Remova trojans e arquivos suspeitos sem anti-vírus

Ter um bom antivírus é essencial, mantê-lo atualizado então nem se fala.

Pior que a maioria desses antivírus “free” pecam na hora de fazer o serviço bruto e os craqueados… bem, os craqueados são os craqueados, não fazem nada mesmo.

Há trocentos anos atrás era fácil e até fácil usar um programa craqueado, mas hoje em dia não compensa, haja vista na hora da atualização a chave falsa e detectada e as atualizações vão para o espaço… tem gente que ainda teima em usar antivírus craqueado e em alguns casos bloqueiam para que a chave não seja checada, achando que pode burlar o sistema e assim passar despercebido, mas os softwares estão cada vez mais inteligentes, então se você não pode comprar um bom antivírus escolha o menos ruim da versão free e mantenha-o atualizado.

Neste tópico vamos explicar como verificar a existência e como excluir arquivos suspeitos.

Geralmente, no windows, as pastas que normalmente os vírus se alojam, são:

• C:\ {Pasta raiz do disco rígido – se tiver mais de um, será D:, E:, etc}
• C:\Windows {Pasta raiz do sistema}
• C:\Windows\System {Pasta onde são guardados os arquivos de configurações do sistema}
• C:\Windows\System32 {a maioria dos vírus se alojam aqui porque é a página principal do sistema, onde são guardadas as bibliotecas (dll) do sistema, que rodam quando ele é acionado}
• C:\Documents And Settings\NomedoUsuário\
• C:\Documents And Settings\NomedoUsuário\Dados de Aplicativos\
• C:\Documents And Settings\NomedoUsuário\Configurações de Dados\

Os arquivos suspeitos se disfarçam de arquivos verdadeiros ou usando nomes parecidos, como:

Falso: CSRCS.EXE | Verdadeiro: CSRSS.EXE

Falso: SVCHOSTS.EXE | Verdadeiro SVCHOST.EXE

Esses acima são os mais atacados.
Outra técnica é ficar oculto e protegido contra gravação/exclusão.

Uma forma de descobrir quais os arquivos que estão ocultos no sistema é via comando (CMD) e digitar DIR/AH nas pastas listadas.

Exemplo

Vamos verificar as pastas sugeridas, começando pela raiz do sistema C:.
Clicando em INICIAR e em EXECUTAR, digite CMD e clique em OK, na tela preta (Tela de comando), automaticamente você estará na pasta de usuário, então vai aparecer:

C:\Documents And Settings\NomedoUsuário\

Digite CD\, aperte enter e você irá para a pasta C:\, agora digite DIR/AH e enter e deverá aparecer:

C:\>dir/ah
O volume na unidade C não tem nome.
O número de série do volume é F86E-270F
Pasta de C:\
24/07/2010 11:32 242 boot.ini
28/10/2001 12:06 4.952 Bootfont.bin
15/11/2010 12:52

Config.Msi
01/01/2007 01:21 0 IO.SYS
01/01/2007 01:21 0 MSDOS.SYS
18/11/2010 12:10 704.643.072 pagefile.sys
20/05/2010 17:45 RECYCLER
28/04/2010 02:05 System Volume Information
5 arquivo(s) 704.648.266 bytes
3 pasta(s) 27.610.669.056 bytes disponíveis

Caso apareça algum arquivo com extensão .EXE ou .INF exclua, mas antes altere os atributos dele pois se ele estiver ocultonão será possível apagá-lo:

ATTRIB -H -A -R -S nomedoarquivo.extensão (ex: ATTRIB -H -A -R -S yeh87.exe) e enter;

Agora apague-o: DEL NOMEDOARQUIVO.EXTENSÃO (ex: DEL YEH87.EXE) (tanto faz digitar maiúsculos ou mínusculos).

Vá para a pasta C:\WINDOWS\SYSTEM32, digite CD\WINDOWS\SYSTEM32 e enter;

C:\WINDOWS\system32>dir/ah
O volume na unidade C não tem nome.
O número de série do volume é F86E-270F
Pasta de C:\WINDOWS\system32
01/01/2007 17:40 749 cdplayer.exe.manifest
07/10/2010 02:00

dllcache
01/01/2007 17:41 488 logonui.exe.manifest
01/01/2007 17:40 749 ncpa.cpl.manifest
01/01/2007 17:40 749 nwc.cpl.manifest
01/01/2007 17:40 749 sapi.cpl.manifest
01/01/2007 17:41 488 WindowsLogon.manifest
01/01/2007 17:40 749 wuaucpl.cpl.manifest
7 arquivo(s) 4.721 bytes
1 pasta(s) 27.610.669.056 bytes disponíveis

Nesta pasta qualquer arquivo .EXE, .COM, .BAT, .INF ou .DLL que esteja oculto é suspeito, cheque antes via comando: DIR/AH e caso haja (com exceção desses listados acima), altere seus atributos e apague-os.

Fonte: http://www.teclada.com/