A falta de informao das pessoas aliada falta de segurana do Windows traz srios

riscos, no de hoje. Um programa com cdigo malicioso executado no computador

pode fazer coisas das mais terrveis. Tudo bem, isso j do conhecimento de todos, mas
de qualquer forma as pessoas precisam usar seus computadores, e estes devem estar
livres de pragas.

Use antivrus. Use antispyware. Use firewall. At que ponto isso verdadeiro? Muita
gente se surpreende comigo quando digo: eu no uso antivrus! Recuso-me at a morte
(ou, quem sabe, at que um vrus me prove o contrrio :). E no recomendo,
sinceramente. Tudo fica mais lento. Mesmo em PCs atuais, sou meio contra a idia de
haver um programa tendo que monitorar todos os dados no meu computador em tempo
real, em busca de um cdigo malicioso. Isso coisa para sistemas operacionais
incompetentes.

O que no vem a ser totalmente o caso do Windows, pois quem est diante do sistema
uma pessoa. a pessoa que deveria saber o que abrir, o que fazer e como agir. Ningum
nasce sabendo, ento trago aqui algumas noes importantes para detectar e eliminar
boa parte dos malwares que infectam o Windows. Alm, claro, de tentar conscientizar
um pouco sobre medidas de segurana que boa parte das pessoas sabem ou pelo
menos j ouviram falar mas no se do ao trabalho de cumpri-las.
Fui infectado! E agora?

Esses dias entrou um malware no computador de uma amiga, daqueles que ficam
enviando mensagens pelo MSN. Eles detectam a janela de conversa aberta e enviam
comandos mesma, fazendo com que um texto seja enviado para a pessoa com a qual a
outra esteja conversando como se tivesse sido digitada pela pessoa. Minha amiga
estava com o nick T enviando vrus, no clique!. E logo que abramos a conversa
normalmente vinham l alguns dizeres Olha as fotos que eu tirei com no sei quem,
veja aqui... seguido de um endereo de um site suspeito. Claro, clicando, mais uma
pessoa seria infectada. Alm disso, vai saber o que esse programinha no fazia nos
bastidores. Hoje em dia roubar dados a principal idia dos malwares: senhas, contatos,
tudo o que foi digitado. Foi-se o tempo em que vrus destrua para se exibir.

Numa seo de exorcismo virtual, ajudei essa amiga pelo MSN mesmo, de uma forma
simples. Ela estava passando desesperada o AVG e um antispyware, e nada de eles
detectarem a praga. Ento l fui eu. Pedi para ela abrir o gerenciador de tarefas do
Windows na aba Processos, e me enviar uma imagem da tela. Com base nisso eu
chutaria alguns processos e mandaria ela fechar. E isso foi feito. O malware foi fechado.
A segunda parte foi um pouco mais complicada para ela, mas nada to doloroso: abrir o
MSConfig e desativar a inicializao do maldito (eu procuraria diretamente no registro,
mas ela iria se perder). Depois de reiniciado o PC, esse pelo menos j era. AVG 0 x 1
Eu!

Os malwares so programas como outros quaisquer. Na grande maioria das vezes, so
programas que se configuram para iniciar junto com o Windows. E ficam fazendo sua
ao. Seja enviar spam (usando o seu IP e a sua banda!), usar seu computador como
servidor de um software P2P qualquer ou tentar capturar suas senhas.

Esses quase sempre podem ser removidos manualmente, usando programas simples de
monitoramento. A idia : eles esto abertos, vamos fech-los! E se eles se configuram
para serem iniciados junto com o computador, vamos remover essa configurao.
Alguns casos mais graves podem ocorrer, onde os vrus mais poderosos se infiltram
dentro de arquivos do sistema, corrompendo-os. A a coisa complica, seria tarefa mais
para um antivrus (agora sim, automatizada) mas normalmente d para restaurar
arquivos do sistema, caso os arquivos infectados sejam os nativos do Windows. Bem,
vamos por partes...
Identificando e removendo um programa indesejado

Como no caso da minha amiga, usei uma idia bsica. Mas para isso, eu precisaria
tentar chutar o programa a ser fechado, pelo nome do executvel. Como saber? O
Windows por si s carrega diversos programas em execuo (processos) prprios, para
uso do sistema. Cada programa aberto tambm ser considerado um processo, e listado,
portanto, no gerenciador de tarefas e os malwares tambm ficaro por ali.

