Ter um bom antivírus é essencial, mantê-lo atualizado então nem se fala.
Pior que a maioria desses antivírus “free” pecam na hora de fazer o serviço bruto e os craqueados… bem, os craqueados são os craqueados, não fazem nada mesmo.
Há trocentos anos atrás era fácil e até fácil usar um programa craqueado, mas hoje em dia não compensa, haja vista na hora da atualização a chave falsa e detectada e as atualizações vão para o espaço… tem gente que ainda teima em usar antivírus craqueado e em alguns casos bloqueiam para que a chave não seja checada, achando que pode burlar o sistema e assim passar despercebido, mas os softwares estão cada vez mais inteligentes, então se você não pode comprar um bom antivírus escolha o menos ruim da versão free e mantenha-o atualizado.
Neste tópico vamos explicar como verificar a existência e como excluir arquivos suspeitos.
Neste tópico vamos explicar como verificar a existência e como excluir arquivos suspeitos.
Geralmente, no windows, as pastas que normalmente os vírus se alojam, são:
- C:\ {Pasta raiz do disco rígido – se tiver mais de um, será D:, E:, etc}
- C:\Windows {Pasta raiz do sistema}
- C:\Windows\System {Pasta onde são guardados os arquivos de configurações do sistema}
- C:\Windows\System32 {a maioria dos vírus se alojam aqui porque é a página principal do sistema, onde são guardadas as bibliotecas (dll) do sistema, que rodam quando ele é acionado}
- C:\Documents And Settings\NomedoUsuário\
- C:\Documents And Settings\NomedoUsuário\Dados de Aplicativos\
- C:\Documents And Settings\NomedoUsuário\Configurações de Dados\
Os arquivos suspeitos se disfarçam de arquivos verdadeiros ou usando nomes parecidos, como:
Falso: CSRCS.EXE | Verdadeiro: CSRSS.EXE
Falso: SVCHOSTS.EXE | Verdadeiro SVCHOST.EXE
Esses acima são os mais atacados.
Outra técnica é ficar oculto e protegido contra gravação/exclusão.
Outra técnica é ficar oculto e protegido contra gravação/exclusão.
Uma forma de descobrir quais os arquivos que estão ocultos no sistema é via comando (CMD) e digitar DIR/AH nas pastas listadas.
Exemplo
Vamos verificar as pastas sugeridas, começando pela raiz do sistema C:.
Clicando em INICIAR e em EXECUTAR, digite CMD e clique em OK, na tela preta (Tela de comando), automaticamente você estará na pasta de usuário, então vai aparecer:
Clicando em INICIAR e em EXECUTAR, digite CMD e clique em OK, na tela preta (Tela de comando), automaticamente você estará na pasta de usuário, então vai aparecer:
C:\Documents And Settings\NomedoUsuário\
Digite CD\, aperte enter e você irá para a pasta C:\, agora digite DIR/AH e enter e deverá aparecer:
C:\>dir/ah
O volume na unidade C não tem nome.
O número de série do volume é F86E-270F
Pasta de C:\
24/07/2010 11:32 242 boot.ini
28/10/2001 12:06 4.952 Bootfont.bin
15/11/2010 12:52 <DIR> Config.Msi
01/01/2007 01:21 0 IO.SYS
01/01/2007 01:21 0 MSDOS.SYS
18/11/2010 12:10 704.643.072 pagefile.sys
20/05/2010 17:45 <DIR> RECYCLER
28/04/2010 02:05 <DIR> System Volume Information
5 arquivo(s) 704.648.266 bytes
3 pasta(s) 27.610.669.056 bytes disponíveis
O volume na unidade C não tem nome.
O número de série do volume é F86E-270F
Pasta de C:\
24/07/2010 11:32 242 boot.ini
28/10/2001 12:06 4.952 Bootfont.bin
15/11/2010 12:52 <DIR> Config.Msi
01/01/2007 01:21 0 IO.SYS
01/01/2007 01:21 0 MSDOS.SYS
18/11/2010 12:10 704.643.072 pagefile.sys
20/05/2010 17:45 <DIR> RECYCLER
28/04/2010 02:05 <DIR> System Volume Information
5 arquivo(s) 704.648.266 bytes
3 pasta(s) 27.610.669.056 bytes disponíveis
Caso apareça algum arquivo com extensão .EXE ou .INF exclua, mas antes altere os atributos dele pois se ele estiver ocultonão será possível apagá-lo:
ATTRIB -H -A -R -S nomedoarquivo.extensão (ex: ATTRIB -H -A -R -S yeh87.exe) e enter;
Agora apague-o: DEL NOMEDOARQUIVO.EXTENSÃO (ex: DEL YEH87.EXE) (tanto faz digitar maiúsculos ou mínusculos).
Vá para a pasta C:\WINDOWS\SYSTEM32, digite CD\WINDOWS\SYSTEM32 e enter;
C:\WINDOWS\system32>dir/ah
O volume na unidade C não tem nome.
O número de série do volume é F86E-270F
Pasta de C:\WINDOWS\system32
01/01/2007 17:40 749 cdplayer.exe.manifest
07/10/2010 02:00 <DIR> dllcache
01/01/2007 17:41 488 logonui.exe.manifest
01/01/2007 17:40 749 ncpa.cpl.manifest
01/01/2007 17:40 749 nwc.cpl.manifest
01/01/2007 17:40 749 sapi.cpl.manifest
01/01/2007 17:41 488 WindowsLogon.manifest
01/01/2007 17:40 749 wuaucpl.cpl.manifest
7 arquivo(s) 4.721 bytes
1 pasta(s) 27.610.669.056 bytes disponíveis
O volume na unidade C não tem nome.
O número de série do volume é F86E-270F
Pasta de C:\WINDOWS\system32
01/01/2007 17:40 749 cdplayer.exe.manifest
07/10/2010 02:00 <DIR> dllcache
01/01/2007 17:41 488 logonui.exe.manifest
01/01/2007 17:40 749 ncpa.cpl.manifest
01/01/2007 17:40 749 nwc.cpl.manifest
01/01/2007 17:40 749 sapi.cpl.manifest
01/01/2007 17:41 488 WindowsLogon.manifest
01/01/2007 17:40 749 wuaucpl.cpl.manifest
7 arquivo(s) 4.721 bytes
1 pasta(s) 27.610.669.056 bytes disponíveis
Nesta pasta qualquer arquivo .EXE, .COM, .BAT, .INF ou .DLL que esteja oculto é suspeito, cheque antes via comando: DIR/AH e caso haja (com exceção desses listados acima), altere seus atributos e apague-os
Fonte:Teclada
Ha Danado !
Nenhum comentário:
Postar um comentário