“Ultimamente, temos percebido o quanto os antivírus têm se tornado pesados, lerdos e cada vez menos eficientes diante do farto nascimento de novas ameaças diariamente. Um programa mal intencionado, pode ter diversos meios de atuação. Sendo assim, fica difícil qualquer antivírus detectar todas as ameaças, incluindo spywares, keyloggers, etc. Mas há uma arma que podemos usar, muito fácil. Essa arma não requer o uso de nenhum antivírus. Requer apenas ?um pouco? de treinamento. Se souber usá-la, dificilmente você vai sofrer com qualquer tipo de ameaça, seja ela vírus, programas mal intencionados, keyloggers, spywares, trojans, etc.
Um dia resolvi não usar mais nenhum tipo de proteção, a não ser aquelas próprias do sistema, como firewall e algumas atualizações. As vantagens de não se usar um antivírus junto a um antispyware são inúmeras. Recomendo ler o parágrafo abaixo para saber oque irá encontrar neste tutorial. Caso não se interesse, não será preciso ler muito. Preparei também uma seção de dicas, no rodapé do artigo. Mesmo que não se adapte ao método autoclean, as dicas são bem interessantes.
Parece ser cômodo ter uma ferramenta que elimine todo tipo de ameaça. Mas infelizmente, a coisa não funciona como deveria. Usei dezenas de antivírus, antispywares, antimalwares e só oque percebi é uma significativa perda de desempenho e um resultado não muito empolgante. Na maioria dos casos, os anti-qualquer-coisa são ineficazes devido a constante mutação do mundo dos softwares mal intencionados. Devido a isto, surgiram algumas ?soluções? paralelas como o Hijackthis para ajudar na batalha, mas o que ele faz, nós podemos fazer melhor.
Quer se livrar do incômodo de usar um antivírus lerdo, preguiçoso e praticamente ineficaz? Você escaneia seu sistema a busca de spywares, o programa nunca acha nada, mas você percebe que o sistema está sob ataque de alguma coisa estranha?
Então já vou te desanimar logo de cara! Não existe poção mágica. A melhor delas, depende só de você. Eu já aprendi a dominar o sistema operacional que eu uso, diretamente ou indiretamente. Se você tiver paciência e querer aprender a fazer o serviço de um antivírus manualmente, você nunca mais vai querer voltar a usar um. A primeira vista pode soar um tanto quanto complexo fazer o serviço de um antivírus. Mas garanto que após você dominar as técnicas de remoção e as técnicas para se evitar vírus, quase nunca vai precisar fazer checkups e vai ver o quanto é fácil. Também existem exceções. Mas para essas exceções, também existe uma solução! Oque vou passar para os interessados é somente o básico, um empurrão ao caminho a que devem tomar. Existe muita coisa por trás disso e se você realmente quiser se tornar um expert em remoção de pragas, deve aprofundar mais no assunto. Em suma, existe sim como manter seu sistema sempre limpo, estável e a salvo de ameaças sem precisar abrir mão da agilidade do sistema com um programa trambolhão. Cabe a você querer aprender como.
Você também pode optar por utilizar um programa antivírus em conjunto com sua habilidade adquirida. Com o tempo, vai descartar o antivírus.
Como funciona
Todo programa, quando executado, gera um ou mais processos para o sistema operacional. Um processo, é uma instância de um programa ou de um comando em execução. Existem formas para gerenciar estes processos. Logo, existem formas para gerenciar todo programa que roda no pc. Logo, existem formas para gerenciar qualquer programa, seja ele do mal, ou do bem. Basicamente é isso que precisamos para entender o tutorial, porém, recomendo uma leitura mais avançada sobre processos, sub-processos e threads. Google ajuda as vezes…
Ferramenta 1
Todo bom usuário do Windows conhece o gerenciador de tarefas, o famoso, CTRL+ALT+DEL. Mas não vamos usar ele. E não vamos usar ele, simplesmente porque existem programas mal intencionados que desativam a chamada do gerenciador de tarefas do Windows. Para nosso serviço, usaremos o Process Explorer.