A idia listar ou decorar os nomes dos programas do Windows que sempre se iniciam,
mais aqueles que voc usa e que se iniciam automaticamente tambm (como seu
antivrus, o firewall, etc). Com base nisso, voc pode ir tentando fechar os malwares. Na
dvida, uma dica copiar o nome do programa e jogar no Google. Se for um malware
conhecido, provavelmente voc ir encontrar pginas (normalmente de fruns)
relatando-o. A no resta dvida, basta fech-lo.

Acontece que o gerenciador de tarefas do Windows pode ser facilmente corrompido ou
modificado, e possvel que um programa nem aparea nele. Alm disso, alguns
malwares bloqueiam o gerenciador de tarefas (usando recursos do prprio Windows,
por incrvel que possa parecer!). Para uma pescagem mais profunda, vamos usar outro
gerenciador de tarefas.

Um muito bom o Process Explorer NT. Ele da SysInternals, que foi comprada pela
Microsoft. Eu pensava que seria descontinuado depois da compra, mas pelo contrrio,
foi at atualizado para trabalhar melhor no Windows Vista.

Baixe em:
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

Ele lista todos os processos abertos e permite visualizar muitas informaes sobre os
mesmos. A listagem hierrquica, ele mostra os processos e os processos que os
originaram (o programa que abriu outro programa, numa linguagem mais clara).
Clicando com o boto direito num item, pode-se matar o processo correspondente,
fechando bruscamente o programa.

O fechamento dessa forma essencial. Uma que os malwares normalmente no exibem
janelas, no tem onde voc clicar para fechar. Outra que, mesmo se exibissem,
diferente o comando que o sistema operacional envia ao programa para fech-lo. Ao
clicar no boto com o X numa janela, o Windows no necessariamente fecha o
programa; ele diz ao programa que para ser fechado. O programa pode fazer o que
quiser, inclusive decidir se vai mesmo ser fechado ou no.

isso que permite a um programa tomar a dianteira e exibir uma janela perguntando se
voc quer salvar um arquivo antes de fech-lo, dando a opo de mant-lo aberto, por
exemplo. Se ele fosse fechado diretamente ao clicar no X, voc perderia qualquer
arquivo no salvo.

Aqui, o objetivo justamente o contrrio: fechar o programa fora, matar o
processo, como se diz. O sistema operacional finaliza o programa e libera os recursos
usados por ele (como a memria) sem notific-lo. Algumas vezes complica um pouco,
pois malwares mais elaborados podem manter duas instncias de si mesmo, e se uma for
fechada logo a outra detecta e a reabre. Mas com um pouco de pacincia e prtica, d
para se virar e tomar o controle. Afinal, o computador seu, no do malware.

Esse Process Explorer NT permite at mesmo pausar um determinado programa, e
continu-lo depois. Estando pausado, o programa continua aberto mas parece morto;
por exemplo, esse que envia mensagens pelo MSN, no enviaria enquanto estivesse
pausado. Essas aes so feitas ao clicar com o boto direito no processo, dentro do
Process Explorer NT.

Pode ocorrer de voc fechar um programa inofensivo realmente, por desconhecer o
nome dele. Normalmente isso no lhe trar problema algum, bastar reabrir o programa
que foi fechado depois. Tome o cuidado de no manter arquivos abertos ou documentos
no salvos enquanto fecha os programas suspeitos, e tambm evite fazer isso conectado
Internet. Simples: voc pode fechar seu firewall sem querer e continuar por horas
navegando sem perceber que abriu as portas do seu computador para o mundo.

