como remover um v rus manualmente · pdf filecomo remover um vírus manualmente abril,...

Como remover um vírus manualmente Abril, 2008 Paulo Menezes, Newton Bernardo ©Copyright

1


2

Índice

1. Sobre os autores ........................................................................ 3

2. Agradecimentos ........................................................................ 4

3. Introdução ........................................................................ 5

4. Removendo o vírus ....................................................................... 6

5. Conclusão ........................................................................ 20

6. Bibliografia ........................................................................ 21


3

1. Sobre os Autores

Paulo Menezes Mendes de Carvalho

Ocupação: Estudante de Engenharia Informática na Universidade Católica de Angola,

frequenta o 4º Ano.

Passatempos: Filmes, música, praia, desporto.

Contactos: [email protected]

Newton Domingos Bernardo

Ocupação: Estudante de Engenharia Informática na Universidade Católica de Angola,

frequenta o 4º Ano.

Passatempos: Filmes, desporto, música.

Contactos: [email protected]


4

2. Agradecimentos

Antes demais gostaríamos de saudar todos os colegas e amigos que de forma directa incentivaram-

nos à criação desta pequena apostila sobre como remover vírus em sistemas operativos Windows.

Àqueles que de forma indirecta contribuíram, espantando-se sempre e pondo cara de incrédulos,

com a informação vinda de nossas bocas que não é preciso um antivírus para eliminar um vírus,

agradecemos, pois não gostamos de ser mal compreendidos, e gostaríamos de quebrar o mito com a

criação desta apostila.

Gostaríamos também de agradecer ao Prof. Doutor Engº Aires Veloso, Professor e Director da

Faculdade de Engenharia da Universidade Católica de Angola, pelo tempo dispendido em todas as

suas aulas a abordar outros ramos do domínio da Informática, nada a ver com a cadeira que

lecciona, da qual atitude muitos alunos reclamam no momento, mas acabamos por nos dar conta

mais tarde que, este esforço que pode parecer insignificante aos olhos de muitos, expande o nosso

horizonte para muitas outras áreas de Informática.


5

3. Introdução

A nossa “pancada” com os vírus tem uma história interessante: no início do curso, no 1º

ano, verificava-se um grande descuido por parte dos alunos de Informática em relação à

integridade do seu PC e dos PCs do laboratório. Toda a informação circulava e a

preocupação com a segurança passava apenas por ter um antivírus na máquina, actualizado

como não. Como era de se esperar, surgiu uma epidemia de vírus não só nos PCs do

laboratório como nos de nossas casas também. Curioso que ainda lembramo-nos do nome

do vírus: Ravmon. Este já nos fez comer o pão que ele próprio amassou, desde noites

perdidas na formatação do PC à desinstalações e instalações sem conta, na tentativa de

encontrar um antivírus que o detectasse e o removesse. Connosco não foi diferente,

desinstalamos e instalamos vezes sem conta vários antivírus desde os que requerem menos

memória RAM do PC aos mais pesados, e ainda chegamos a formatar o PC 3 vezes numa só

semana, facto que ainda hoje serve de motivo de gozo por parte de alguns cómicos :P . Com

este sucedido, demo-nos conta que a segurança da máquina depende 60% do seu utilizador

e 40% dos antivírus e firewalls. Agora após a leitura desta apostila, o utilizador passa a ser

responsável por 90% da segurança do seu PC, deixando os antivirus de lado, embora ainda

aconselho a usar um firewall para filtragem do tráfego pela internet, que passam a ficar com

os 10%.

Fica aqui quebrado o mito: é possível remover um vírus sem um antivírus ou uma outra

ferramenta de remoção de malwares.


6

4. Removendo o Vírus

A lógica de remoção de vírus consiste em detectá-lo primeiro, e depois removê-lo. O passo

mais trabalhoso é o primeiro, pois identificá-lo é complicado e requer prática e intuição,

mas isso é coisa que se ganha com o tempo. Um dos motivos pelos quais alguns vírus

passam despercebidos pelos antivírus é pelo facto de, hoje em dia os criadores de vírus se

preocuparem muito mais com as práticas de evasão na programação do vírus, ou seja,

passar despercebido ao sistema vitimado. Todos os vírus, worms, malwares, etc., quando

entram no nosso PC, a primeira coisa que fazem é esconder-se, alguns são autoreplicativos(

copiam-se à si próprios para outros directórios, como acontece com os worms ), se

detectarem um antivírus do seu conhecimento destroem-no, gravam uma entrada no

arranque da máquina de formas à que quando o PC seja reiniciado ele seja de novo

executado, e só depois entram em actividades comprometedoras e danosas para a

máquina.

Sem mais conversa, vamos ao que interessa, descrevendo os passos para atingir os nossos

objectivos:

1º Detectar se existe vírus, à partir do registo. Para tal, abra o editor do registo do

Windows, ou regedit, apertando a combinação de teclas Windows + R, aparecerá

uma caixa de diálogo, você deve digitar regedit e clicar em Ok, como mostra a figura:


7

2º Uma vez o registo aberto, lembre-se primeiro de fazer o backup do registo, pois

você pode fazer uma alteração indesejada ou ocorrer um erro, e dizer adeus ao seu

PC, pois ele pode nunca mais vir a ligar. Este passo aconselho principalmente aos

principiantes a mexer com o registo. Para fazer o backup, abra o menu File ou

ficheiro, conforme o idioma escolhido, seleccione o item export, e aparecerá uma

janela pedindo para você escolher aonde salvar os ficheiros do registo, seleccione o

directório e clique em save, como mostra a figura:


8

3º Você precisa de saber que o registo está organizado por 7 hives( colmeias ), mas

visíveis só aparecem 5. Uma hive é semelhante à uma partição no disco duro( ex: C:\,

D:\ ). Dentro dessas hives existem chaves, dentro das quais podem haver outras sub-

chaves e/ou valores. Existem vários tipos de valores, entre os quais passo a citar o

valor binário, o valor de cadeia, o valor dword e entre outros. Na figura seguinte

estão visíveis as 5 hives que o registo do Windows XP apresenta:

HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS

e HKEY_CURRENT_CONFIG. As 2 hives que não aparecem visíveis são

HKEY_DYN_DATA e HKEY_PERFORMANCE_DATA, estas contêm informação volátil e

que está constantemente a ser alterada pelas aplicações, daí o facto de estarem

ocultos ao utilizador, devido à sua grande sensibilidade à alterações.


9

A figura seguinte apresenta à esquerda as hives, algumas chaves da hive

HKEY_LOCAL_MACHINE, e à direita um valor ( de nome flash ) da chave seleccionada( que

no caso é a denominada HKEY_LOCAL_MACHINE\SOFTWARE ).

Para abrir as chaves duma hive ou chave, basta clicar duas vezes sobre ela ou simplesmente

clicar no símbolo de + que está à esquerda do nome da chave ou hive.


10

As informações respeitantes ao utilizador em cuja a conta nós estamos actualmente a

trabalhar estão organizadas na hive HKEY_CURRENT_USER, e as informações respeitantes à

todos os utilizadores do computador e à configurações de hardware, estão organizadas na

hive HKEY_LOCAL_MACHINE. Isto implica dizer que, se nós quisermos alterar algo para o

nosso perfil, temos de nos lembrar que pode ser que tenhamos que alterar também nas

configurações de todos os utilizadores, algo que os vírus muito fazem.

Para mais informações sobre como trabalhar com o registo do Windows, consulte a

seguinte referência bibliográfica:

TÍTULO: Mastering Windows XP Registry

AUTOR: Peter D. Hipson

ISBN: 978-0-7821-2987-8


11

Com certeza você deve estar a se perguntar “Que chatice, porque estou eu a perder o meu

tempo a aprender como manejar o registo, quando o que eu preciso realmente é de chegar

ao vírus e matá-lo?”. Na nossa opinião, você tem toda a razão. Na realidade você não

precisa de saber muito sobre o registo para chegar ao vírus. O 3º passo consistiu em você

questionar-se aonde encontrar o vírus no registo, pergunta que será respondida no passo

seguinte.