Escolha a versão correta para seu sistema operacional. No tutorial usarei a versão para Win XP.
O programa é gratuito.
Ferramenta 2
Provavelmente você já deve ter tentando deletar algum arquivo em uso. Certamente, deparou-se com uma mensagem de erro. Com o Killbox, isso não vai mais acontecer. Vamos precisar dele também, baixe-o. Também é gratuito.
Conhecendo os Programas
O Process Explorer (a partir de agora, PE) vem compactado e não tem instalador. Basta descompactá-lo para uma pasta qualquer e executar o arquivo procexp.exe.
Bem vindo a um gerenciador de tarefas expert! O PE reúne diversas informações sobre processos, uso da cpu, memória, etc. Não precisamos conhecer o programa integralmente para usarmos. Antes de prosseguir, passeie pelos menus do programa para familiarizar-se. Clique no menu View -> Select Columns. Marque todas as opções disponíveis e clique em OK.
No quadro a esquerda, seguem os processos e seus sub-processos. Observe como tudo é mais organizado do que o gerenciador do Windows. A direita, temos um quadro com informações dos processos, como o ID (PID), parcela que está usando na CPU, uma breve descrição, nome da companhia, nome do usuário que iniciou o processo, título da janela (se tiver), sessão, diretório aonde está o programa/arquivo que instanciou o processo (isso é muito importante!), e estado da janela. Vou ressaltar novamente, que quero deixar o tutorial prático e objetivo. Quem se interessar em conhecer as peculiaridades do PE, pode ler o arquivo de ajuda, que está bem completo.
Vamos praticar um pouco. Abra o PE e maximize-o para melhor visualiação. Clique em Iniciar->Executar e digite notepad . O bloco de notas do Windows se abrirá. Agora, observe que um novo processo, chamado notepad.exe, é instanciado no PE. Feche o bloco de notas pelo botão fechar na barra de título e observe que o processo é destruído da lista de processos. Agora, abra novamente o bloco de notas. Vá ao processo correspondente a ele no PE, o notepad.exe, e clique com o botão direito do mouse. Um menu pop-up se abrirá com algumas opções. Clique em Kill Process Tree, e observe como a janela do bloco de notas se fecha e o programa se encerra. Oque você acabou de fazer foi finalizar o processo do notepad.exe, interrompendo a sua execução forçadamente. É isso que iremos fazer com as pragas!
Agora, precisamos aprender como diferenciar oque são processos do sistema e processos que o usuário abre. Repare que os processos possuem um campo User Name no quadro a direita. Quando nesse campo constar AUTORIDADE/XX SYSTEM (ou em inglês), ou AUTORIDADE /XX NETWORK, quer dizer que estes processos foram iniciados pelo sistema operacional, ou seja, não houve intervenção do usuário. Quando este campo constar o nome de seu PC e seu nome de usuário, quer dizer que este processo foi iniciado com a intervenção do usuário.
OBS: Mesmo processos que carregam automaticamente com o Windows podem constar como que abertos pelo usuário, porque o usuário teve de instalar o programa.
O Killbox é muito simples de ser usado. Também não requer instalação. Basta executar o arquivo .EXE que acompanha o pacote.
Usaremos o Killbox para apagar aqueles vírus que não podem ser apagados, porque ao terem seus processos finalizados, voltam a serem executados imediatamente, tornando assim, ?impossível? sua remoção pelo método comum. O campo ?End Explorer Shell While Killing File? deve estar sempre marcado para apagar esse tipo de arquivo.
O segredo da coisa!