Bem, fechado o programa, voc pode excluir o arquivo correspondente a ele. Tome
cuidado aqui, para no excluir um arquivo errado, do sistema ou de outro programa bom
que voc use. Antes de excluir bom pesquisar na Internet pelo nome do executvel, ou
ento mov-lo para uma outra pasta, ou mesmo renome-lo com outra extenso (por
exemplo, coisax.exe viraria coisax.123).

Para excluir, voc dever saber onde se encontra o arquivo. A maioria dos spywares so
instalados na pasta system32 (creio que escolhem essa por ser uma pasta de sistema,
que ainda por cima contm muitos arquivos), assim fica difcil encontrar suspeitos
apenas olhando l dentro. Uma dica usar a pesquisa do sistema operacional, aquele
Pesquisar do Iniciar, jogando o nome do arquivo desejado. Nessa tarefa, algumas
configuraes do Windows acabam atrapalhando. Para ficar mais seguro para voc,
altere estas opes:
Na guia Modos de exibio das opes de pasta (menu Ferramentas >
Opes de pasta, do Windows Explorer), marque o item Mostrar todos os
arquivos na categoria Arquivos ocultos. E desmarque o Ocultar arquivos
protegidos do sistema operacional. Ainda ali, desmarque a opo que oculta as
extenses dos arquivos. Depois disso, basta tomar cuidado ao renomear seus
arquivos, onde voc dever digitar o nome junto com a extenso, e no apague
alguns arquivos que aparecero na unidade C:, como boot.ini, ntldr, etc. Esses
arquivos so do sistema e ficam ocultos por padro. Pedi para exibi-los pois
assim ele no ocultar os outros arquivos, facilitando a localizao dos
malwares, inclusive usando o Pesquisar.
O Pesquisar do Windows XP veio para facilitar para usurios iniciantes. Para
pesquisar arquivos ocultos em pastas do sistema, usando regras de pesquisa
(mscaras) e opes avanadas, terrvel, ficou muito ruim. O ideal voltar para
a pesquisa clssica, igual do Windows 2000/Me. Veja como fazer isso aqui:
http://janelasepinguins.blogspot.com/2005/12/deixando-o-pesquisar-do-windows-
xp2003.html
(envolve edio do registro)
Pronto. Agora ficou mais fcil localizar o arquivo no disco e exclu-lo. Quase sempre os
spywares estaro dentro da pasta system32, ou pelo menos na pasta do Windows.
Mande pesquisar na pasta C:\windows incluindo subpastas; caso no o encontre ali,
mande buscar ento em todos os discos rgidos locais. Pesquisando apenas na pasta do
Windows a pesquisa ser mais rpida, j que o buscador no ter que vasculhar todo o
seu HD :)

Fechado o programa, excludo o arquivo, agora falta remover o ponto de entrada de
inicializao, que faz com que o programa seja carregado durante o boot do sistema. Os
programas que se iniciam junto com o computador podem ficar configurados em alguns
lugares diferentes no Windows. Uma forma bsica de ver isso usar o MSConfig,
programinha que j vem com o Windows (exceto NT e 2000) e que lista os programas
abertos. Clique no Iniciar > Executar, digite msconfig e tecle enter. Na aba
Inicializar, localize os itens desejados e desmarque o suposto malware. Depois de
desmarcado, clique em Aplicar > OK. Ele pedir para reiniciar o computador, fica a seu
critrio reiniciar no momento ou depois.

Dica: desativando outros itens desnecessrios pelo MSConfig tambm, far com que o
computador inicie um pouco mais rpido e use menos memria; mas cuidado para no
desativar programas importantes, como o firewall, antivrus (se voc usar), etc.

Importante: sempre remova a entrada de inicializao do programa com ele fechado. Se
voc no fizer isso, alguns programas ficam regravando as chaves no registro enquanto
esto abertos, justamente para que se voc remova, logo eles regravam e sero
inicializados depois, na maior cara de pau. Com eles fechados, simplesmente no tm
como regravar.

Nem sempre ser fcil remover programas indesejados dessa forma, mas boa parte deles
podem ser removidos assim, por incrvel que possa parecer :)

Outra dica iniciar o computador limpo, sem spywares, e anotar os nomes dos
programas que se iniciam automaticamente (seja pelo Process Explorer NT ou pelo
prprio gerenciador de tarefas). Boa sorte :)
Outras formas de detectar programas que se iniciam automaticamente

H diversas formas. As mais comuns so pelas chaves do registro:
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >
CurrentVersion > Run
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >
CurrentVersion > RunOnce
HKEY_CURRENT_USER > Software > Microsoft > Windows >
CurrentVersion > Run
HKEY_CURRENT_USER > Software > Microsoft > Windows >
CurrentVersion > RunOnce
Mas h tambm a pasta Inicializar no menu Iniciar > Programas. Alguns programas
criam entradas ali, para esta mais fcil: basta excluir o atalho. Clique em Iniciar >
Programas > Inicializar; depois, clique com o boto direito no item desejado (se
houver) e mande excluir.

Para as chaves do registro... Se voc no mexe muito com o registro, cuidado: no saia
fuando em tudo. Exclua apenas entradas que voc tenha certeza que podem ser
excludas, pois editar incorretamente o registro pode fazer com que o Windows nem
seja iniciado claro que isso poder ser corrigido, mas poder no ser to fcil.

Nota: o registro, caso voc no saiba, um banco de dados de configuraes usado
pelo Windows e por diversos programas. O editor do registro, programa regedit,
uma interface que vem com o Windows que permite modificar as configuraes
gravadas no registro. O termo registro aqui no tem nada a ver com cadastro ou
pagamento :p

Abra o editor do registro (Iniciar > Executar > digite regedit e d OK). Ele tem o
visual parecido com o do Windows Explorer, tratando as chaves do registro como se
fossem pastinhas. esquerda, localize as chaves e subchaves conforme indicam as
setas nos caminhos indicados mais acima, at chegar na Run ou RunOnce. direita
so listadas as entradas referentes chave selecionada esquerda, que no caso,
correspondem aos programas que se iniciam automaticamente com o computador.
Selecione o do malware e delete, usando a tecla Del mesmo do teclado. Como falei,
cuidado ao fazer isso; se no se sentir seguro, prefira usar o MSConfig ou esse outro
programa que indicarei agora.

Tambm da SysInternals (agora Microsoft) um bom software o AutoRuns. Ele lista
praticamente tudo o que se inicializa com o Windows, incluindo muitos itens no
exibidos pelo MSConfig. Veja:

Baixe-o em:
http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx

Ele composto por vrias abas de categorias. Com ele voc pode desmarcar os itens e
remarc-los depois, caso se arrependa. Mas ainda assim, tome o cuidado de no
desmarcar itens toa, pois vrios, muitos na verdade, correspondem a componentes
essenciais do Windows. Por meio dele pode-se desativar extenses do Explorer, do
logon, do IE, drivers de dispositivos e outros componentes. Ele muito importante,
deveria vir de fbrica com o Windows.
Comentrio: possvel desativar tambm aquele WGA, que exibia notificaes em
Windows no originais; bastando desmarcar o ponto que carregava o WGA, no
processo de logon do Windows, e a seguir deletando os arquivos do WGA do HD.

Tanto o Process Explorer como o AutoRuns so gratuitos e no precisam ser instalados,
eles rodam diretamente, sendo muito teis para fazer parte da mala de ferramentas dos
tcnicos Windows.
Windows bloqueado?

Alguns spywares e malwares em geral desativam componentes do Windows, usando
recursos do prprio sistema.

Isso possvel porque o Windows foi projetado para suportar diretivas de empresas e
grupos, onde os funcionrios podem usar os computadores, mas no alterar
configuraes. Alguns spywares do uma de administradores no seu sistema,
bloqueando diversas coisas. Entre as mais visadas esto o bloqueio da pgina inicial do
Internet Explorer, a edio do registro pelo regedit, de forma que voc no consegue
abri-lo nem usar os arquivos .reg, e em alguns casos, bloqueiam at o gerenciador de
tarefas, para evitar que sejam fechados (aqui usar o Process Explorer NT normalmente
resolve).

