How TO: Remover software malicioso com o Autoruns for Windows

Documentos relacionados
Boot Camp Manual de Instalação e Configuração

Boot Camp Manual de Instalação e Configuração

Guia: como instalar o Ubuntu Linux

Usando o Conference Manager do Microsoft Outlook

Guia rápido de criação e gestão de um espaço no SAPO Campus

Cópia de Segurança e Recuperação Manual do utilizador

GESTÃO DE INFORMAÇÃO PESSOAL OUTLOOK (1)

7. Gestão de ficheiros em X Window O Konqueror

KF2.4 MANUAL DE UTILIZADOR

Guia Passo a Passo de Actualização do Windows 8.1

Sistemas Operacionais. Curso Técnico Integrado Profa: Michelle Nery

Utilizar o Office 365 no Windows Phone

INSTALAÇÃO UBUNTU NUM INSTANTE

Início Rápido. Nero BackItUp. Ahead Software AG

Generated by Foxit PDF Creator Foxit Software For evaluation only. Capitulo 1

EW1085R2 Recetor Bluetooth MICRO USB Classe 2

Gestor de Janelas Gnome

Curso de Informática Básica

COMO IMUNIZAR SEU PENDRIVE CONTRA VÍRUS. Introdução

QL-500 QL-560 QL-570 QL-650TD QL-1050

Manual do InCD Reader

Manual de Configuração das impressoras (Fotocopiadoras) do AES

Instalando e Licenciando

Manual do Teclado de Satisfação Online WebOpinião

Office Telefone com fios

Atualização, Backup e Recuperação de Software. Número de Peça:

Como produzir e publicar uma apresentação online dinâmica (Prezi)

Motorola Phone Tools. Início Rápido

PRIMAVERA EXPRESS: Funcionalidades do Produto

Figura 1: tela inicial do BlueControl COMO COLOCAR A SALA DE INFORMÁTICA EM FUNCIONAMENTO?

Central Inteligente Manual de utilização

Mas para iniciar o uso do CRM é necessário efetuar algumas configurações em primeiro lugar.

EM4591 Repetidor Wi-Fi universal com WPS

INSTALAÇÃO DO FIREFOX E JAVA PORTÁVEL CUSTOMIZADO PELO TRT DA 13ª REGIÃO

EM4592 Repetidor WiFi de Banda Dupla de Utilização Simultânea

3. No painel da direita, dê um clique com o botão direito do mouse em qualquer espaço livre (área em branco).

Ladibug TM 2.0 Software de Imagem para o Apresentador Virtual Manual do Utilizador - Português Europeu

Linux Caixa Mágica 14. Como Gravar um Live CD. Julho 2009 Versão 1.1

Pingwin Android Como instalar

Podium View TM 2.0 Software de Imagem para o Apresentador Virtual Manual do Utilizador - Portugués

Solucionando outros problemas de impressão

Cópia de Segurança e Recuperação Manual do utilizador

Acessos Convergentes. Manual de Configuração e Utilização

Insight Teacher Quickstart Guide

O Manual do ssc. Peter H. Grasch

1. Verificar se a Microsoft.NET Framework 2.0 está instalada. Se não estiver, efectuar o download a partir do link e instalar:

Telefone com fios Manual de configuração Office

A forma como trabalhamos tem mudado drasticamente durante os últimos anos.

CONCEITOS BÁSICOS DE UM SISTEMA OPERATIVO

Actualização, Cópias de Segurança e Recuperação de Software

MANUAL DE UTILIZAÇÃO. EcclesiaSoft v.01

FIRMWARE dezembro 2012 (V2d)

Tabelas vista de estrutura

Atualização, backup e recuperação de software

LASERTECK SOFTECK FC MANUAL DO USUÁRIO

ZS Rest. Manual Avançado. Monitor de Publicidade. v2011

São visíveis as filas de impressão partilhadas...

SECUNDÁRIA DE CAMARATE Plataforma Office 365. Alojamento de ficheiros - OneDrive para Empresas

Pais e educadores: Ativem o Controlo Parental no Windows

Manual de Instalação SIM/SINASC

Instruções para Transferência de Dados OPL9728

Atenção ainda não conecte a interface em seu computador, o software megadmx deve ser instalado antes, leia o capítulo 2.

