[Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus

Vou mostrar um método para vocês detectarem programas maliciosos no seus computadores e retirá-los sem usar anti-virus. Para isso usaremos três programas:

VALHALA- sucessor do antigo Anti-Trojans. Monitora portas específicas, possui scanneamento, ping, entre outros recursos. Pode ser baixado no SuperDownloads (www.superdownloads.com.br).
FPORT - Um programa que consegue mapear as portas abertas no seu computador para processos, mostrando assim que programa abriu cada porta.

REGEDIT- Editor do registro que vêm junto com o Windows.Primeiro usaremos a opção de scanneamento do Valhala no nosso próprio computador, usando o endereço de loopback (127.0.0.1) e selecionando Scanneamento inteligente, para que o programa cheque as portas cadastrados em sua lista:

[img]https://i.servimg.com/u/f40/12/30/97/40/coluna10.jpg[/img]


Encontramos várias portas abertas. Vamos checar então: meu sistema operacional é Windows XP e o utilizo como servidor. Só de ter essa informação já posso excluir várias portas: a porta 25, que é meu servidor de envio de e-mail, a porta 110, que é meu servidor de recebimento de e-mails, a porta 135 que é o RPC (remote procedure call), a porta 389 do LDAP, a 1025 do Listen e a 5000 (mesmo mostrando acima que podem existir trojans que a utilizem) usada pelo Universal Plug n Play. Ora, sobrou apenas a porta 666 (que o trojan servercompress.exe da matéria anterior abriu). Obs: São todas portas TCP.

No computador de um usuário comum que utilize Windows 98 por exemplo, apareceram bem menos portas. Geralmente é comum as porta 139 (Netbios), 445 (Netbios por TCP/IP) estarem abertas (o que pode significar outro risco, leia a matéria sobre o r3x e o languard), e as portas de 1000 a 4000, quando você está utilizando programas como ICQ e Internet Explorer. Para fazer esse teste, esteja desconectado para que não tenha muitas portas abertas para confundir. Vamos rodar o FPORT em modo DOS e ver suas informações:

[img]https://i.servimg.com/u/f40/12/30/97/40/coluna11.jpg[/img]

Ahá ! Descobri o “safado”. Observe que o Fport mostrou que o programa c:\windows\system32\servercompress.exe abriu e está usando a porta 666. Esse outro svchost.exe é apenas um serviço do Windows XP, não um trojan. Muito bem: descoberto o nome do arquivo como vamos fazer para mandá-lo para o espaço? Não apagar o arquivo de cara, pois como ele está sendo executado o Windows não permitirá. Eu poderia também procurar o nome do arquivo nos processos que estão sendo executados e fechar o processo, mas o trojan continuaria sendo iniciado pois ele está no registro. Vamos executar o regedit então (iniciar / executar / digite regedit) e mandar que ele procure por servercompress.exe.

[img]https://i.servimg.com/u/f40/12/30/97/40/coluna12.jpg[/img]

Prontinho, procuramos e apagamos todas as chaves que apareceram no resultado. Logo após reiniciamos o computador, e o trojan não estará mais na memória. Agora é só ir e apagar o arquivo servercompress.exe . E assim retiramos esse programa maldoso da máquina.

Que cena fabulosa, isso vai dar cá um jeitão!... Continua assim rapaz!...

Que belo Tópico!...

Tens razao cajo!! Bom topico continua!

Eu bem sabia que este meu colega iria comecar a contribuir da melhor maneira para este fórum!...

Vamos a trabalhar pessoal! Força rapazes!

Que grito de força!... :lol!:

olha acho que vou fazer bem, irei mover este tópico para a zona TUTORIAIS!...