Esses bloqueios so feitos pelo registro, e caso voc no possa abrir o regedit, e/ou se
quiser remover diversos bloqueios de uma vez, recomendo um software meu mesmo: o
AntiPolicy. Basta abri-lo, clicar na aba AntiPolicy e ento no boto Remover
bloqueios....

Quase todos esses bloqueios sero liberados de imediato, alguns s no recarregamento
do Explorer (no prximo logon, por exemplo). Vale a dica: primeiro, feche os malwares
e certifique-se de que no estejam marcados para inicializar depois, pois eles podero
restaurar os bloqueios se forem abertos.

Download do AntiPolicy:
http://www.mephost.com/software/antipolicy.htm

Esse programa ainda permite fechar bruscamente processos tambm, servindo como um
gerenciador de processos alternativo. Enquanto que o gerenciador de tarefas do
Windows e o Process Explorer NT listam os processos pelo nome do executvel, o
AntiPolicy lista pelos nomes das classes de janelas. A maioria dos spywares no tm
janelas visveis, mas tm janelas ou pelo menos controles que no ficam visveis mas
so listados. No AntiPolicy, voc pode fechar qualquer programa, pela aba Visveis
(os que esto rodando na barra de tarefas ou em uma janela) ou Ocultos (os que
rodam sem ser exibidos, que vem a ser o caso da maioria dos malwares). Vale o cuidado
de testar e ficar atento, pois voc poder fechar programas bons sem saber o nome da
classe.

Diversos spywares usam nomes com XXX alguma coisa (referentes pornografia), hk
(da palavra hacker), ou somente nmeros. Mas no h regras, voc ter que caar um
pouco, e qualquer coisa, o Google est disposio para nos ajudar (bem indiretamente,
claro).
O Windows seguro?

At aqui vimos como tentar remover pragas que j foram instaladas. Mas... O melhor
prevenir, no remediar, no ? melhor andar pela sombra do que ficar com dor de
cabea, melhor usar blusa e guarda chuva do que pegar um resfriado. Vamos a
algumas dicas ento, que a maioria acha que todo mundo j est careca de saber (mas
infelizmente, no bem assim).

Use conta limitada (no de administrador) no dia-a-dia se puder, e mantenha o HD
formatado em NTFS. Mais informaes sobre o NTFS e a segurana aos arquivos
podem ser vistas neste outro texto meu aqui no GdH:

http://www.guiadohardware.net/dicas/sistema-ntfs.html

Usar o Windows com conta limitada em parties NTFS muito mais seguro, apesar de
no ser agradvel para o uso de alguns programas. Navegando assim, os malwares no
podero se instalar em pastas do sistema (como a system32, dentro da pasta do
Windows) e no afetaro as outras contas de usurio, caso haja outros perfis no mesmo
PC. possvel tambm rodar o IE (ou outro programa qualquer) como administrador,
porm, sem direitos administrativos. Veja como no final desse outro texto:

http://www.guiadohardware.net/artigos/reparando-ie/

Use um firewall. O do Windows XP SP2 muito ruim (que me perdoe a Microsoft). De
que adianta o sistema vir com um firewall se voc deve desativ-lo e instalar outro, para
mais proteo? Isso porque um fato, o do XP SP2 protege contra invases vindas da
Internet, ou seja, protege contra acessos entrantes. Se um programa no seu PC tentar
enviar um comando ou arquivo para a Internet, ele deixa (s bloqueia e alerta caso o
programa tente ficar aberto em determinada porta, como um servidor, espera de
conexes entrantes).

Isso ruim no caso de spywares: eles podem enviar dados (seus dados, suas senhas
capturadas, por exemplo) sem que voc tome conhecimento. O ideal instalar um
firewall de terceiros, que proteja o computador tanto de conexes de entrada como de
sada, dando a possibilidade de voc decidir se elas devem ser liberadas ou no. Um que
tem verso gratuita e muito usado o ZoneAlarm. O Comodo tambm bom e possui
verso gratuita.

Como saber se o sistema est infectado? Se aparentemente seu computador funciona
normal, e voc quer saber se ele est infectado, pode valer a pena rodar um anti-spyware
(como o SpyBot) ou at mesmo um antivrus, mandando fazer uma varredura completa.
Aqui usamos os programas para aproveitar o tempo de processamento do computador,
sua agilidade em comparar informaes, em varrer vrios arquivos e chaves do registro
em busca de spywares conhecidos, etc. Usar um antivrus residente o que eu no
recomendo, pelo menos no uso, por ser definitivamente um item intil (desde que voc
tome todos os devidos cuidados e outros). No para seguir uma receita, so um
conjunto de atitudes que podem mudar isso. Se voc se sentir mais seguro, fique com
seu antivrus.


Alm de usar programas de deteco, vale curiar no gerenciador de tarefas de tempos
em tempos (dica: use o Process Explorer NT, que bem melhor), no MSConfig, e ver se
nada de estranho ou novo aparece por ali, sem que voc tenha instalado.

Quer segurana? Cuide-se voc. Eu no uso antivrus, continuo batendo o p. Se voc
for firme nos seus atos, poder no usar tambm. Basta manter o Windows atualizado,
um firewall ativo (isso essencial!) e o principal: no sair executando qualquer porcaria
que chegue por email, no instalar controles Active-X no IE de sites suspeitos, no
instalar qualquer barra de ferramentas no IE (elas atuam como programas, podendo
fazer o que quiser!), no baixar anexos de emails suspeitos, sempre confirmar com
quem lhe enviou antes de abrir um link de algum arquivo executvel para baixar
(principalmente se for de extenso .exe, .com, .bat, .cmd, .scr, .pif), etc.

Na sugesto de configurao mais acima, pedi para mostrar todas as extenses. Isso
pode parecer ruim num primeiro momento para usurios bsicos, mas permite que voc
identifique melhor o arquivo. Alguns mal intencionados colocam duas extenses nos
arquivos, por exemplo, foto.jpg.exe. A ltima a que vale: foto.jpg.exe um
programa, no uma imagem. Se as extenses no fossem mostradas, o Windows exibiria
apenas foto.jpg, e os mais inocentes poderiam abrir, rodando o malware. Com elas
sendo mostradas voc sempre ver a extenso real. Se voc der um duplo clique num
malware ou vrus, estar autorizando a execuo dele no computador, estar fazendo
justamente o que o autor dele quis.

No que o Windows seja inseguro (mas claro que no a melhor coisa em termos de
segurana tambm, est muito longe disso ;), a falta de informao e conhecimento
dos usurios que o torna assim.

O Windows Vista no tem grandes mudanas estruturais com relao ao XP. Vendo-o e
acompanhando a histria do Windows, s vezes penso: Puxa vida, estragaram o NT....
O que mais se destaca no Vista em termos de segurana e que ao mesmo tempo mais
irrita os usurios, tanto que boa parte opta por desativar so as confirmaes pedidas
ao usurio para diversas tarefas e aes.

Voc o dono do seu computador, voc decide o que quer rodar nele. Se voc rodar
porcaria, o Windows no tem culpa, ele ir executar a porcaria que voc autorizou! O
Vista pede muita confirmao, tudo bem, com isso voc pode ver que se o usurio desse
menos mole, teria seu Windows funcionando por muito mais tempo. No estamos
falando aqui de falhas do sistema (que quase todo software possui), mas sim de
programas do mal em geral.

De nada adianta voc ter sade e andar seguro se algum lhe assaltar na rua e te jogar no
cho. Voc vai cair, no vai? Quando programas do mal tentam invadir o Windows, a
maior brecha est no usurio, no no sistema. Cuide-se! (Eu continuo sem antivrus ;)