Início Rápido: Registar para o Centro de Negócios da Microsoft

MANUAL DA SECRETARIA

Carrera Pessoal Guia de uso

Descomplicando Tecnologia

Guia de instalação do Player Displr Windows 7, 8.1 e 10

Manual de configuração de Impostos

Visão Artificial Para a Indústria. Manual do Utilizador

PLANEAMENTO DA INSTALAÇÃO DO WINDOWS SERVER 2003

Redes Ponto a Ponto. Os drivers das placas de rede devem estar instalados.

Boot Camp Manual de Instalação e Configuração

MANUAL DE INSTRUÇÕES

Manual de instalação do Cartão da OAB e baixa do certificado A3 AR Soluti - Goiânia. Versão 1.0 de 22 de setembro de Classificação: Ostensivo

Pesquisa e organização de informação

Usando o computador portátil GIGABYTE pela primeira vez. 2 Conecte o adaptador AC no conector de entrada DC no lado esquerdo do computador portátil.

Atualização, backup e recuperação de software

Openshot Video Editor Instalação e Configuração

Monitor Wall MVS-MW. Manual do software

ZSRest e ZSPos Multiposto

Manual de Instalação. Gestão Comercial Golfinho. Gestão Comercial Golfinho - Manual de Instalação

F-Secure Anti-Virus for Mac 2015

How TO: Proteger o seu PC com o Veeam Endpoint Protection

O WINDOWS 98 é um sistema operacional gráfico, multitarefa, produzido pela Microsoft.

Segurança e recuperação Manual do utilizador

Manual do Desktop Sharing. Brad Hards Tradução: Marcus Gama

UNIVERSIDADE FEDERAL DO AMAPÁ PRÓ REITORIA DE ADMINISTRAÇÃO E PLANEJAMENTO DEPARTAMENTO DE INFORMÁTICA. Manual do Moodle- Sala virtual

Guia passo a passo para eliminar um vírus do PC

MoreDoc. Guia de Instalação. Edição Community Versão 3.0

Como produzir um texto no computador.

O AMBIENTE DE TRABALHO DO WINDOWS

O Windows também é um programa de computador, mas ele faz parte de um grupo de programas especiais: os Sistemas Operacionais.

ZS Rest. Manual Profissional. Instalação do Software. v2011

Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos. Sistemas Operativos - 2º Ano

Librix. A LIBERDADE DO LINUX COM A QUALIDADE ITAUTEC Guia de referência

Resolução de avarias de MPEG

Akropole Catequista. Todos os Ficheiros no Akropole Catequista trabalham com uma simples barra de edição, com 4 botões:

Como enviar e receber correio eletrónico utilizando o Gmail

Guia Passo a Passo de Actualização do Windows 8.1

Transcrição:

How TO: Remover software malicioso com o Autoruns for Windows

INTRODUÇÃO O software Autoruns for Windows da Sysinternals, uma subsidiária da Microsoft, permite ao utilizador obter uma listagem de todos os programas que estão configurados para serem executados durante o início do sistema ou da sessão, e mostra todas estas entradas na ordem que o Windows as processa. Além das localizações habituais que o utilitário MSConfig do Windows também analisa, o Autoruns pode ser configurado para analisar inúmeras outras localizações, tais como extensões da Shell do Explorador, barras de ferramentas, extensões de navegadores, controladores, codecs, itens Winlogon e muito mais. Devido a estas capacidades, o Autoruns tornou-se numa ferramenta de eleição para a deteção e remoção de software indesejado ou malicioso, uma vez que este tipo de software tem evoluído nos últimos anos para evitar a sua deteção. Assim, em vez de criar entradas no registo ou na pasta de arranque do Windows, usa métodos mais avançados como iniciar-se através de extensões para navegadores, controladores, serviços ou tarefas agendadas. No fundo, os tais locais que o Autoruns está preparado para analisar. O software Autoruns for Windows pode ser obtido gratuitamente do site da SysInternals, e não necessita de instalação, pelo que pode ser executado por exemplo de um disco externo ou pen USB. Convém no entanto ser executado como administrador, já que só assim teremos acesso a todas as suas funcionalidades.

