Me espanta a quantidade de pessoas que são infectadas com as chamas "pragas virtuais".
Trabalho com manutenção de computadores e sei muito bem o que é isso. Estou sempre buscando opções para remove-los sem a necessidade de formatar a maquina do cliente (Mesmo tendo a opção de salvar dados.)
Um dos programas que tem me ajudado bastante nessa verdadeira luta é o HijackThis !
Dei uma pesquisadinha na net e juntei com o que eu sei e.... saiu esse tutorial, aproveitem :laughing:
E Moderadores...devia lançar um Fix pra mim né? :whistling:
_______________________________________________________________________
As pragas virtuais - Apresento aqui as pragas virtuais (Não todas)
Phishing Scam
É um e-mail não solicitado que tem como objetivo fazer com que o destinatario entre em paginas falsas. Tem a intenção de roubar dados de clientes. Tenho certeza que vocês já ouviram alguma vez sobre esses
e-mails fraudulentos.
Spyware
São softwares espiões. Ele coleta informações de navegação sem o conhecimento do usuario e manda essas informções para um servidor, normalmente usado para descobrir quais são os interesses do usuario e assim mandar o SPAM correto .
(retirado da PCWORLD)VÍRUSTermo popularmente utilizado para definir qualquer praga virtual, o vírus é, tecnicamente,um programa capaz de danificar outros softwares e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo que, quando executado, aciona o invasor.
Worms
São programas que usam falhas em sistemas para se instalar e enviar copias para outras pessoas.
Agora vamos ao HijackThis... :w00t:
HijackThis é um programa que fornece informação sobre seu sistema.
Com ele é possível verificar se a algum programa malicioso no seu sistema, mais ele não informa onde está o problema ele somente cria um LOG que mostra o quem tem em seu computador, por isto é necessário muito cuidado no seu uso!!
(Recomendo passar ferramentas de remoção e se não obtiver resultados utilizar o HijackThis. Crie um LOG e poste em algum forum de segurança.)
O criador do HijackThis foi um alemão chamado Merijn.Ele definiu seu programa como o único capaz de remover hijackers.
(Bem modesto )
Mas ele faz muito mais! Ele é capaz de achar trojans, spywares, adwares, worms e até mesmo rootkits.
O HijackThis verifica varias entradas do sistema e as define desta forma: R0, R1, R3, 02, 03, 04, etc.
R0, R1, R3: O que seria estas entradas, são entradas relacionadas com a configuração do Internet Explorer.
02- São programas instalados no Internet Explorer.
03- São ferramentas adicionais instaladas no Internet Explorer.
04- São programas que iniciam automaticamente com o seu sistema operacional está entrada são umas das mais importantes.
E com essas informações ele cria um LOG.
Aqui vai um LOG do HijackThis:
ps: Não é meu não, eu tirei da net...
Logfile of HijackThis v1.99.1Scan saved at 18:31 HERLON, on 29/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\SysMetrix\SysMetrix.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\PV92Tray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe
C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.itelefonica.com.br
R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\system32\scpsssh2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [sysMetrix] C:\Arquivos de programas\SysMetrix\SysMetrix.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft® ActiveX Debugger NT] "C:\windows\setdebugnt.exe"
O4 - HKLM\..\RunServices:
hhs.pifO4 - HKCU\..\Run:
hhs.pifO4 - HKCU\..\RunServices: [html Help System] hhs.pif
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARQUIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARQUIV~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F1E0409-3006-4B84-A906-AF1C0A91ACF4}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe
"Ai kct!! e agora como eu sei se eu estou infectado???"
Abrem paginas sozinhas sem que você tenha dado esse comando?
O seu pc está anormalmente lerdo?
Sua internet está devagar? (Não vale para 56k :grin: )
Abrem sites de conteudo erotico (Sem que você queira..rs) ?
Pop-Ups em excesso?
Quando você usa o comando Crtl+Alt+del ( Ou Crtl+Shift+Esc) você constata muitos processos, antes nunca vistos? (Cuidado com isso)
Se você constatar algum desses sintomas é ALTAMENTE recomendavel você utilizar alguns programas para DETECÇÃO E REMOÇÃO, principalmente se seus pais (ou você mesmo) utilizam o computador para coisas importantes, entrar em sites de banco, por exemplo.
Eu vou colocar agora links para download de algumas ferramentas de Remoção.
Microsoft - Anti Spyware Beta Esse é bom.
SpyBot - Search and Destroy Se o Anti Spyware da Microsoft é bom. Esse é execelente. Tem varias opções!
Ad-Aware Não é tão completo quanto o SpyBot, mas mesmo assim não deixa de ser bom, porém não contém proteção em tempo real.
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::ATENÇÃO:
::
::
::
::
::
::
::
::
::
:::
::
::
::
:DANOS CAUSADOS PELO HIJACKTHIS:
::
::
::
::
::
:
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
::
(Creditos para Linha Defensiva)Desabilitar programasMarcando certas entradas incorretas você pode desabilitar programas como antivírus, drivers, firewalls e diversos outros utilitários. Reinstalar os programas sempre resolve o problema.
Retirar funcionalidades
É possível, por exemplo, desabilitar barras de ferramentas ou programas de proteção do Internet Explorer, assim como retirar vários botões, menus e plugins do navegador.
Desconfigurar a rede
O HijackThis também pode zerar a configuração de rede, como servidores DNS e o domínio ao qual o computador pertence. Os proxies utilizados pelo Internet Explorer também são mostrados e, ao marcar a entrada, são zerados. Isso pode ocasionar perda de conectividade com a web e outros serviço. Nesse caso é necessário reconfigurar a rede.
Também é possível corromper as entradas da escada LSP do Winsock. Nesse caso é necessário desinstalar o TCP/IP em todos os adaptadores de rede e reinstalar para que a escada seja reconstruída. Se você reinstalar o Windows (usando a opção “Reparar”), o problema não será resolvido. Existem outras maneiras de recuperar a escada — veja o documento sobre LSP.
A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta própria como ‘C:\HijackThis’. Desse modo ele criará backups de cada entrada marcada, sendo apenas necessário recuperar o backup.
Por isso é melhor utilizar o Hijackthis com cuidado.
Aqui está o link para o HijackThis HijackThis - Baixaki
Eu tinha esquedido de colocar o link...