[Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
3 participantes
Windows tools :: Pc :: Tutoriais
Página 1 de 1
[Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
Vou mostrar um método para vocês detectarem programas maliciosos no seus computadores e retirá-los sem usar anti-virus. Para isso usaremos três programas:
VALHALA- sucessor do antigo Anti-Trojans. Monitora portas específicas, possui scanneamento, ping, entre outros recursos. Pode ser baixado no SuperDownloads (www.superdownloads.com.br).
FPORT - Um programa que consegue mapear as portas abertas no seu computador para processos, mostrando assim que programa abriu cada porta.
REGEDIT- Editor do registro que vêm junto com o Windows.Primeiro usaremos a opção de scanneamento do Valhala no nosso próprio computador, usando o endereço de loopback (127.0.0.1) e selecionando Scanneamento inteligente, para que o programa cheque as portas cadastrados em sua lista:
[img]https://i.servimg.com/u/f40/12/30/97/40/coluna10.jpg[/img]
Encontramos várias portas abertas. Vamos checar então: meu sistema operacional é Windows XP e o utilizo como servidor. Só de ter essa informação já posso excluir várias portas: a porta 25, que é meu servidor de envio de e-mail, a porta 110, que é meu servidor de recebimento de e-mails, a porta 135 que é o RPC (remote procedure call), a porta 389 do LDAP, a 1025 do Listen e a 5000 (mesmo mostrando acima que podem existir trojans que a utilizem) usada pelo Universal Plug n Play. Ora, sobrou apenas a porta 666 (que o trojan servercompress.exe da matéria anterior abriu). Obs: São todas portas TCP.
No computador de um usuário comum que utilize Windows 98 por exemplo, apareceram bem menos portas. Geralmente é comum as porta 139 (Netbios), 445 (Netbios por TCP/IP) estarem abertas (o que pode significar outro risco, leia a matéria sobre o r3x e o languard), e as portas de 1000 a 4000, quando você está utilizando programas como ICQ e Internet Explorer. Para fazer esse teste, esteja desconectado para que não tenha muitas portas abertas para confundir. Vamos rodar o FPORT em modo DOS e ver suas informações:
[img]https://i.servimg.com/u/f40/12/30/97/40/coluna11.jpg[/img]
Ahá ! Descobri o “safado”. Observe que o Fport mostrou que o programa c:\windows\system32\servercompress.exe abriu e está usando a porta 666. Esse outro svchost.exe é apenas um serviço do Windows XP, não um trojan. Muito bem: descoberto o nome do arquivo como vamos fazer para mandá-lo para o espaço? Não apagar o arquivo de cara, pois como ele está sendo executado o Windows não permitirá. Eu poderia também procurar o nome do arquivo nos processos que estão sendo executados e fechar o processo, mas o trojan continuaria sendo iniciado pois ele está no registro. Vamos executar o regedit então (iniciar / executar / digite regedit) e mandar que ele procure por servercompress.exe.
[img]https://i.servimg.com/u/f40/12/30/97/40/coluna12.jpg[/img]
Prontinho, procuramos e apagamos todas as chaves que apareceram no resultado. Logo após reiniciamos o computador, e o trojan não estará mais na memória. Agora é só ir e apagar o arquivo servercompress.exe . E assim retiramos esse programa maldoso da máquina.
VALHALA- sucessor do antigo Anti-Trojans. Monitora portas específicas, possui scanneamento, ping, entre outros recursos. Pode ser baixado no SuperDownloads (www.superdownloads.com.br).
FPORT - Um programa que consegue mapear as portas abertas no seu computador para processos, mostrando assim que programa abriu cada porta.