4º Como referido atrás, os vírus gravam uma entrada no arranque para que o sistema ao ser

reiniciado lembre-se de executá-lo. Pois bem, é numa chave aonde os vírus criam um valor

com o seu caminho ou destino no disco duro. Mas quais são essas chaves sagradas? Essas

chaves, que de sagradas não têm nada, serão mencionadas em seguida:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

O que você tem de fazer é ir à cada uma dessas chaves, procurar por valores com nomes

suspeitos, como “chickie”, “Ravmon”, ou ainda nomes muito parecidos com os de certos

ficheiros do sistema operativo Windows, com o intuito de passarem despercebidos, tal

como “Exiplorer”. Muitas vezes o nome do valor pode não ter nada a ver com o nome do

ficheiro no disco duro, como exemplo, há programadores de vírus que têm o hábito de pôr

como nome do valor do vírus no registo Messenger ou Msn, quando na realidade

Messenger é um programa de conversa entre duas pessoas. Contudo é bom você confirmar

o nome do valor com o nome do ficheiro no disco duro.

Se você achou um valor do qual você suspeita, confirme se é um vírus ou não, simplesmente

procurando na internet pelo nome do ficheiro associado ao valor do qual você suspeita. Mas

não se preocupe, eu vou exemplificar; embora minha máquina não tenha vírus, o que seria

quase impossível de exemplificar o acto da remoção do vírus, eu vou executar um dos vírus

que eu tenho guardado no meu PC, numa pasta, cuja intenção é de apenas estudá-lo ( não

aconselho ninguém a fazer o mesmo, pois o feitiço pode voltar-se contra o feiticeiro ).

Primeiro, ir para a chave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:


12

Tal como a seta aponta, eis o nome do valor associado ao vírus norBtok.exe. Agora, vamos à

localização no disco duro e eliminámo-lo. Copiamos a sua localização, que é

“C:\Windows\Inf\”, e vamos até esse directório no disco duro, simplesmente colando o

caminho na barra de endereços do explorador do Windows, e apagámo-lo.


13

A cena do crime não mostramos, deixa-mos à vossa imaginação, e recordamo-nos de como

sentimos-nos à primeira vez quando eliminamos um vírus manualmente ( a sensação é

óptima, e sentimos que estamos a fazer um bem à comunidade ).

À seguir, retiramos a referência no arranque do vírus desta chave, apagando este valor, e

para tal clique com o lado direito do rato sobre o valor associado ao vírus, seleccione o item

apagar e confirme que pretende apagá-lo clicando sim, na caixa de diálogo que aparecer.


14

E este é o aspecto da chave limpa ( sem a referência para o vírus ):


15

E pronto, a primeira das 6 chaves de arranque foi verificada e limpa. Agora, este mesmo

passo, o 4º, será repetido para as 4 chaves seguintes. A 6ª chave,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ,

tem um tratamento diferente, pois esta chave contém informação sobre o logon( início de

sessão da conta de utilizador do Windows ), logo tem um propósito diferente.


16

Procure pelo nome de um ficheiro suspeito, aonde é mais comum aparecer, nos seguintes

valores: Shell, System, UIHost e Userinit. Atenção que o valor Userinit apenas deve ter por

defeito, o seguinte dado: C:\WINDOWS\system32\userinit.exe, logo algum dado à seguir à

este que foi especificado é potencial informação com origem viral. O valor Shell tem como

dado Explorer.exe, que no caso não aparece o caminho completo que seria suposto ser

“C:\Windows\Explorer.exe”, mas aparece apenas o nome do ficheiro. Neste caso, você pode

encontrar o ficheiro no directório “C:\Windows\” ou “C:\Windows\system32\”. Você

poderia questionar-se que ao invés de aparecer o nome Explorer.exe, no meu registo o valor


17

Shell tem dado “Explorer2.exe”, isto porque eu alterei o ficheiro Explorer original para fazer

umas alterações à meu gosto, tal como alterar o texto do botão Menu Iniciar, como os

leitores mais atentos já devem ter notado, na primeira figura que foi apresentada. Mas o

mais importante é que aí esteja o ficheiro Explorer, o nome é irrelevante.

O valor UIHost tem como valor predefinido “logonui.exe”, situado no directório

“C:\Windows\system32\”, e o valor System não tem nenhum dado, logo, lembre-se,

qualquer dado “à mais” aqui nesse valor é extremamente suspeito.