Ao ser iniciado o programa, somos confrontados com um ecrã semelhante a este:

Por defeito está selecionado o separador Everything, que tal como o nome indica, agrupa todas as entradas de todos os separadores. Assim sendo, pode-se tornar confuso, pelo que se recomenda ir analisando as entradas, separador a separador. Por defeito, todas as entradas do Windows e Microsoft estão filtradas, e embora se possa desligar esse filtro, para o propósito que estamos a utilizar o programa, convém deixá-los ligados. Para desativar uma entrada qualquer, basta retirar o visto na checkbox respetiva. Depois, basta reiniciar o pc e verificar que a aplicação ficou efetivamente desativada. Alguns softwares maliciosos estão constantemente a monitorizar as localizações onde são executados, pelo que se ao fazer refresh (F5), a mesma checkbox se encontrar novamente ativa, é necessário utilizar um software como o Process Explorer (também da SysInternals e que pode ser acedido dentro do Autoruns desde que o executável esteja na mesma pasta) para terminar o processo antes de desativar a entrada. Ao iniciar o Autoruns, salta imediatamente à vista do utilizador as diferentes cores utilizadas para os diferentes tipos de entrada: Verde usada quando se comparam dados de execuções anteriores do Autoruns e se deteta uma entrada nova. Rosa indica que não foi encontrada qualquer informação relativa a quem publicou a aplicação, ou se a opção Verify code signatures estiver ativa, que não tem uma assinatura digital ou não corresponde à informação de quem publicou, ou ainda que a informação de quem publicou não existe. Amarelo indica que existe uma entrada, mas que o ficheiro para onde aponta já não existe.

Para cada entrada, um clique com o botão direito do rato abre um novo menu de contexto com diversas ações disponíveis: Delete - apaga a entrada Copy copia a informação da entrada Jump to entry abre a respetiva entrada no Editor de Registo do Windows (requer permissões de administração)

Jump to image - abre o explorador do Windows na pasta respetiva do ficheiro Search Online pesquisa online pelo nome da entrada

Process Explorer abre o respetivo processo no Process Explorer Properties abre uma nova janela com as propriedades da entrada

O Autoruns permite ainda analisar um pc offline, isto é, se tivermos um disco onde está instalado o sistema operativo de uma máquina que não conseguimos arrancar, podemos ligar esse disco a um pc funcional, e nessa mesma máquina analisar o pc problemático. Para isso, basta ir ao menu File, escolher a opção Analyze Offline System, e somos confrontados com a seguinte janela.

Em System Root, devemos colocar o caminho para a pasta de instalação do Windows da máquina problemática, e em User Profile, colocamos o caminho para o perfil de utilizador que estamos a tentar diagnosticar. O Autoruns permite também comparar 2 máquinas diferentes, ou 2 configurações diferentes da mesma máquina. Para isso, basta guardar a config de uma máquina em File->Save e noutra máquina executar o Autoruns e usar a função Compare (File->Compare) para selecionar o ficheiro do outro pc ou da outra configuração que queremos usar como base de comparação. Caso seja guardado um ficheiro criado após uma instalação limpa do Windows, pode servir como uma excelente base de comparação com o mesmo pc no futuro. De seguida iremos enumerar os diferentes separadores do Autoruns e os diferentes tipo de cuidados que devemos ter com cada um deles.

Logon Este separador agrupa todas as entradas usuais no Windows para arranque de programas automático. No total são mais de 40 as localizações possíveis, daí que não seja de admirar a quantidade de software malicioso que se pode infiltrar no Windows. Podem-se desativar todas as entradas suspeitas/desnecessárias sem grande cuidado, uma vez que podem sempre ser reativadas novamente no próximo arranque.

Explorer Este separador lista todos os componentes que estão associados ao explorador do Windows, como por exemplo entradas adicionais em menus de contexto (7-Zip ou Winrar por exemplo). O pior que pode acontecer em desativar aqui uma entrada é perder certas funcionalidades de aplicações, por isso pode ser um bom sítio para começar a procurar culpados para uma baixa de performance quando se navega pelo explorador de ficheiros ou em certos menus do explorador do Windows.