Sempre que iniciamos o sistema operacional, seus processos necessários para funcionamento são carregados. Junto a eles, são carregados os processos que o usuário criou, carregados automaticamente pelo sistema. O grande segredo da coisa, é justamente saber diferenciar oque são processos do sistema (ou processos que você permite que estejam abertos) e processos maléficos. Abaixo segue uma imagem de um Windows XP limpo, sem nenhum processo aberto a não ser os que são do sistema.
Todos estes processos, com exceção do procexp.exe, que é o próprio visualizador de processos abertos, são os processos que você NÃO ?precisa? se preocupar . Aconselho a guardar esta imagem enquanto não decora quais processos são os originais do sistema. Ainda assim, existem vírus ou spywares que se disfarçam destes arquivos. Um dos mais comuns é o Isass*****. Geralmente o processo falso do Isass.exe leva um ícone diferente deste original, um ícone como o de um arquivo .html e é carregado pelo usuário e não pelo sistema. É comum também, processos maléficos se disfarçarem de svchost.exe. Normalmente haverá umas 5 ou 6 instâncias do svchost (podem haver mais ou menos, tudo depende de quais serviços sua máquina carreg. Para ver os serviços que sua máquina carrega, digite services.msc em iniciar->executar e aperte enter). O svchost são processos individuais do Kernel do Windows e levam consigo uma lista de outros serviços rodando nele. Aponte o mouse sobre qualquer um deles e espere um tempo. Aparecerá a lista dos serviços referentes àquela instância do Kernel. Caso desconfie de algum processo svchot.exe, deixe o mouse apontado sobre ele e observe se na lista de serviços consta alguma coisa estranha. Geralmente, processos disfarçados de svchost.exe carregam consigo somente o serviço do vírus. Nestes casos, é possível que se repare também um processo do vírus instanciado, mas ao desativá-lo, ele volta, justamente por causa do svchost.exe disfarçado que o está chamando toda vez que você o apaga. (este não é o único caso em que um vírus vai voltar) Também é possível que em um svchost.exe original esteja infectado e carregando o serviço de algum vírus. Outro fator de exceção importante são os parâmetros passados ao processo explorer.exe. Existem vírus ou spywares ou adwares que ao invés de instanciar um processo, agregam um parâmetro ao explorer.exe que carrega a sua biblioteca. Desta forma, a praga ficará rodando em sua máquina e você não enxergará o processo dela. Para resolver isso manualmente, basta pesquisar pelo Google por ferramentas feitas especialmente para aquele caso. Na parte de prática deste tutorial, mais abaixo, eu dei um exemplo de um vírus do tipo.
Quando você rodar o PE aí na sua máquina, dificilmente vai encontrar seus processos como na imagem logo acima. Saiba diferenciar também, os processos de Drivers de hardware que o usuário instalou. Na primeira imagem lá em cima, vocês podem notar um ou 2 processos que se chama ati2evxx.exe. A direita, observe o nome da companhia que criou o arquivo: ATI Technologies Inc. Obviamente este processo faz referência a meu driver de vídeo, da minha placa da ATI. Notem que uma outra sacada é observar o nome da companhia do processo. É importante para isso, que o usuário saiba oque tem dentro de sua máquina e suas devidas marcas. Procurem por processos como processos de software de placas de som, de vídeo, modems, etc.
Para gerenciar direito a sua máquina, você deve reconhecer tudo oque está rodando nela. Abra o PE e procure reconhecer entre os vários processos, quais são do sistema, quais são de programas conhecidos e quais são desconhecidos. Os desconhecidos, você pode conseguir alguma referência usando o campo PATH no quadro direito do PE. Neste quadro, consta o diretório em que o arquivo do processo está, como já citado anteriormente. Observe qual o diretório em que se encontra, a companhia que o criou, e quem o está chamando (usuário ou sistema).
Passos para identificar processos
1 ? Nome do processo
Processos comuns normalmente levam nomes referentes ao da sua aplicação. Processos maléficos podem levar o nome de qualquer coisa, desde nomes sem sentido ou com nomes referentes a alguma palavra, marca, etc. Por isso, é importante que o usuário saiba e decore quais são os processos que seu sistema normalmente carrega, para caso algum outro carregue, saiba diferenciar. Em caso de dúvida, use a criatividade. Procure pelo nome daquele processo no Google e busque informações sobre ele. Existem sites especializados em descrição de processos, um que costumo usar e acho muito bom, apesar de ser em inglês, é este.
Caso perceba que é algo maléfico, remova-o.
2 ? Nome da companhia
Quem conhece bem a máquina que tem, sabe das marcas dos programas instalados. Processos maléficos geralmente não levam marca, ou levam alguma marca estranha.
3 ? Caminho / Diretório
Processos maléficos gostam de residir em pastas do Windows, como a do system ou system32, ou até mesmo a pasta Windows, ou criar suas próprias pastas, das quais em geral, sempre levam o mesmo nome do processo.
Prática
Agora, vou rodar um spyware de exemplo em minha máquina (sim sim!) e mostrar a vocês, como eu o identifico e o removo. Vamos lá!
Primeiramente, identifiquei os spywares, porque nunca havia visto estes processos em minha máquina, pelo nome estranho que eles levam (isamonitor? Estaria monitorando algo?), porque não possuem uma companhia e estão colocados em diretórios estranhos, C:\Arquivos de programas\VideoCodec\ (nunca instalei esse programa!) e algumas pastas do Windows. Outro detalhe estranho é o rundll32.exe estar carregada logo após aquele processo. Sempre que ver o rundll32.exe carregado pelo usuário, desconfie.
Como proceder:
Finalizarei os processos do spy, clicando com o botão direito do mouse sobre eles e selecionando a opção Kill Process Tree. Mas antes disso, anotei aonde estes arquivos residem, pelo campo PATH no quadro direto do PE, para que manualmente eu possa ir lá e apagá-los. Anote também o nome exato dos processos. Caso um processo seja sub-processo de outro, você deve matar o processo pai. No meu caso, terminei o lafC.tmp, o pmsngr.exe (com ícone de warning) e o isamonitor.exe. Automaticamente os processos filhos destes foram destruídos. Caso também um processo insista em voltar assim que você o apaga, simplesmente vá ao diretório aonde ele se encontra e apague-o usando o Killbox com os parâmetros passados acima. Mas ainda não terminou!
OBS: alguns processos maléficos possuem instaladores. Vá no painel de controle do Windows, adicionar/remover programas, e tente encontrar alguma entrada relativa. Se encontrar, clique e remova. Na maioria das vezes esse não vai ser o caso.
Como garantir que estes processos não vão mais voltar?
Simples. Existe uma ferramenta no Windows, chamada de msconfig. Com ela, você pode editar as entradas de programas que carregam automaticamente com a inicialização do Windows. Para acessar a ferramenta, clique em iniciar->executar e digite msconfig. Pressione enter, e vá na útlima aba, Inicializar. Aí constam todos os programas que inicializam automaticamente com o Windows. Localize os processos que acabou de matar. Geralmente eles estão com o mesmo nome, senão, observe que na direita consta também o diretório em que ele se encontra. Observe a linha integralmente, e repare que o nome do arquivo estará no fim da linha. Esse nome é o mesmo nome do processo que você matou. Desmarque toda e qualquer entrada destes processos.
Próximo passo:
Matar só os processos não adianta, temos de apagar também os arquivos!
Lembre-se sempre de anotar aonde esses arquivos residem antes de terminá-los para que você possa eliminá-lo de uma vez por todas de sua máquina. Se ao tentar apagar um arquivo e não conseguir por ele já estar em uso, apague-o usando o Killbox com os parâmetros passados acima.
Certo, matei os processos e apaguei os arquivos. Agora, com o nome dos processos, vou apagar as suas entradas no registro do Windows, caso haja alguma. Clique em iniciar->executar e digite regedit. Esse é o editor de registro do Windows. Aperte a tecla F3 e faça uma busca no registro pelo nome dos processos que finalizou e deletou. Se houver alguma entrada com o nome EXATO daquele processo, exclua.
Após tudo isso, minha máquina pareceu estar limpa. Quando reiniciei o PC percebi que um ícone do spy na bandeja do Windows ainda continuava enchendo o saco. Ora, mas deve haver algum processo por trás daquele ícone! Mas para meu azar, não havia nada a vista nem na lista de serviços dos svchosts. Então, certamente esse tipo de processo tem sua biblioteca carregada como parâmetro para o explorer.exe. E aonde estará essa biblioteca? E como apagar os parâmetros? Dará muito trabalho localizar todas essas informações, então, cliquei no ícone do spy, que estava na bandeja e carregou-se um site, chamado VirusBurst. Então, usando a criatividade, fui no Google e pesquisei pelo VirusBurst e encontrei facilmente uma ferramenta de remoção feita especialmente para ele, chamada SmitFraudFix. Baixei, executei e pronto! Agora sim, tudo eliminado.
Esse meu caso, foi só um exemplo. Na maioria dos casos, somente o passo de eliminar os processos da memória e apagar seus arquivos já resolverá o problema. Mas como sempre existem exceções, demonstrei um caso ?dos piores?.
Tenha sempre em mente, que apesar de estar manuseando os processos do seu sitema, você sempre pode deixar escapar algo e ainda, não pode saber se o vírus é vírus, se não rodá-lo. Entradas de cookies infectadas, (geralmente casos insignificantes) e arquivos infectados na pasta temporária da Internet também são muito comuns e você não pode ter controle do que entra e sai. Para isso, preparei algumas dicas, porque tão importante quanto remover um vírus é saber evitá-lo.
Dicas
-Mantenha seu sistema operacional sempre atualizado!
-Desconfie de arquivos executáveis (Exe, .com) de tamanho muito pequenos, algo entre 10 e 100 Kbytes. Tenha certeza se aquele programa que você busca pode ser tão pequeno quanto
-Ao usar programas p2p, como o Kazaa, Shareaza, leve em conta também o item acima. Se você estiver baixando uma música, deve saber que uma música em MP3, WMA ou seja lá o formato, não pode ter tamanho menor que ~500Kbytes, a menos que seja um som curtinho ou um com uma qualidade horrível. A busca por arquivos em redes p2p pode retornar muitos vírus disfarçados. Sempre estes vírus possuem uma parcela de fontes enormes, uma banda altíssima e eleito o melhor entre todos. Tudo isso para atraí-lo.
Fiz uma busca por músicas, pelo artista e a busca me retornou uns arquivos estranhos, fazendo mix com o nome que passei como parâmetro da busca e palavras sem sentido, como ?realease?, ?serial?, ?uncensored?, etc. Observe o tamanho desses arquivos, entre 100 e 400 Kbytes. Uma música não pode ter esse tamanho minúsculo!
- Ao receber emails com links, antes de clicar, aponte para o link e observe na barra de status para aonde o link o levará se você clicar. Se no endereço que aparecer, o final (as útimas 4 letras do endereço) for algo com .scr, .exe ou .com, pode ter certeza que é vírus, a menos que seja algo que você saiba de quem está vindo.
- Sites de pornografia adoram instalar porcarias nas máquinas. Se você não consegue viver sem tais sites, NUNCA instale nada que o site te pedir. Por isso é importante manter o sistema e o navegador atualizado, assim ele o avisará se algo tentar se auto-instalar sem a sua permissão. Não instale, mesmo se não tiver outro jeito de prosseguir no site! Arranje outro site, ou vá ler um livro!
- Apague regularmente os cookies do seu navegador e os arquivos temporários da Internet. Aqui eu apago toda semana, 1 vez. Para fazer isso, basta ir em opções no menu ferramentas do navegador.