na imagem onde se encontra a pasta. A parte referente aos "???????" será o vosso user name do windows. Certamente terão umas pastas com os mesmos nomes que as da imagem. Podem entrar dentro da pasta "File", "jar" e "tmp" e apagar todos os files que lá estiverem dentro.
    [​IMG]

    -> Saimos dessas pasta e vamos a outra.. em que os "???????" continua a ser o vosso user name do windows. Ai temos as pastas com o conteudo que deveria ter sido eliminado quando limpamos os cookies e o historico no I.E., mas podem entrar em cada uma das pastas e certificarem-se que não existe nada. Na pasta cookies, só lá devem ter um file chamado INDEX.DAT, esse o windows não deixa apagar (sem ser por outros processos), dentro da pasta historico, devem ter uma pasta "History.IE5" que lá dentro tb possui um index.dat e por fim devem ter na pasta "temporary internet files" têm outra que é "Content.IE5" que tb possui um "INDEX.DAT". Por fim podem apagar todos os files que estejam fora das pastas referidas nas linhas acima, ou seja, todos os files que estejam dentro da pasta "TEMP" (é possivel que aja algum que o windows não deixe apagar).
    [​IMG]
     
    Última edição: 18 de Novembro de 2005
  3. [ThunderS]

    [ThunderS] Power Member

    -> Agora sim.. vamos recorrer aos programas previamente referidos e mais tarde retomamos a limpeza manual novamente, caso seja necessário. Vamos começar por usar o Ad-Aware. Depois de instalado e executado aparecerá a janela que está na imagem abaixo. A primeira coisa a fazer é verificar se existem actualizações (updates) e para tal clicamos em "verificar actualizações".

    [​IMG]

    -> Se houver, o programa dirá e daremos a respectiva ordem para descarregar as actualizações, senão houver, aparecerá uma janela como na imagem abaixo e prosseguiremos clicando "OK -> Concluir -> Iniciar -> Avançar"

    [​IMG]

    -> Deixamos o programa revirar o disco de pantanas à procura de algo prejudicial e quando terminar dará o relatório final, dizendo se encontrou alguma coisa, o que encontrou e onde encontrou. Ou então, dá a boa noticia de que não entrou nada (tal como se pode verificar na imagem abaixo).

    [​IMG]

    -> Caso tenha encontrado alguma coisa, é dar a instrução para limpar, clicando em Avançar e seleccionado o que queremos limpar. Podemos escolher todas as coisas que aparecerem, até mesmo o "MRU List"

    [​IMG]



    -> Depois passamos ao SpyBot. Ao instalarmos e executarmos o programa, aparece-nos a janela da imagem abaixo...
    Começamos mais uma vez por procurar actualizações, clicando no botão com o numero "1".


    [​IMG]


    -> Se existirem actualizações, colocamos o "visto" no quadrado por trás das actualizações e fazemos o download, se não houver, aparecerá a janela da imagem abaixo e passamos ao passo "1".

    [​IMG]

    -> Depois do passo "1", aparecerá a imagem abaixo. Continuamos a seguir os passos e fazemos o primeiro. Em relação ao passo que está com um "?" fica ao critério de cada um e sobre ele não me vou pronunciar. Podemos agora passar ao passo "2".

    [​IMG]

    -> No passo numero "2" aparece a janela abaixo. Onde seguimos o passo "1", o que fará com que o programa comece a pesquisa de alguma coisa mal intencionada no nosso computador.

    [​IMG]

    -> No fim da pesquisa aparece o relatório, onde aparecerá tudo o que foi encontrado de errado (neste caso é proceder com a limpeza, dando permissão ao programa para limpar). Caso o programa não encontre nada, aparecerá a seguinte mensagem.

    [​IMG]
     
    Última edição: 18 de Janeiro de 2006
  4. [ThunderS]

    [ThunderS] Power Member

    -> Agora vamos usar o CWSherred. Abrimos o programa e tal como mostra a imagem, vamos procurar Updates e depois vamos fazer o respectivo Scan com a limpeza. Se houver algo a ser limpo, o programa faz de imediato.

    [​IMG]

    -> Agora corremos o programa Startup. Este programa vais mostrar tudo o que está a ser executado, tudo o que está para arrancar com o windows quer seja registo do windows ou não. E tudo o que está a aguardar para ser renomeado... Onde é exactamente aqui que se encontra o problema de muito pessoal.

    - Ora bem, nesta imagem abaixo, na bola 1, temos todos os processos que estão a ser executados. Se houver algum que desconheçam, podem verificar em que pasta se encontra e verificar se vos é familiar ou não. Se apenas disser que se encontra na pasta System32 e o nome do ficheiro não vos for familiar (ex: smss.exe, winlogon.exe, svchost.exe, etc) podem ir ao google e procurar informações sobre esse file. Para os mais conhecedores de informática, podem procurar o file e verificar as propriedades do mesmo e ver se é registado pela microsoft ou algo desse género.

    - De seguida (bola 2) podem verificar a lista dos programas que estão a arrancar com o windows.

    - Na bola 3, tem a haver com o user que estão a usar no windows.

    - Na bola 4, estão os programas que estão a arrancar com o utilizador (user) que fez o login no windows, nesse preciso momento.

    [​IMG]


    - Na bola 5, temos uma continuação da bola 4.

    - Bola 6 diz respeito a outras informações do windows, como o screen saver e etc...

    - Bola 7 também não é grave... (não querem que eu explique tudo não é?)

    - Bola 8 tem a haver com downloads feitos pelo windows para certos programas (macromédia, MSN, etc)

    [​IMG]


    -> E agora sim.. temos o momento da verdade.. que é o que causa muitas dores de cabeça a muita gente!!!!
    Aqui está.. BOLA 9. Nesta bola podem verificar que existe uma instrução de "rename", ou seja, renomear. Sempre que o windows for reinicializado, o windows irá fazer o que aquela linha manda, ou seja, renomear o file existente para outro nome e extensão. Aqui está o porquê de muita gente dizer que eliminou o trojan, mas que ele volta a aparecer. Foi por isso, que no inicio do tutorial eu mandei remover todos os temporários, pois normalmente é nos temporários que se encontram os trojans a ser renomeados. Basta, como referi, apagarem os files que estão a aguardar serem renomeados. Mais a frente verificaremos o regedit (registo) do windows, para verificarem que se tiverem esta linha no Startup, também a terão no Registo.

    [​IMG]






    O TUTORIAL CONTINUARÀ MAIS LOGO, POIS AGORA NÃO TENHO TEMPO PARA TERMINAR!

    A MEU PEDIDO A UM MOD, A THREAD ESTARÁ ENCERRADA ATÉ EU A TERMINAR, APÓS O QUAL PODERÃO COLOCAR OS POSTS!!

    1 abraço


    Peço imensa desculpa por ainda não ter terminado o tutorial, mas desde meados de Dezembro que a minha vida deu uma volta que eu não esperava e como tal não tenho tido tempo nem de vir à net. Mas felizmente a volta que a minha vida deu foi para o lado bom :)

    Vou tentar ter tudo terminado o mais depressa possivel, pois já só falta referenciar o REGEDIT e o netcount.

    1 abraço e mais uma vez as minhas sinceras desculpas a todos.
     
    Última edição: 18 de Janeiro de 2006
Estado do Tópico:
Fechado a novas mensagens.

Partilhar esta Página