Lembre-se sempre que, caso alguma alteração inesperada ou erro aconteça, você pode

sempre recuperar o registo anterior, pois se você se recorda, você fez um backup antes de

qualquer alteração. Para repôr as informações do registo para as anteriores, depois de

alterado, basta abrir o regedit, clicar no menu Ficheiro, seleccionar o item Import, ir para o

directório aonde o backup do registo foi feito, e abrí-lo.

Agora mais um ou dois detalhes importantes: faltam dois sítios aonde procurar por vírus,

que são os directórios de arranque no disco duro. Para ir à estas duas pastas basta ir para o

menu iniciar, All programs( Todos os programas ), clicar no lado direito do rato sobre o

menu startup( arranque ) e seleccionar o item Open, que vai abrir o directório

“C:\Documents and Settings\Quarenta\Start Menu\Programs\Startup” na nossa máquina, e

em seguida apagar os ficheiros suspeitos. Agora você deve repetir este passo tal como ele

foi descrito, à excepção que, ao invés de você seleccionar o item Open quando clicar sobre o

menu startup com o lado direito do rato, seleccione o item “Open All Users”, e depois é só

eliminar os suspeitos. O nome do directório aberto desta última vez será algo parecido com

este: “C:\Documents and Settings\All Users\Start Menu\Programs\Startup”. Quanto ao

ficheiro desktop.ini, não se assuste, ele não apresenta nenhum problema, logo não o

remova, isso para o bem da sua máquina.

Como vêem abaixo na figura, para o primeiro directório aberto encontramos um link(

ligação ) para o vírus. Toca a removê-lo:


18

Agora para o segundo directório não há ameaças, como vemos:


19

Agora sim eu posso dizer que o meu computador está livre de vírus. Finalmente... mas valeu

esse esforço.


20

5. Conclusão

Podemos tirar muitas conclusões sobre a “habilidade de não depender dum antivírus”, não

só analisando em termos de conhecimento mas também em termos de desempenho do

nosso PC. Actualmente, os melhores antivírus são na nossa óptica muito pesados e

acreditem, nós já testamos muitos, e dentre esses muitos estão os melhores, como é o caso

do Kaspersky, TrendMicro e BitDefender, fica aqui a referência para aqueles leitores que

acharem uma seca essa coisa de “remover manualmente”! Acreditem, às vezes nós próprios

achamos uma seca... já não se fazem vírus como antigamente... :P

Não ter instalado um antivírus torna a máquina mais rápida, pois poupa memória RAM,

espaço em disco duro e tempo de CPU.

Newton Bernardo

Até bem pouco tempo, alguém disse-me que havia dois tipos de indivíduos quanto à

questão de segurança no PC: aqueles que se preocupam em instalar um antivírus e

regularmente actualizá-lo, e aqueles que não têm simplesmente um antivírus instalado, mas

fazem backup’s regulares de toda a informação do seu PC. Eu, pessoalmente, diria que há

um outro tipo de gente, aqueles que não dão a mínima para os antivírus e que muito menos

preocupam-se em fazer backup’s regulares, que é ainda mais cansativo que ter um antivírus

e estar à toda a hora a actualizá-lo.

Paulo Menezes

Sentimo-nos satisfeitos por saber que vamos ajudar muita gente interessada em vírus e

preocupada com a integridade do seu PC com este trabalho, mas acima de tudo ficaríamos

muito mais felizes se, o espírito de não ajudar o próximo e partilhar o conhecimento

diminuísse consideravelmente, diminuir, pois desaparecer só numa Utopia e isso é algo que

eu acho que só encontrarei do outro lado. Ensinando também aprendemos, prova disso é

que eu nunca fui muito bom com o Office, arrasto-me com o Word e o PowerPoint, quanto

à isso não tenho vergonha de admitir, e ao elaborar esta apostila desenvolvi mais algumas

skills no Office, tal como mudamudamudamudar a letrar a letrar a letrar a letra, pôr à Negrito, salvar um ficheiro............... :D

Divirtam-se


21

6. Bibliografia

• www.google.com

• Mastering Windows XP Registry, Peter D. Hipson, ISBN: 978-0-7821-2987-8.

• www.kellys_korner_xp.com

OUTRAS REFERÊNCIAS

• www.newberninc.wordpress.com

• www.quarenta.wordpress.com

Julho de 2009