Internet Explorer Tal como o próprio nome indica, este separador lista tudo o que esteja relacionado com o Internet Explorer (barras de ferramentas, extensões, etc). É recomendável desativar tudo o que pareça suspeito, já que esta é uma das localizações favoritas para software malicioso.

Scheduled Tasks Outra localização favorita para muito software malicioso é nas tarefas agendadas, uma vez que podem criar tarefas que o reinstalem em caso de desinstalação, mostrar publicidade indesejada, entre outras coisas. É recomendável desinstalar tudo o que não reconheça, e que não seja da Microsoft.

Services Hoje em dia é bastante comum um software malicioso registar-se como um serviço no Windows, ou até criar um serviço que monitoriza os processos do próprio software e garante que estão a correr. Neste separador, convém ter mais cuidado, já que desativar certos serviços pode ter consequências no funcionamento da máquina. Assim sendo, convém investigar bem os processos suspeitos antes de os desativar, e não proceder num modo de tentativa-erro como noutros separadores.

Drivers Mais um separador em que todo o cuidado é pouco. Apesar de alguns softwares maliciosos criarem controladores que monitorizam/espiam a atividade dos pcs, a verdade é que se desativar o controlador errado pode resultar numa máquina não funcional. Tal como no separador dos Serviços, convém pesquisar muito bem e ter a certeza absoluta antes de desativar alguma entrada neste separador.

Codecs Os codecs não são mais que bibliotecas de código utilizados na reprodução de conteúdo multimédia e também eles já foram usados como veículo de propagação de software malicioso. Aqui pode-se desativar o que se achar suspeito e voltar a reativar se se verificar que as suspeitas eram infundadas.

Boot Execute É pouco provável que exista qualquer entrada neste separador, e ainda menos provável que seja de software malicioso. É utilizado para iniciar aplicações que necessitem de ser executadas antes do Windows ser iniciado, como por exemplo o scandisk. Image Hijack Devemos desconfiar de qualquer entrada deste separador. Basicamente lista todas as entradas no registo que fazem com que a execução de um programa, levem à invocação de outro por troca. A não ser que tenham feito alguma alteração propositadamente nesse sentido (por exemplo substituir a execução do notepad nativo do Windows com um outro software mais avançado), devem ser desativadas todas as entradas neste separador. AppInit Mais uma excelente maneira de introduzir software malicioso num pc. Este separador lista todas os DLLs que são carregados sempre que uma aplicação usa a biblioteca user32.dll. Desconfiar de qualquer entrada neste separador.

KnownDLL Desde que todas as entradas sejam componentes verificados do Windows, não há que desconfiar. Caso não o sejam, então é investigar do que se trata. É comum em sistemas de 64bits o Autoruns alertar para o facto de não encontrar os DLLs _Wow64, _Wow64cpu e _Wow64win. Trata-se de um falso positivo, uma vez que o Autoruns é um processo de 32bits a correr num sistema operativo de 64bits. OS ficheiros estão efetivamente presentes na máquina, mas numa localização que o Autoruns não reconhece.

Winlogon, WMI, Winsock Providers, Print Monitors, LSA Providers, Network Providers Estes separadores costumam ser menos problemáticos, uma vez que contêm apenas add-ons que aumentam certas funcionalidades do Windows (autenticação, rede e impressão), ainda que não seja impossível software malicioso apoderar-se dos mesmos. De qualquer forma convém sempre investigar antes de desativar seja o que for. Sidebar Gadgets Tudo o que sejam aplicações da barra lateral do Windows 7 e Vista, aparecem aqui, e podem ser desativadas.

Em resumo, o Autoruns for Windows é uma ferramenta bastante simples, mas ao mesmo tempo bastante poderosa de diagnóstico e remoção de software malicioso. Simples, porque para desativar uma entrada basta retirarmos um visto numa checkbox, e poderosa pelo efeito que essa alteração pode ter no comportamento do Sistema Operativo. Assim sendo, é sempre aconselhável proceder com cautela quando se efetuam alterações no sistema operativo, pesquisar o máximo sobre cada entrada que se pretenda desativar, para evitar que a tentativa de desinstalação de um software malicioso produza efeitos mais nefastos que o próprio software que pretendemos remover.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback