Identificando e removendo um programa indesejado

Como no caso da minha amiga, usei uma idéia básica. Mas para isso, eu precisaria tentar chutar o programa a ser fechado, pelo nome do executável. Como saber? O Windows por si só carrega diversos programas em execução (processos) próprios, para uso do sistema. Cada programa aberto também será considerado um processo, e listado, portanto, no gerenciador de tarefas e os malwares também ficarão por ali.

A idéia é listar ou decorar os nomes dos programas do Windows que sempre se iniciam, mais aqueles que você usa e que se iniciam automaticamente também (como seu antivírus, o firewall, etc). Com base nisso, você pode ir tentando fechar os malwares. Na dúvida, uma dica é copiar o nome do programa e jogar no Google. Se for um malware conhecido, provavelmente você irá encontrar páginas (normalmente de fóruns) relatando-o. Aí não resta dúvida, basta fechá-lo.

Acontece que o gerenciador de tarefas do Windows pode ser facilmente corrompido ou modificado, e é possível que um programa nem apareça nele. Além disso, alguns malwares bloqueiam o gerenciador de tarefas (usando recursos do próprio Windows, por incrível que possa parecer!). Para uma verificação mais profunda, vamos usar outro gerenciador de tarefas.

Um muito bom é o Process Explorer NT. Ele é da SysInternals, que foi comprada pela Microsoft. Eu pensava que seria descontinuado depois da compra, mas pelo contrário, foi até atualizado para trabalhar melhor no Windows Vista.

Baixe em:

http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx

Ele lista todos os processos abertos e permite visualizar muitas informações sobre os mesmos. A listagem é hierárquica, ele mostra os processos e os processos que os originaram (o programa que abriu outro programa, numa linguagem mais clara). Clicando com o botão direito num item, pode-se matar o processo correspondente, fechando bruscamente o programa.

O fechamento dessa forma é essencial. Uma que os malwares normalmente não exibem janelas, não tem onde você clicar para fechar. Outra que, mesmo se exibissem, é diferente o comando que o sistema operacional envia ao programa para fechá-lo. Ao clicar no botão com o X numa janela, o Windows não necessariamente fecha o programa; ele diz ao programa que é para ser fechado. O programa pode fazer o que quiser, inclusive decidir se vai mesmo ser fechado ou não.

É isso que permite a um programa tomar a dianteira e exibir uma janela perguntando se você quer salvar um arquivo antes de fechá-lo, dando a opção de mantê-lo aberto, por exemplo. Se ele fosse fechado diretamente ao clicar no X, você perderia qualquer arquivo não salvo.

Aqui, o objetivo é justamente o contrário: fechar o programa “à força“, “matar o processo“, como se diz. O sistema operacional finaliza o programa e libera os recursos usados por ele (como a memória) sem notificá-lo. Algumas vezes complica um pouco, pois malwares mais elaborados podem manter duas instâncias de si mesmo, e se uma for fechada logo a outra detecta e a reabre. Mas com um pouco de paciência e prática, dá para se virar e tomar o controle. Afinal, o computador é seu, não do malware.

Esse Process Explorer NT permite até mesmo “pausar” um determinado programa, e continuá-lo depois. Estando “pausado“, o programa continua aberto mas parece morto; por exemplo, esse que envia mensagens pelo MSN, não enviaria enquanto estivesse pausado. Essas ações são feitas ao clicar com o botão direito no processo, dentro do Process Explorer NT.

Pode ocorrer de você fechar um programa inofensivo realmente, por desconhecer o nome dele. Normalmente isso não lhe trará problema algum, bastará reabrir o programa que foi fechado depois. Tome o cuidado de não manter arquivos abertos ou documentos não salvos enquanto fecha os programas suspeitos, e também evite fazer isso conectado à Internet. Simples: você pode fechar seu firewall sem querer e continuar por horas navegando – sem perceber que abriu as portas do seu computador para o mundo.

Bem, fechado o programa, você pode excluir o arquivo correspondente a ele. Tome cuidado aqui, para não excluir um arquivo errado, do sistema ou de outro programa bom que você use. Antes de excluir é bom pesquisar na Internet pelo nome do executável, ou então movê-lo para uma outra pasta, ou mesmo renomeá-lo com outra extensão (por exemplo, “coisax.exe” viraria “coisax.123“).

Para excluir, você deverá saber onde se encontra o arquivo. A maioria dos spywares são instalados na pasta “system32” (creio que escolhem essa por ser uma pasta de sistema, que ainda por cima contém muitos arquivos), assim fica difícil encontrar “suspeitos” apenas olhando lá dentro. Uma dica é usar a pesquisa do sistema operacional, aquele “Pesquisar” do Iniciar, jogando o nome do arquivo desejado. Nessa tarefa, algumas configurações do Windows acabam atrapalhando. Para ficar mais seguro para você, altere estas opções:

• Na guia “Modos de exibição” das opções de pasta (menu “Ferramentas > Opções de pasta“, do Windows Explorer), marque o item “Mostrar todos os arquivos” na categoria “Arquivos ocultos“. E desmarque o “Ocultar arquivos protegidos do sistema operacional“. Ainda ali, desmarque a opção que oculta as extensões dos arquivos. Depois disso, basta tomar cuidado ao renomear seus arquivos, onde você deverá digitar o nome junto com a extensão, e não apague alguns arquivos que “aparecerão” na unidade C:, como boot.ini, ntldr, etc. Esses arquivos são do sistema e ficam ocultos por padrão. Pedi para exibi-los pois assim ele não ocultará os outros arquivos, facilitando a localização dos malwares, inclusive usando o “Pesquisar“.

• O “Pesquisar” do Windows XP veio para facilitar apenas para usuários iniciantes. Para pesquisar arquivos ocultos em pastas do sistema, usando regras de pesquisa (máscaras) e opções avançadas, é terrível, ficou muito ruim. O ideal é voltar para a pesquisa clássica, igual à do Windows 2000/Me. Veja como fazer isso aqui:

http://www2.explorando.com.br/2005/12/deixando-o-pesquisar-do-windows-xp2003

(envolve edição do registro)

Pronto. Agora ficou mais fácil localizar o arquivo no disco e excluí-lo. Quase sempre os spywares estarão dentro da pasta system32, ou pelo menos na pasta do Windows. Mande pesquisar na pasta “C:\windows” incluindo subpastas; caso não o encontre ali, mande buscar então em todos os discos rígidos locais. Pesquisando apenas na pasta do Windows a pesquisa será mais rápida, já que o buscador não terá que vasculhar todo o seu HD 🙂

Fechado o programa, excluído o arquivo, agora falta remover o ponto de entrada de inicialização, que faz com que o programa seja carregado durante o boot do sistema. Os programas que se iniciam junto com o computador podem ficar configurados em alguns lugares diferentes no Windows. Uma forma básica de ver isso é usar o MSConfig, programinha que já vem com o Windows (exceto NT e 2000) e que lista os programas abertos. Clique no “Iniciar > Executar“, digite msconfig e tecle enter. Na aba “Inicializar“, localize os itens desejados e desmarque o suposto malware. Depois de desmarcado, clique em Aplicar > OK. Ele pedirá para reiniciar o computador, fica a seu critério reiniciar no momento ou depois.

Importante: sempre remova a entrada de inicialização do programa com ele fechado. Se você não fizer isso, alguns programas ficam regravando as chaves no registro enquanto estão abertos, justamente para que se você remova, logo eles regravam e serão inicializados depois, na maior cara de pau. Com eles fechados, simplesmente não têm como regravar.

Nem sempre será fácil remover programas indesejados dessa forma, mas boa parte deles podem ser removidos assim, por incrível que possa parecer 🙂

Outra dica é iniciar o computador limpo, sem spywares, e anotar os nomes dos programas que se iniciam automaticamente (seja pelo Process Explorer NT ou pelo próprio gerenciador de tarefas). Boa sorte 🙂