REGEDIT- Editor do registro que vêm junto com o Windows.Primeiro usaremos a opção de scanneamento do Valhala no nosso próprio computador, usando o endereço de loopback (127.0.0.1) e selecionando Scanneamento inteligente, para que o programa cheque as portas cadastrados em sua lista:
[img]https://i.servimg.com/u/f40/12/30/97/40/coluna10.jpg[/img]
Encontramos várias portas abertas. Vamos checar então: meu sistema operacional é Windows XP e o utilizo como servidor. Só de ter essa informação já posso excluir várias portas: a porta 25, que é meu servidor de envio de e-mail, a porta 110, que é meu servidor de recebimento de e-mails, a porta 135 que é o RPC (remote procedure call), a porta 389 do LDAP, a 1025 do Listen e a 5000 (mesmo mostrando acima que podem existir trojans que a utilizem) usada pelo Universal Plug n Play. Ora, sobrou apenas a porta 666 (que o trojan servercompress.exe da matéria anterior abriu). Obs: São todas portas TCP.
No computador de um usuário comum que utilize Windows 98 por exemplo, apareceram bem menos portas. Geralmente é comum as porta 139 (Netbios), 445 (Netbios por TCP/IP) estarem abertas (o que pode significar outro risco, leia a matéria sobre o r3x e o languard), e as portas de 1000 a 4000, quando você está utilizando programas como ICQ e Internet Explorer. Para fazer esse teste, esteja desconectado para que não tenha muitas portas abertas para confundir. Vamos rodar o FPORT em modo DOS e ver suas informações:
[img]https://i.servimg.com/u/f40/12/30/97/40/coluna11.jpg[/img]
Ahá ! Descobri o “safado”. Observe que o Fport mostrou que o programa c:\windows\system32\servercompress.exe abriu e está usando a porta 666. Esse outro svchost.exe é apenas um serviço do Windows XP, não um trojan. Muito bem: descoberto o nome do arquivo como vamos fazer para mandá-lo para o espaço? Não apagar o arquivo de cara, pois como ele está sendo executado o Windows não permitirá. Eu poderia também procurar o nome do arquivo nos processos que estão sendo executados e fechar o processo, mas o trojan continuaria sendo iniciado pois ele está no registro. Vamos executar o regedit então (iniciar / executar / digite regedit) e mandar que ele procure por servercompress.exe.
[img]https://i.servimg.com/u/f40/12/30/97/40/coluna12.jpg[/img]
Prontinho, procuramos e apagamos todas as chaves que apareceram no resultado. Logo após reiniciamos o computador, e o trojan não estará mais na memória. Agora é só ir e apagar o arquivo servercompress.exe . E assim retiramos esse programa maldoso da máquina.
Última edição por jp em Qua Abr 23, 2008 7:33 pm, editado 1 vez(es)
jp- Moderadores
- Número de Mensagens : 34
Idade : 30
Localização : Guarda
Warning :
Data de inscrição : 12/04/2008
Re: [Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
Que cena fabulosa, isso vai dar cá um jeitão!... Continua assim rapaz!...
Que belo Tópico!...
Que belo Tópico!...
Cajó- Admin
- Número de Mensagens : 1354
Idade : 29
Localização : Guarda
Warning :
Data de inscrição : 10/04/2008
Re: [Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
Tens razao cajo!! Bom topico continua!
Re: [Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
Eu bem sabia que este meu colega iria comecar a contribuir da melhor maneira para este fórum!...
Cajó- Admin
- Número de Mensagens : 1354
Idade : 29
Localização : Guarda
Warning :
Data de inscrição : 10/04/2008
Re: [Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
Vamos a trabalhar pessoal! Força rapazes!
Re: [Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
Que grito de força!... :lol!:
Cajó- Admin
- Número de Mensagens : 1354
Idade : 29
Localização : Guarda
Warning :
Data de inscrição : 10/04/2008
Re: [Topico] Saiba como encontrar e retirar trojans do seu computador sem anti-virus
olha acho que vou fazer bem, irei mover este tópico para a zona TUTORIAIS!...
Cajó- Admin
- Número de Mensagens : 1354
Idade : 29
Localização : Guarda
Warning :
Data de inscrição : 10/04/2008
Conteúdo patrocinado
Tópicos semelhantes
» [Topico]Spy Doctor SE
» [Topico]Dicas do google
» [Topico]10 dicas do google earth
» [Tutorial]Como colocar Fonts
» [Topico]Dicas do google
» [Topico]10 dicas do google earth
» [Tutorial]Como colocar Fonts
Windows tools :: Pc :: Tutoriais
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos