Avaliação de Programas:

O melhor Antivírus! (Novo!) Atualizado 04/01/2008

Spywares e afins Atualizado 14/04/06

O melhor firewall / firewall é necessário? Atualizado 14/04/06

Qual o Melhor Anti-Spyware?


Tutoriais e Dicas:

Spywares, trojans, vírus e programas de proteção

Tutorial: Falso positivo com o AntiVir ? Leia aqui


Gerais:

Quero pegar senha de MSN/ORKUT, como faço?


Segurança em geral:

Boletim vulnerabilidades - CAIS/CERT.

__________________________________________
Envie MP para sugerir tópicos para esta seção.
__________________________________________

Olá pessoal

Bom, há bastante tempo pensava em criar um tópico como este e nunca tinha tempo para escrever tudo de uma vez, por isso fui escrevendo aos poucos por se tratar de um assunto tanto quanto delicado, ao meu ver.

Acredito que saber analisar um log e ter ciência do que está presente em seu computador é um detalhe trivial que, na minha opinião, deveria ser do interesse de todo internauta e tratado com mais transparência na web, e não com a burocracia imposta em inúmeros fóruns. Afinal, a cada minuto praticamente novos malwares são criados -- um mais sofisticado que o outro -- e saber como lidar com estas pragas é algo importantíssimo. Contudo, um dos meios mais simples para isto, creio eu, que seja uma análise de log. Por quê? Sabendo interpretar um log, você saberá onde a contaminação está e possivelmente evitar que ela espalhe no sistema. Sim, antivirus, firewalls e qualquer outro 'utensilho' que possua a capacidade de defender o computador de pragas virtuais são instrumentos EXTREMAMENTE importantes, porém, todos sabem que estes programas não são 100% efetivos, sobretudo, quando o PC está infectado o desespero bate a porta de muitos, e a impaciência em identificar/remover a ameaça o mais rápido torna-se natural.

No intuito de auxiliar àqueles que pretendem se especializar em tal atividade e não sabem como começar ou estiverem com dificuldades, gostaria de fazer deste tópico um espaço para dúvidas, sugestões, dicas, discussões (pacíficas, por favor), troca de experiências sobre análises de logs, utilização de ferramentas, procedimentos adequados e etc.

Caso você tenha alguma dúvida sobre um log qualquer, sobre alguma ameaça, indecisão e etc, poste aqui!

Nota Importante: Este tópico não é destinado a pedidos de análises, somente dúvidas, partilha de conhecimentos e dicas. Se você está com problemas em seu PC e deseja que os amigos analistas façam uma vistoria em seu log, poste nesta área.

Abaixo deixo alguns fatores interessantes que me ajudaram muito quando comecei e tenho por mim que possa ser útil a todos. peço que compartilhem seus conhecimentos também, ou dúvidas, sintam-se em casa!


É, este é um ponto essencial para quem gosta da área técnica da informática. Querendo ou não, o tempo de experiência de um usuário conta muito em qualquer situação, não somente na tecnologia, é claro. Entretanto, muitos chegam a desistir de seus propósitos pois julgam-se incapazes de adquirir o conhecimento de uma pessoa experiente, e esse é o primeiro erro. Experiência requer tempo e tempo requer estudo. Tudo depende somente de você, não se menospreze. Particularmente defino o termo experiência com quatro palavras: interesse, estudo, dedicação e prática.

Se você não gosta de mexer com determinada área e não está disposto a aprender, faça um bem para a humanidade e caia fora dessa!
Agora se você quer realmente aumentar seu conhecimento, maravilha!


Não se engane, saber analisar um log não exige conhecimentos apenas em segurança. Entender o significado de termos técnicos da informática (em geral), saber trabalhar com os diferentes tipos de sistemas operacionais (especialmente o Windows pois estamos tratando de análises de logs), manusear suas funções, conhecer seus arquivos e seus termos técnicos, explorar seus recursos e etc, são fatores de suma importância nesta tarefa, senão os maiores. Não conhecer o ambiente cujo encontra-se prejudicado são dez pontos a mais para o malware.

No Windows muitos malwares afetam áreas delicadas como o registro, a MBR, o kernel, dependendo do tipo, contaminam arquivos legítimos e retardam as funções e o andamento. Portanto, é preciso conhecer bem estas áreas para saber o que deve e não deve ser feito lá. Nunca aja por impulso ou achismo!

Porém, não preciso dizer que um conhecimento aguçado sobre segurança da informação é o detalhe "chave" nessa questão, né? Calma, calma... não estou dizendo que você precisa ter um diploma superior ou ser um professor da Harvard para entender os conceitos dessa matéria. Pesquise, pergunte, leia, explore conhecimentos/experiências alheias -- pois eles são os que mais irão lhe ajudar nessa estrada. Não tenha vergonha de perguntar porque a única pessoa que vai sair perdendo é você. Se curtir do assunto e quiser fazer um curso superior futuramente, daí é com você.

Antes de qualquer coisa, lembre-se que você estará manipulando dados sensíveis de sua pessoa ou, principalmente, de outras (o que aumenta cem vezes mais a sua responsabilidade).

Todavia, logicamente, não pense que você precisa saber tudo de tudo ou deve ser isento de falhas, porque simplesmente não existe ser humano capaz disso. Computador é um mundo!


Pessoal, sejamos realistas, analisar um log não é bicho de sete cabeças. Programação é uma área muito mais complexa, por exemplo.

Falando a grosso modo, analisar um log nada mais é do que verificar se um arquivo é legítimo (seja de um programa, jogo, sistema) ou malicioso, em cada uma das entradas. Foque-se inicialmente na localização de cada arquivo, seus nomes e suas extensões. Esqueça, por ora, da parte adicional dos logs.

Copie o nome ou a localização completa do arquivo e jogue no Google. Observe a descrição que os resultados lhe darão, leia várias opiniões distintas antes de agir. Dê preferência para sites especializados como Bleeping Computer, ProcessLibrary e ThreatExpert. No entanto, ainda assim muito cuidado, pois estes sites também podem fornecer informações incorretas. Se você achou no Google um caso parecido com o que está enfrentando e o mesmo foi bem resolvido, você pode tê-lo como um guia ou uma referência. Mas lembre-se que cada caso é um caso. Se ferramentas específicas e preparos de scripts foram publicados no caso encontrado, não copie-o!

Estude e pesquise bastante os processos, nomes de arquivos, suas localizações corretas, o que fazem, para que servem, enfim... aquela famosa decoréba clássica para você ir se familiarizando com os danados. Perguntem sempre que houver dúvidas, não sintam-se acanhados em não saber do que se trata algo. Alguém pode tirar sua dúvida em menos de minutos. Se ainda assim houverem suspeitas sob o arquivo, submeta-o ao VirusTotal.

Está craque nos processos, arquivos e tudo mais? É hora de trabalhar nos detalhes adicionais do log. Mas o que seriam estes detalhes? São as seções correspondentes a cada parte do log, aquelas informações complementares que são impressas juntamente com as entradas para deixar o analista ambientado. No entanto, veja bem, cada log contém um tipo de detalhe adicional diferente. Darei um exemplo tendo como base um log do OTL.

Ao gerar um log do OTL, no meio daquelas incontáveis informações, você enxergará seções como:

a — Files/Folders - Created Within 30 Days
b — Files - Modified Within 30 Days
c — Driver Services (SafeList)
d — Win32 Services (SafeList)
e — Processes (SafeList)
f — Chrome, Firefox, Internet Explorer
g — [2012/03/10 09:41:41 | 000,001,894 | ---- | M] [ ---HDRS--- ]
h — LOP Check

Explicação

a — Lista os arquivos e pastas criados nos últimos 30 dias. O número de dias pode ser alterado diretamente na interface do OTL
b — Lista os arquivos e pastas modificados nos últimos 30 dias. Não confunda com os arquivos criados, pois estes já existiam e foram modificadas por algum motivo
c — Lista os arquivos responsáveis pelos dispositivos e drivers dos programas, como drivers de som, rede, gráfico e etc
d — Lista os serviços presentes no Windows, mais especificamente no services.msc
e — Lista os arquivos carregados na memória (Gerenciador de Tarefas) na hora em que o relatório foi gerado
f — Listam os componentes instalados em cada um dos browsers, seja extensões, plugins, toolbars, barras de busca, home page, configurações proxy, etc
g — Data em que o arquivo foi criado/modificado (depende da seção) || hora que o arquivo foi criado/modificado || tamanho do arquivo em bytes || a letra M significa Modified (modificado), se no lugar de M houver a letra C significará Created (Criado) | a letra H significa Hidden (Oculto), a D significa Directory (Diretório/Pasta), a R significa Readonly (Somente Leitura) e a S significa System (arquivo do sistema)
h — Lista o diretório onde o malware Lop.com costuma residir: C:\Users\[nome de usuario]\AppData\Roaming.

No QUOTE mencionei apenas alguns exemplos que, na prática, são as seções mais comuns. Porém, no log podem haver outras seções.

Para muitos, estes detalhes podem confundir um pouco. Mas, na verdade, eles não servem para nada, senão ajudar o analista a saber qual área do log ele está analisando e eventualmente até ajudar na hora de preparar um script, talvez. Entenda estes detalhes como se fossem uma espécie de bússola. Como assim swampedman? Imagine se não houvesse a divisão de seções no log, todas as entradas juntas em um só lugar, arquivos de diferentes finalidades juntos, drivers, plugins e toolbars todos reunidos um sobre o outro... Seria uma "vitamina" bagunçada, composta de ingredientes vitais à saúde do micro + ingredientes letais ao PC. Isso sim, iria confundir totalmente e levar o analista a cometer erros desnecessários.

É fato que poucos desenvolvedores disponibilizam tutoriais públicos de como utilizar suas ferramentas, com raras exceção de autores como Old Timer (OTL) e jpshortstuff (SystemLook) que disponibilizam na íntegra uma documentação de suas principais ferramentas -- as quais podem ser conferidas aqui e aqui. A maioria dos desenvolvedores consideram estes materiais altamente "inflamáveis" nas mãos erradas e, honestamente, em certas ocasiões eles têm razão.

Todavia, acredite, dificilmente as partes adicionais dos logs serão fundamentais para a remoção dos arquivos, a não ser servir como ponto de referência para o analista e ajudar a preparar um script, como já mencionei.

Dúvidas em alguma seção adicional? Indague no tópico, afinal, a intenção do mesmo é esclarecê-las.


Este é um assunto que você DEVE saber. Pesquise sobre os diversos tipos de malwares, os sintomas que cada classe estimula no sistema, suas consequências e métodos corretos de detecção/remoção. Além disso, saiba diferenciá-los uns dos outros. Citando os mais populares temos:

Adware
Spyware
Trojan Horse ou Cavalo de Tróia
Worm
Backdoor
Rootkit
Bootkit
Scareware ou Rogue
Banker
Ransomware
File Infector ou Vírus Polimórfico
Keylogger

Cada um deles provoca uma reação característica no sistema. Tenha em mente que, durante uma análise, saber com o que você está lidando no log é um fator culminante. Exemplo de alguns deles:

— Adwares normalmente instigam a abertura abusiva de pop-ups, instalam toolbars e searches nos browsers;
— Bankers, que são designados a roubar dados pessoais, podem adicionar endereços IP's de bancos no HOSTS e configurar proxies maliciosos nos browsers (principalmente no IE);
— Rogues podem instalaar softwares (geralmente de segurança) fraudulentos na máquina e emitir mensagens solicitando a compra de tais programas. Nesta página e nesta você confere atualizações frequentes de novos rogues diariamente;

Ressalto ainda que malwares não atuam padronizadamente, isto é, mesmo que o sintoma principal de tal malware seja causar "x" anomalias, ele pode perfeitamente causar "y" anomalias no sistema. Portanto, como dizia a música do Engenheiros do Hawaii: olho vivo e faro fino! Nunca subestime-os, ou, superestime-se.

Em especial, estude sobre os rootkits. São malwares comuns hoje em dia e de difícil remoção, é o caso do ZeroAcess e TDSS/TDL2. Muitos logs não mostram entradas relacionadas a rootkits. Por isso, torna-se coerente efetuar uma análise anti-rootkit específica no computador, inclusive, fóruns especializados já solicitam um log do OTL + GMER para adiantar o processo. Estude logs de ferramentas como TDSSKiller, RootRepeal e GMER.

Agora, jamais hesite em aconselhar o usuário a formatar a máquina em circunstâncias drásticas. Dependendo do caso, o malware deixa o sistema absolutamente instável e danifica-o inteiro ou parcialmente. Neste caso, formatação é a melhor e mais segura opção.



Curiosamente, observo que o que mais desperta interesse entre analistas novatos é a famosa e poderosa criação de scripts. Resumidamente, são linhas de comando que executam uma tarefa pré-definida pelo usuário. Os scripts podem ser validados por intermédio de ferramentas autorizadas ou criados a partir do Bloco de Notas mesmo (no caso, o .BAT). É óbvio que para criar um .BAT você deve ter um conhecimento, no mínimo, intermediário de Windows -- teoricamente nos comandos do prompt. Já para os scripts executados através de ferramentas autorizadas você precisa conhecer bem a ferramenta em questão e como preparar estes fixes.

Não preciso salientar que a criação de scripts é expressamente recomendada a usuários com uma certa experiência. Mas, ei, take it easy my friend! Se depender de mim, você chegará lá rapidinho. Não há necessidade de grupos de estudos, como os oferecidos em determinados fóruns, ou escolas técnicas para isso. É só uma questão de atenção e prática.

OBS: Usufrue sempre de uma máquina virtual para treinar e fazer testes.

Selecionando por popularidade, as ferramentas que fornecem um método de correção via script são: ComboFix (CFScript.txt), OTL, OTM, OTS e Avenger. Com exceção da OTL e OTM, cada ferramenta suporta uma sintaxe distinta em seu script. O que é uma sintaxe? Nos scripts, a sintaxe é o "cérebro" da linha de comando, isto é, a ferramenta executará uma ação sob as entradas baseado no que foi definido na sintaxe.

Exemplos:

Files to delete: {SINTAXE}
C:\WINDOWS\malware.exe {ENTRADA}

Driver:: {SINTAXE}
malware {ENTRADA}

P.S.: A sintaxe tem de ser colocada sempre antes da entrada e nunca se esqueça de que elas são parcialmente sensitives, por isso, atente-se na pontuação e nos nomes.

Antes de preparar qualquer script, você deve ter a absoluta certeza de que as entradas que serão corrigidas são 100% maliciosas e/ou totalmente inválidas. E após prepará-lo, revise-o várias vezes para ver se não há nenhum caractere ou entrada errados. Um equívoco sequer pode levar a ilações absurdas, desde um sistema inoperante até um comprometimento total do SO. Portanto, a atenção na hora de criar um script deve ser triplicada. Ciente destes adendos, sigamos em frente...

Para facilitar o estudo de vocês, separei as sintaxes principais das ferramentas comentadas anteriormente.

Link das sintaxes. Vocês ainda podem conferir a explicação de cada sintaxe nos artigos abaixo:

OTM e OTL
ComboFix
Avenger (tutorial oficial feito pelo desenvolvedor, em inglês)

Dados necessários para a criação de um script

1º Identificar a entrada maliciosa
2º Caminho completo para se chegar a infecção (entrada)
3º Definir a sintaxe apropriada para a correção da entrada
4º Juntar tudo e executar o script

Aplicando na prática

Para deixar este post mais didático, e treinar os mais entusiasmados, resolvi preparar um singelo exercício básico. Só para usar como demonstração, peguei uma parte do log do OTL.

Se quiser fazer o exercício, segue os links.

OBS: Não olhe o resultado agora. Faça o exercício primeiro e depois confira se acertou.

Exercício
Resultado

Se você acertou tudo, parabéns! Se não acertou, não fique chateado e tampouco desanime. Pratique sempre.



Existe um arsenal de ferramentas para vários tipos de contaminações ao alcance de todos. Especialmente temos a nossa inteira disposição o Malwarebytes, Kaspersky Removal Tool, Rescue Disk's e Scanners Online que são acessórios excelentes e não requerem conhecimento avançado para manuseá-los.

Por outro lado, grande parte dos usuários não sabem quando usar uma, quando usar outra, e acabam que indicando qualquer uma. Tome nota de que existem as ferramentas que combatem malwares estritamente específicos e aquelas que lidam com qualquer tipo de infecção. As que trabalham com qualquer infecção são as mais conhecidas, dentre elas, ComboFix, MBAM e Removal Tool. As demais são menos populares e exigem que o user tenha conhecimento de causa, isto é, saiba a exata infecção para indicá-las.

Contudo, MBAM e ComboFix são programas indubitavelmente versáteis, destarte, eles conseguem detectar uma quantidade estupenda de malwares. Então, caso não consiga identificar o tipo da ameaça que está no log, eles podem ser sugeridos. Só tome cuidado com o ComboFix, pois é um aplicativo brutalmente poderoso e avançado.

Outro detalhe importante: sempre que for analisar um log, solicite logs mais completos como os do RSIT, DDS, OTL ou OTS (se você souber). Eles exibem entradas cruciais que o HijackThis não mostra.

Abaixo estão algumas outras opções igualmente boas.

OTA => Automatiza a criação de scripts com o OTS e Avenger. Muito útil para quem não consegue criar um script no OTS.

GooredFix => Lida com o malware goored e outras infecções capazes de provocar redirecionamentos imprevisíveis nos navegadores.

FSS ou Farbar Service Scanner => Excelente aplicativo que gera um relatório completo dos arquivos, valores do registro e serviços responsáveis pela conexão da Internet, após a conexão ser prejudicada por algum malware.

OTH => Mais uma bela ferramenta do Old Timer, auxiliar a OTL, que pode finalizar todos os processos ativos na memória e rodar um scan com o OTL.

HostsXpert => Limpa e reseta o arquivo HOSTS do Windows. Utilizado para remover endereços maliciosos do HOSTS => entradas O1 do HijackThis e OTL.

ZHPDiag => Efetua um diagnóstico completíssimo no sistema e gera um log. Seu relatório chega a ser até mais preciso que o do OTL e OTS, por exemplo => Tutorial oficial (em francês).

AdwCleaner => Remove adwares (toolbars, searches, home pages, pastas, valores de registro e tudo mais associado ao adware).

ToolbarShooter => Também remove toolbars maliciosos (como o AdwCleaner) => changelog ToolbarShooter.

Norman Malware Cleaner => Ferramenta excelente que lida com inúmeros tipos de ameaças.

BankerFix => Identifica e remove uma grande quantidade de trojans bankers => changelog BankerFix

Dr.Web CureIt => Mais um extraordinário programa na caça de malwares e vírus de diferentes gêneros.

USBFix => Na minha opinião, trata-se do melhor aplicativo para a limpeza de dispositivos móveis e PCs infectados por worms provenientes destes dispositivos.

FindyKill ou FyK => Detecta e remove o malware Bagle, além de restaurar as funcionalidades do Windows desativados pelo malware, como modo de segurança e a exibição arquivos ocultos => changelog FindyKill, tutorial em francês e alguns dos arquivos criados pelo Bagle.

Registry Search => Facilita a procura de chaves e valores específicos no Registro (Regedit).

TFC => Muito recomendada para efetuar uma limpeza no PC após uma remoção de malwares.

HitmanPro => Programa que realiza um diagnóstico on-demand no sistema para encontrar ameaças desconhecidas e/ou vulnerabilidades, mas para remover as infecções somente comprando a solução.

Inherit => Ferramenta criada por sUBs (autor do ComboFix) que tenta forçar a execução de aplicativos que os malwares estão impedindo ou danificaram.

RogueKiller => Remove uma quantidade grande de softwares rogues => changelog RogueKiller e tutorial oficial (em inglês).

DevDiag => Lista todos os dispositivos e drivers da máquina (podendo encontrar drivers maliciosos) e identifica problemas neles (chegando ser útil no dia-a-dia mesmo).

WC32 => Tenta desinfectar ficheiros do tipo htm, .html, .php, .doc, .asp, .pdf contaminados pelo file infector Virut sem danificá-los.

SecurityCheck => Verifica se há módulos de proteção instalados no PC (antivirus, firewall, anti-spyware, etc) e se estão ativos, se o Service Pack , Java, IE e Adobe estão atualizados. Ótima ferramenta para averiguar se o sistema está atualizado ou se há falhas de segurança.

GabKiller => Identifica uma variedade boa de ameaças, em especial dialers e adwares.

Navilog1 => Remove variantes do rogue NaviPromo => changelog Navilog1.

CacaoRemover => Elimina o add-on Cacaoweb instalado no Firefox que, por várias razões, é considerado um objeto suspeito.

Rkill => Programa que tenta encerrar processos maliciosos conhecidos para que a ferramenta de segurança rode sem problemas => Instruções de uso oficial.

Unhide => Restaura as configurações de pastas e do registro modificados pelo rogue FakeHDD (fraudulenta solução que se passa por um software de reparação) => tutorial oficial.

MBRCheck => Verifica a integridade da MBR do sistema que pode estar comprometida por bootkits, como Whistler/Black Internet.

aswMBR => Poderosa ferramenta que realiza um scan profundo na MBR a procura de bootkits que possivelmente possa ter contaminado-a.

MBRScan => Também verifica a MBR em busca de ameaças .

MBR Repair => Repara uma MBR que pode ter sido prejudicada por um bootkit.

LopSD2 => Remove o malware Lop.com, embora não seja uma infecção tão comum atualmente.

ANOTB => Muito útil para comparar dois logs e exibir as modificações existentes no último log.

RappAntivir => Obtém o relatório de detecção/remoção de scan do Avira Antivir. Funciona somente em PCs com esse antivirus instalado, é lógico.

Com o tempo adicionarei outras ferramentas nessa lista.




Toda vez que um usuário posta um log para ser analisado, comumente ele acrescenta uma breve (ou completa) descrição de seu problema. Não passe batido nisso pois você pode identificar a causa do problema ali mesmo. Leia com calma, pesquise para ver se há caso semelhante, faça um reconhecimento de campo. Nada melhor do que iniciar o auxílio tendo ideia de possíveis correções.



Leia freneticamente. Sempre acompanhe notícias, matérias, artigos, tutoriais e tudo mais relacionado à segurança em sites especializados. Para maior comodidade assine os feeds RSS desses sites. Esteja ciente de novas ameaças, novas técnicas, novos produtos, novos meios de remoção/detecção, reviews e etc. Atente-se em cada detalhizinho, por menor que seja. Isso vai lhe ajudar muito em todos os sentidos.

OBS: Vou reunir os sites dos quais eu assino os feeds e acrescentarei ao tópico mais tarde, para quem estiver interessado!

Mas, principalmente, pratique. Use a máquina virtual a seu favor, infecte-a, instale um monte de coisas, mexa no Windows e, por final, gere um log. Observe cada linhazinha do log e tente interpretar. Tome uma xícara de café, belisque uns petiscos, coloque um CD do Dream Theater (Six Degrees é uma boa pedida ) e, finalmente, identifique a infecção no meio dos diversos arquivos e entradas. O começo é sempre chato e exaustivo, todos passamos por esse processo, é normal. Mas com o tempo você se acostuma.



Como ponto de curiosidade e sabedoria abrangente, experimente encontrar um log de diferentes versões do Windows, como 98, 2000, 2003 Server, 2008 Server, XP, Vista e 7 (x86 e x64), por exemplo. Você perceberá que os arquivos, as localizações e as demais informações serão distintas umas das outras.

Os logs do Vista e do 7 são bem semelhantes. Mas, se tiver oportunidade, veja um log do Win 2003. Para quem está mais familiarizado com 7 e XP, vai estranhar bastante.

É interessante conhecer os outros sistemas, embora não existam tantos casos relacionados a estes SOs.



Para fazer um grand finale do post, deixo abaixo oito dicas complementares.

1) Descarte sempre analisadores automatizados, como o do Hijackthis.de. Primeiro por se tratar de um sistema genérico que se baseia em votos de qualquer indivíduo. Segundo por lhe fazer tomar um vício, e uma vez viciado nesta análise robotizada, dificilmente você terá sucesso em realizar uma análise humana futuramente e se tornar um analista de verdade. Terceiro por ser um serviço nada recomendável por especialistas da área, aliás, nem mesmo o autor original do HijackThis, Merijn Bellekom, consentiu ou aconselhou/aconselha o uso deste aplicativo -- palavras do próprio neste post.

2) Analise cada entrada do log com cautela. Leia uma por uma, vá anotando as mais suspeitas, mas não ignore as demais, afinal, as aparências enganam. Se está em dúvidas, diga ao usuário que envie o arquivo ao VirusTotal. Solução mais segura não há.

3) Errar é humano. Experiente também erra (alguns inclusive intitulam-se como "The Best" por conta própria e possuem o péssimo hábito de não reconhecerem seus erros). Porém, no quesito "análise de log", o erro normalmente é resultado da desatenção e do descuido do analista. Claro, sistema operacional é um ambiente totalmente imprevisível, então, mesmo que você não tenha errado em nada esteja sempre preparado por possíveis sequelas e resultados inesperados.

4) Tire suas dúvidas antes de tirar conclusões precipitadas. Fóruns sempre têm membros que manjam do assunto. Sim, alguns deles (de mau com a vida) não compartilham seus conhecimentos; outros, por sua vez, criticam quem compartilha. Mas não existem só eles, ignore-os. Sobretudo, como coloquei no começo do post, este tópico foi feito para esclarecer dúvidas referentes ao assunto discutido aqui mesmo.

5) Acompanhe análises de logs em outros fóruns. Confesso que uma das coisas que mais me ajudou nas análises foi acompanhar outros casos em fóruns gringos (especialmente franceses e americanos). Aprendi muito vendo aqueles Jackie-Chans-Gringos analisarem logs. Os caras são feras. Você acaba por descobrir novas ferramentas, novos procedimentos e, acima de tudo, aprender com pessoas que entendem muito do assunto. Contudo, não acompanhe somente análises de logs, passeie nos setores de notícias e dicas do fórum para descobrir novos horizontes. Cadastre-se nos fóruns especializados e tire suas dúvidas lá também.

6) Inglês é primordial. Pessoal, o inglês é a língua-mãe da Internet. Praticamente todos os logs são gerados neste idioma. Não saber nada de inglês e estudar informática a fundo, é quase a mesma coisa que dar um tiro no escuro. Saiba o significado dos termos técnicos, tente interpretar um texto, uma mensagem, as opções e etc. Pratique bastante seu inglês pois isso vai colaborar ainda mais nas análises. Uma boa pedida é ser participante assíduo de fóruns americanos/ingleses, como somos do GdH . Assim você terá contato direto com nativos da língua-mãe.

7) Esteja preparado (ou quase?) para tudo. Analisar log aparentemente é fácil mas, acredite, um dia você pode apanhar com algum deles. Chega um momento em que todos os recursos que você conhece poderão não dar mais conta do recado, e nesta hora, você terá três opções eminentes: realizar uma pesquisa mais minuciosa sobre o problema, recomendar a formatação do disco ou pedir ajuda a outros colegas analistas para ver se eles têm uma ideia. Se a terceira opção parecer mais viável, não seja orgulhoso. Duas mentes sábias pensam melhor que uma... avaliando ambos os pontos de vista, você pode chegar à solução!

8) NUNCA tire conclusões de um arquivo pelo nome dele. Outro equívoco grotesco é declarar que um arquivo é malicioso por ter um nome suspeito. Em logs você pode se deparar com arquivos do tipo serkf01521459.sys e, ao jogar no Google este nome, ele retornará 0 resultados. Muitos pensaríam: "Ah, se nem o Google conhece pode remover"! Nada disso. Pergunte ao dono do log ou, melhor ainda, envie ao VirusTotal.

No mais, é isso!
Espero que tenham gostado. Boa sorte e sucesso a todos.

Deixem suas dúvidas, comentários e críticas aqui!

Abração
swampedman

- Você que possuí Sistema Operacional Windows 7 e ou Windows 8.1 e pensa em Atualizar para o Windows 10
- Pense bem antes, pois aqui mesmo no Fórum, os mais variados problemas com quem efetuou o Upgrade para o Windows 10
- A Microsoft cometeu um erro muito grave ao liberar o Windows 10 ainda em fase de testes e não como Produto final
- Conseguiu superar o péssimo Windows ME (Millenium), Windows Vista e Windows 8
- Você pode conferir, pois quase que Mensalmente, são lançados inúmeros Builds (Versão de testes) do Windows 10
- O maior problema do Windows 10 é o Menu Iniciar não funcionar adequadamente
- App´s travados
- Problemas de Driver´s (Vídeo, Adaptador de Rede, Som, etc)
- Problemas de Rede
- Consumo de Memória elevado
- Entre outros

- Ao meu entender, somente deveriam liberar o Upgrade depois de corrigir estes e outros erros, mesmo depois da implementação da Etapa Redstone
- Microsoft pisou feio na bola
- Depois que o Bill Gates deixou de ser o Mr majoritário, a Microsoft desmoronou...
- O último bom Sistema foi o Windows XP

- Eu cheguei a fazer o Upgrade para o Windows 10, mas depois de uma semana o mesmo não subia mais
- Sorte minha que o meu é Notebook e fiz o Recovery de Fábrica para o Windows 7

Portanto o intuito deste Tópico é alertar os Usuários para que pense bem para não se arrepender depois

Olá pessoal, boa tarde!

OTM (ou OTMoveIt) é mais uma das excelentes ferramentas desenvolvidas pelo programador Old Timer. No entanto, diferentemente das demais, OTL e OTS, o OTM só é utilizado na remoção de infecções. Quem é familiarizado com os scripts feitos pelo OTL, não terá dificuldade alguma com os do OTM -- pois são exatamente os mesmíssimos comandos.

Particularmente falando, considero o método de remoção do OTM mais eficaz que o do OTL e OTS. Já consegui remover malwares pelo OTM que o OTL e OTS não foram capazes de eliminar. Além de ser uma ferramenta muito mais fácil e prática de trabalhar na remoção de pragas do que as outras duas (jamais menosprezando-as).

Tutorial do OTL (em inglês)



Assim como qualquer ferramenta script to prepare, é pertinente lembrar que com o OTM o cuidado e a cautela são seus melhores amigos. Nunca utilize scripts em PCs alheios se ainda não domina inteiramente a ferramenta.

Trata-se de um aplicativo pequeno, muito poderoso e eficaz contra inúmeros tipos de malwares.

Download:
http://www.itxassociates.com/OT-Tools/OTM.exe
http://oldtimer.geekstogo.com/OTM.exe

Ao executar a ferramenta (no Windows 7 e Vista como administrador), você terá a seguinte tela.



Como pode perceber, não há configurações avançadas ou opções a serem marcadas. Apenas o necessário, que já é o suficiente.

Esta ferramenta não gera logs como as demais. A partir do log do OTL, RSIT, DDS e até mesmo do HijackThis (não recomendado nesta ocasião), você pode desenvolver o script para remover uma infecção presente nele. Contudo, recomendo que você baseie-se no log gerado pelo OTL, aliás, é recomendação do próprio desenvolvedor.



Seu uso é mais simples que tirar doce de criança (que em tese não é tão simples assim ).

esta é a área onde você posta a linha de comando (script);
esta é a área de resultado após o script ser executado;
aperte este botão para que o script seja executado, e as infecções eliminadas;
este botão remove o diretório criado pelo OTM e também exclui outras dezenas de ferramentas (não só as do Old Timer);
obviamente este botão fecha o programa;

Viu, não é tão difícil entender como funciona a ferramenta, uma vez que são poucas opções.



Tendo por mim que você já saiba analisar um log do OTL (especialmente), e não queira (ou não tenha tido sucesso) em remover os malwares pelo script do próprio OTL, eis aqui a única linha de comando do OTM.

:Processes
Esta sintaxe finaliza processos rodando na memória (gerenciador de tarefas) em tempo real. Este comando não remove o processo, apenas finaliza-o. Portanto, você pode finalizar processos legítimos -- se for indubitavelmente necessário.

:Files
Esta sintaxe remove arquivos e pastas maliciosas (isso mesmo, pastas também, pois não existe o comando :Folder nas ferramentas do Old Timer).

:Reg
Esta sintaxe remove chaves e valores infectados do Registro do Windows.

:Services
Esta sintaxe remove serviços e drivers maliciosos do sistema.

:Commands
Esta sintaxe executa tarefas especiais no final do script. Exemplo: limpeza dos arquivos temporários, criação/remoção de pontos de restauração, reinicialização do computador, e etc. Não é obrigatório o uso deste comando, no entanto, é aconselhável por "N" motivos.




Após rodar o OTM, ele cria uma pasta na raiz do disco rígido (geralmente C:\) com o nome C:\_OTMoveIt\MovedFiles\arquivos ou pastas removidos.




Pessoal, eu fiz este tutorial baseado no fato de que vocês já saibam realmente analisar um log, e tenham conhecimento em identificar e remover arquivos, tanto do Registro quanto de pastas. Se alguém aqui não está acostumado a analisar logs e remover entradas, é altamente recomendável que você treine bastante em uma máquina virtual.

Adendos Importantes!

1 - Nunca se esqueça dos dois pontos (":") no começo de todos os comandos.
2 - Os comandos são parcialmente sensitives, ou seja, :Files não é igual a :File. Porém, não há diferença entre usar maiúsculas ou minúsculas. Exemplo: :FILES, :Files, e :files. Qualquer um pode ser usado.
3 - Sempre revise o script antes de executá-lo para evitar erros nas sintaxes e, principalmente, uma remoção errônea e/ou acidental.
4 - O caminho dos arquivos maliciosos devem ser colados sempre em baixo dos comandos. Nunca antes ou do lado.

Mãos à obra...



Comando :Processes

Com este comando você pode matar algum processo que possa atrapalhar a remoção do malware, ou sua própria remoção mesmo. Geralmente, finalizamos o Explorer.exe pois ele é a "matriz" do sistema. Exemplo:

:Processes
explorer.exe
processomalicioso.exe

Lembrando que o processo não será removido, a menos que você insira seu caminho no comando :Files.

Comando :Files

Identificou um arquivo ou diretório malicioso no log? O comando :Files deverá ser utilizado. Exemplo:

:Files
C:\WINDOWS\system32\malware.exe
C:\Program Files (x86)\Ask Toolbar

Comando :Reg

Se identificou alguma chave ou valor malicioso ou inválida no Registro, utilize o comando :Reg. Exemplo:

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CHAVE MALICIOSA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
"{VALOR MALICIOSO}"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:0

OBS: Só faça um script com o :Reg se você é familiarizado com .REG sintaxes, isto é, saiba perfeitamente remover uma chave ou valor (como exemplificados acima). Observe o sinal de travessão ("-") presente nas 3 primeiras entradas do exemplo. Dei uma breve explicação disso no tutorial do ComboFix.

Comando :Services

Caso reconheça algum serviço ou driver malicioso presente no log, use a tag :Services para removê-lo. Exemplo:

:Services
serviçomalicioso
serviçoinválido

Veja que no :Services não se pode colocar o caminho completo do arquivo. Apenas o nome principal dele. Entretanto, seu arquivo principal deve ser removido também no comando :Files. Exemplo²:

:Services
serviçomalicioso
serviçoinválido
:Files
C:\WINDOWS\system32\drivers\arquivoserviçomalicioso.sys

Se você não adicionar o :Files com o caminho completo para o arquivo responsável pelo serviço, não adiantará de nada. Por isso, mantenha-se atento!

Comando :Commands

Para executar tarefas especiais no término do script, basta usufruir da tag :Commands. Nesta tag, você pode acrescentar os seguintes parâmetros.

[start explorer] => reinicia o Explorer.exe quando ele for finalizado no comando :Processes
[emptytemp] => limpa arquivos temporários
[emptyflash] => apaga os flash cookies
[purity] => use este parâmetro com moderação, somente quando estiver lidando com um PurityScan
[createrestorepoint] => cria um ponto de restauração
[clearallrestorepoints] => deleta todos os pontos de restauração e, em seguida, cria um novo ponto
[Reboot] => reinicia o computador após a execução do script (recomendável para infecções mais chatas de eliminar)
[resethosts] => reseta o arquivo HOSTS do Windows
[emptyjava] => limpa por completo o cachê do java

Exemplo:

:Processes
explorer.exe
:Files
C:\WINDOWS\malware.exe
:Commands
[start explorer]
[emptytemp]
[Reboot]

Os parâmetros especiais, ou switches, são sequências que podem ser executados junto aos comandos. Darei os exemplos de alguns switches mais conhecidos, mas, só utilize-os se for realmente necessário. Normalmente indicado para usuários mais avançados.

/d => este switch exclui arquivos permanentemente. Ou seja, deletar um arquivo usando este swicth, o usuário dificilmente conseguirá recuperá-lo (mesmo com softwares profissionais de recuperação).

/s => este switch executa uma tarefa para uma pasta específica e todas as subpastas. Resumindo: se você quer deletar um arquivo .tmp de uma pasta e de todas as subpastas da mesma, basta colocar o caminho da pasta + switch /S. Não aconselho muito o uso deste switch.

/u => este switch lida com Unicode. Serve para o caso de estar lidando com um PurityScan.

Exemplificando a utilização dos switches.

:Files
C:\WINDOWS\*.tmp /s
C:\WINDOWS\system32\malware.exe /d
C:\WINDOWS\System32\a?rquivo.exe /u
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"arquivo"=-

Tenho certeza que muitos de vocês já viram combinações curingas em algum script. Veja os exemplos.

C:\Pasta\*.txt => remove todos os arquivos com a extensão .txt do diretório C:\Pasta. Em vez de colocar txt por txt, use o curinga asterisco ("*") antes do ponto para removê-los simultaneamente.

C:\Pasta\*.* => remove todos os arquivos da pasta em questão. Só utilize esta combinação se tiver certeza absoluta de que a pasta contenha somente ficheiros maliciosos. Todavia, você pode simplesmente excluir a pasta.

C:\Pasta\*.txt /s => remove todos os .txt do diretório C:\Pasta e de suas subpastas também. Cuidado com esta combinação.

C:Pasta\*.txt /5 /s => remove todos os .txt da pasta em questão e de suas subpastas modificados nos últimos 5 dias. Você pode mudar o número de acordo com os dias da modificação do arquivo.



Espero que tenham entendido, caros amigos. Quaisquer dúvidas não hesitem em perguntar aqui no tópico.

E, frisando mais uma vez, treinem bastante numa máquina virtual antes de executarem um script. Embora seja básico e fácil, é necessário que você tenha pleno conhecimento em análise de logs, especialmente do OTL, para saber o que deve ou não ser removido.

Espero que gostem do tutorial!

Um grande abraço e ótima semana a todos vocês!
Swampedman

Faz tempo que acompanho vídeos no YouTube sobre esse golpe, que ainda não chegou ao Brasil e é muito comum em países de língua inglesa.

Basicamente, um call center (em geral localizado na Índia, pelo sotaque dos atendentes) liga para a vítima se apresentando como um funcionário da Microsoft e a avisa de que seu PC foi infectado por malwares ou possui alguns erros. Ele convence a vítima a iniciar uma conexão remota com TeamViewer ou outro aplicativo similar e, uma vez no controle do PC, aponta erros que não existem, convencendo a vítima a adquirir programas de procedência e de qualidade duvidosa.

Caso a vítima se recuse a cooperar, ele poderá trancar seu computador, utilizando o syskey, por exemplo. Escrevi um post e, no YouTube, há vários vídeos de profissionais zoando esses golpistas.

https://www.andremachado.blog.br/2017/05/21/o-golpe-do-falso-suporte-tecnico-fique-ligado/

E por que escrevi este post? Porque não duvido nada que, em poucos anos, algo similar possa surgir no Brasil. Hoje, já temos presidiários que ligam para vítimas as induzindo a sacar dinheiro de suas contas e chamadas misteriosas que comem os créditos dos donos de celulares. A criatividade dos bandidos não tem limites! Fiquem de olho!

* Este Tópico visa orientar e avisar os Usuários para se previnir quanto a Instalação e Utilização de certos Softwares
* Utilize por sua Conta e Risco



SpyHunter
*
*
Descrição: Software da Empresa: Enigma Software Group que promete detectar várias ameaças de Malwares, Spywares, Adwares e afins
Detecção: Sim
Eliminação das ameaças: Não
Causa danos no Sistema Operacional: Alguns
Recomendado: Não
*
*
O Programa SpyHunter deve ser evitado e não é recomendado sua Instalação pois já é um Programa defasado no qual apenas
faz o Scaneamento do Sistema Operacional mas não faz a remoção das ameaças encontradas a menos que se compre
uma Licença...
*
Não é recomendado pois pode causar alguns danos ao Sistema Operacional como bloqueio de algumas Chaves primordias
do Registro do Sistema , fazendo com que alguns Arquivos fiquem Corrompidos e impossibilitando o Processo de Boot,
detecção do Hardware e Software para o carregamento normal do Sistema.
*
*
SpyBot Search and Destroy
*
*
Descrição: Software da Empresa: Patrick M. Colla
Detecção: Sim
Eliminação das ameaças: Alguns
Causa danos ao Sistema Operacional: Alguns
Recomendado: Não
*
*
O Programa SpyBot Search and Destroy também é um Programa defasado
*
Não é recomendado pois pode causar alguns danos ao Sistema Operacional como bloqueio de algumas Chaves primordias
do Registro do Sistema , fazendo com que alguns Arquivos fiquem Corrompidos e impossibilitando o Processo de Boot,
detecção do Hardware e Software para o carregamento normal do Sistema.
*
*
Advanced System Care
*
*
Descrição: Software da Empresa: IObit
Detecta problemas no Sistema Operacional: Sim
Elimina os problemas: Alguns
Causa danos ao Sistema Operacional: Alguns
Recomendado: Não
*
*
O Programa Advanced System Care trata-se de uma Ferramenta de Otimização do Sistema Operacional, porém não é recomendada
pois na grande maioria das vezes acaba eliminando Chaves primordiais do Sistema Operacional e o mesmo quando é reiniciado
não faz mais o processo de Boot normal e ou pode têr diversos Arquivos Corrompidos e muitas vezes o mesmo fica em Loop Infinito,
sendo necessário a Recuperação do Sistema ou sua Formatação.
*
*
360 Total Security
*
*
Descrição: Software da Empresa: Qihoo
Detecção: Sim
Eliminação de ameaças: Alguns
Causa danos ao Sistema Operacional: Alguns
Recomendado: Não
*
*
O Programa 360 Total Security faz parte de uma Indústria de AV´s Chinês e segue as mesmas características do:
. Baidu
.Psafe
.Tencent
*
Porém deve ser evitado por Instalar Toolbares indesejados, modificar a Página inicial dos Navegadores, instalar Backdoors no qual
fica enviando dados do Usuário para a Qihoo além de fazer modificações que possam comprometer o Sistema Operacional.
*
*
NetLimiter
*
*
Descrição: Software da Empresa: LockTime Software
Limita Banda de Internet: Sim
Causa danos ao Sistema Operacional: Alguns
Recomendado: Não
*
*
O Programa NetLimiter promete fazer um Filtro no qual o Usuário pode definir Banda por Dispositivo além de definir horários, porém
muitas vezes o Programa acaba alterando valores nas Chaves de Registro fazendo com que o Filtro fique ativo permanentemente e
ou seja não sendo possível a desativação ou remoção pelo próprio Software.
*
Algumas vezes é necessário fazer a Restauração do Sistema ou sua Formatação.
*

Como usuário do Avira, um excelente antivírus, eu tava
cansado daquela tela pop-up quando o programa terminava
de atualizar. Sem falar que dava um susto nos usuários desavisados
e menos experientes... E encontrei a solução para desabilitar a dita cuja.
Procurei aqui no fórum e não achei tópico sobre isso, então
lá vai:

Windows XP Pro SP2:

Iniciar > Executar > digite secpol.msc (Enter)
Clica em "Diretivas de Restrição de Software". À direita, clica com o botão
direito sobre "Regras Adicionais" e escolha "Nova regra de caminho...".

Na janela que se abre, vá em "Pesquisar". Navegue até o diretório
c:\Arquivos de Programas\Avir\AntiVir PersonalEdition e escolha o arquivo
avnotify.exe.

Coloque o "Nível de segurança" em "Não permitido". Dê OK.

Prontinho. Ele vai atualizar normalmente, mas a tela chata sumiu.

No Windows Vista é mais rápido: Clica com o botão direito sobre
o avnotify.exe, vá na aba Segurança e Editar, depois configure
para não deixar ler nem escrever.

Eu também desabilitei o aviso de update, aquela janelinha que fica
aberta enquanto ele faz o (leeeeeeento) update. Se quiser fazer isso,
abra o Avira, vá na aba "Scheduler", clique com o botão direito sobre
"Daily update", escolha "Edit job". Clica em Avançar, veja se está em
Update job > Avançar > Avançar, em "Display mode" ponha "Invisible".
Dê OK e saia do Avir.

Espero que ajude!

[]s.

Nesse turorial, vou explicar por detalhe como deixar o Windows XP blindado.
Para ter um Windows blindado, apenas a criar uma conta de usuário Limitado no Windows.
E mais algumas configurações para finalizar, que vou explicar.

O obgetivo, dessa blindagem é Bloquear determinadas pastas principais do Sistema, e bloquear entradas de inicialização no registro do windows para que o virus não tenha nenhuma opção de iniciar na proxima reinicialização do Windows, e não podendo ser copiado em determinadas pastas do sistema principal. e nem modificar os arquivos.

Algum tempo atras andei fazendo testes com maquina Virtual, infectando com Trojans Sality e Virut a maioria dos trojans não conseguiram instalar em nenhuma pasta, em local nenhum.
Só 5 deles conseguiram instalar em umas determinadas pastas que não podem ser bloqueadas contra gravação. mas as chances de esses trojans ser executado são 0, porque nesse metodo todas as entradas de inicialização do registro estaram bloqueadas, portanto o instalador do vírus não conseguirá adicionar uma entrada no registro para inicialização de um trojan!
Nem mesmo o famoso Sality, não conseguiu infectar os programas instalados na pastas C:\Arquivos de programas <-- essa pasta tambem fica protegida contra gravação e modificação dos arquivos.

As seguintes pastas que não estão bloqueadas são essas:

"C:\Documents and Settings\Protegido
C:\Documents and Settings\All users
C:\Recycler

E suas subpastas, e pastas Temp, aonde fica os arquivos temporarios da internet!


Essas pastas não podem ser bloqueadas, principalmente a do usuário -> "Protegido" se bloquear, desse usuário não será possivel abrir o navegador e programas.
Mas o metodo é que agora sabesmos que o único lugar remoto, que alguns vírus tentaram ser instalado, são nessas pastas,
No tuto explicarei como limpar essas pastas se no caso tiverem contaminados por vírus, essa é a jogada, sabemos agora o único lugar que eles tentaram instalar.
Facilitando ao usuário saber aonde o vírus estaram instalados, mas a chance disso são poucas, no teste que fiz, a maioria não consegiu instalar em lugar nenhum.
Apenas o instalador do trojan o arquivo setup.exe ficava ativo na pasta Temp tentando instalar o trojan, mas com isso tambem terá uma ajuda com um Antivirus instalado é claro!

A única fraquesa é a pessoa instalar programas Crackeados que vem com vírus imbutidos, pelo seu usuário principal Administrador pois no usuário Limitado não tem acesso a instalar programas, nesse caso tomem cuidado nos programas que vocês instalam, sempre verificam os setups dos programas com Antivirus, e façam Downloads dos programas em sites oficiais das empresas dos Softwares!

Essa é a melhor forma de combater o vírus, e com um bom antivirus instalado, fica excelente a proteção.


Agora vamos ao que enteressa, vamos lá.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>





1) Abre qualquer pasta do Windows. e clique em Ferramentas e em Opções de pastas.



Uploaded with ImageShack.us



2) Abrindo uma janela pequena clique na aba Modo de exibição logo abaixo, desmarque a opção ((Usar compartilhamento simples de arquivos)) e clique em (OK).



Uploaded with ImageShack.us

Pronto!!


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>





Atenção: O usuário que será criado tem que se chamar -> Protegido



1) Clique no menu (Iniciar) -> ( Painel de controle) -> (Contas de usuário) -> (Cria uma nova conta)



Uploaded with ImageShack.us




2) Digite o nome do usuário -> Protegido e clique em (Avançar).



Uploaded with ImageShack.us




3) No tipo de usuário selecione Limitado e clique em (Criar conta).



Uploaded with ImageShack.us

Pronto feito,


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>




OBS: Podem fazer esse procedimento sem medo não vai danificar nada no windows, seguindo essa orientação não tem problema.


1) Vá no ícone (Meu computador) dando dublo clique, abrindo clique com o botão direito na unidade Disco local C: e depois clique em Propriedades.
*Abrindo uma janela pequena clique na aba Segurança.



Uploaded with ImageShack.us



2) Clique no botão Adicionar Abrirá uma janela pequena, digite o nome de usuário Limitado criado -> Protegido e clique em (OK).



Uploaded with ImageShack.us



3) Agora o usuário "Protegido" esta na lista, de segurança clique sobre ele, e abaixo em Gravar no lado esquerdo Negar marque uma seta na caixa, e clique em (OK) e (SIM) para confirma.



Uploaded with ImageShack.us


*Apenas marque nessa opção "Negar gravação" como em destaque na imagem

*Se no caso tiver uma partição no HD e tiver em formato NTFS, faça esse mesmo procedimento, para proteger essa partição, contra infecção de vírus!
*Observação: se essa partição tiver formatado em FAT32, esse procedimento de segurança contra gravação não funciona nesse formato FAT32. apenas em NTFS.


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>





1) Copia os comando abaixo no Código

Cacls "%systemdrive%\Documents and Settings\All Users\Documentos" /e /t /p Administrador:W /d Protegido

Cacls "%systemdrive%\Windows\temp" /e /t /p Administrador:W /d Protegido

2) vá em ((Iniciar))>((Executar))> e digite (cmd) e clique em (ok) Abrirá uma janela cole os comandos com o botão direito do mause e clique em (colar) e depois tecle (Enter).

Pronto feito, pode fechar o prompt de comando.

Atenção: vocês não podem usar esse comando por conta propria, querer fazer sem conhecimento e orientação, fazer esse procedimente pelo Prompt para bloquear outra pasta. por exemplo: Windows e System32 não fazem isso OK..,

Alias não é necessario porque quando cria um Usuario Limitado todas essas pastas do Sistemas do Windows já estão protegida contra gravação!


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>




1) Copia Todo os comandos abaixo no Código.

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.exe"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.dll"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.scr"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.bat"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.cmd"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.com"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.pif"

Del /a/s/f/q "%systemdrive%\Documents and Settings\Protegido\*.sys"



Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.exe"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.dll"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.scr"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.bat"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.cmd"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.com"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.pif"

Del /a/s/f/q "%systemdrive%\Documents and Settings\All users\*.sys"

Del /a/f/s/q "%systemdrive%\Documents and Settings\Protegido\Configurações locais\temp\*.*"

Del /a/f/s/q "%systemdrive%\Documents and Settings\Protegido\Configurações locais\Temporary Internet Files\*.*"

Del /a/f/s/q "%systemdrive%\Recycler"

2) Abra seu bloco de notas cole o conteudo no bloco e Salve no Desktop com este nome--> Limpeza.bat

O arquivo Limpeza.bat tem que esta salvo na sua conta de Usuário Administrador, seu usuário principal, que sempre usa! OK.

No final explicarei para que serve esse arquivo de limpeza!


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>





1) Vá no menu (Iniciar) clique no botão (Fazer Logoff) e clique novamente em (Fazer Logoff) Saindo, Selecione o usuário -> Protegido

Agora vamos fazer o último procedimento pelo usuário Protegido que estamos agora aberto!


Agora bloqueando entrada de inicialização do registro


1) Clique no Menu (Iniciar) -> (Executar) e digite Regedit e clique em (OK). abrirá o edito de registro!



2) Navegue até a seguinte chave ->

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion\ Run

<--- Run.




Uploaded with ImageShack.us




3) Clique com o botão direito do mouse sobre a chave Run e clique em Permissões..



Uploaded with ImageShack.us




4) Abrirá uma janela pequena, selecione o usuário -> Protegido e marque nas duas caixas no lado diteito ((Negar)) e clique em (Ok) e (Sim) para confirma!



Uploaded with ImageShack.us

Pode fechar o Regedit. esta pronto!


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>





1) Copia os comando abaixo no Código

Cacls "%Systemdrive%\Documents and Settings\Protegido\Menu Iniciar\Programas\Inicializar" /e /t /p Administrador:W /d Protegido

2) vá em ((Iniciar))>((Executar))> e digite (cmd) e clique em (ok) Abrirá uma janela cole os comandos com o botão direito do mause e clique em (colar) e depois tecle (Enter).


Fim..

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Agora explicando para que serve o arquivo Limpeza.bat
Quando estiver utilizando o usuário Limitado -> "Protegido". e em algum momento se seu Antivirus detectar algum vírus, você volta para o usuário principal (Administrador)
clicando no menu (Iniciar) -> (Fazer Logoff) e na proxima janela clique novamente em (Fazer Logoff) e entra no usuário principal.
aonde nos salvamos o arquivo Limpeza.bat executando esse arquivo ele vai fazer uma limepza nas seguintes pastas abaixo:

C:\Documents and Settings\Protegido

C:\Documents and Settings\All users

C:\Recycler

Essas pastas que eles tentaram instalar, mas as chances são bem pequenas.

Agora séra facil para a pessoa que saberá aonde eles estão localizados. assim diminiu as opções de um trojan ser instalado, tera poucas chances.
A técnica é parecido com o programa SandBoxie, para quem não o conhece, pesquisem pela net, existem varios tutorais sobre ele, é tambem uma boa dica instalar no PC.


Se tiverem alguma duvida, perguntem!!
Em breve farei o tuto do Windows 7

Até. Brando lee!

Olá pessoal,

Visto que todos os dias (ou toda hora?) surgem usuários suspeitando/alegando estarem com seus sistemas infectados por pragas virtuais, resolvi criar este tópico que pode servir como uma espécie de referência para identificar possíveis infecções. A finalidade principal deste tópico é ajudar a determinar se um PC está comprometido e também apresentar os sintomas causados por vários tipos de malwares.

Antes de qualquer coisa, é importante ressaltar que este é um assunto complexo, uma vez que um malware pode realizar atividades totalmente imprevisíveis em um computador comprometido. Mas não tirem conclusões precipitadas, às vezes o que você acha que é pode não ser, uma boa parte dos sintomas descritos aqui são semelhantemente provenientes de outras coisas.

Nota: Lógico, este guia não agrega TODOS os sintomas. Eu reuni os principais, dos quais eu lembrei também. Mas peço aos amigos usuários que sintam-se totalmente livres para contribuir com o tópico e compor mais este guia.

01 - Meu computador está lento (ou super lento) => Sim, uma das reclamações mais frequentes em primeiro lugar. Mas calma, inúmeras razões podem influenciar na lentidão de uma máquina, desde um software relativamente pesado até um problema físico (hardware), porém existe uma grande possibilidade de o seu SO estar dando casa, comida e roupa lavada para um malware. Portanto se seu PC ficou lento de repente, antes de tudo, faça uma verificação anti-malware no sistema para limar tal suspeita.

02 - Pop-ups com propagandas estão sendo abertas => Um sintoma clássico de infecção por adwares (softwares geralmente instalados através da instalação de certos programas freewares), embora também seja característica de outros malwares, como os Rogues. Observe se não há qualquer toolbar, barra de busca e afins instalados no computador. Uma ferramenta excelente para identificar este tipo de infecção é o AdwCleaner.

03 - Meus arquivos foram bloqueados ou sumiram => Característica forte de uma contaminação por Ransomware. Trata-se de um malware comum nos dias de hoje e que tende a criptografar ou sequestrar os documentos da vítima para tentar extorquí-la virtualmente. Prática antiga que voltou a assombrar a web.

04 - Mensagens de erro sobre "arquivo não encontrado" estão aparecendo => Muitos vírus fazem com que erros sejam gerados, principalmente na inicialização do Windows, dizendo que arquivos inexistentes ou existentes não foram localizados, ou que os arquivos não podem ser executados. A dica é atentar-se para o nome do arquivo e pesquisar no Google por ele, caso desconheça-o.

05 - Depois que conectei uma mídia removível no PC ele ficou estranho => Um dos casos mais comuns é a infecção via dispositivos móveis, incluindo pen drives, MP3, celulares, iPhones, iPods, HDs externos e etc. Se o dispositivo encontra-se contaminado, ele pode transmitir a infecção para o PC tranquilamente. Antes de conectar qualquer dispositivo na máquina, desative o autorun do Windows e faça uma verificação por vírus na unidade designada ao dispositivo.

06 - Meu e-mail ou MSN enviam vírus => Os famosos vírus de MSN ou de e-mail. Acessou/clicou em algo no e-mail ou na janela do MSN e isso passou a acontecer? Seu computador com certeza está sob ameaça. Estas pragas disseminadas via messenger ou webmail possuem a incômoda função de dirigir mensagens malicosas à sua lista de contatos. Primeiro, por ora, você deve evitar acessos à contas bancárias ou qualquer outra, efetuar a limpeza das pragas do sistema e alterar a sua senha no serviço -- não necessariamente nessa sequência!

07 - PC dando crash e reiniciando/desligando sozinho => Antes de chutar o computador ou arremessar alguma peça na parede, faça uma verificação antiviral na máquina pois muitos malwares incitam estes problemas também.

08 - Não consigo instalar/desinstalar/abrir antivirus ou qualquer outro programa de segurança => Um fator quase óbvio que muitos malwares provocam é este empecilho em realizar qualquer ação que envolva soluções de segurança. Caso tenha diagnosticado que essa impossibilidade não esteja partindo de alguma incompatibilidade, é provável que o computador esteja contaminado.

09 - Edição do Registro e Gerenciador de Tarefas estão desativados => É um dos mais notórios sinais de um malware da classe File Infector, especialmente do Sality. A solução normalmente não chega a ser tão simples, sobretudo, se realmente a máquina estiver infectada por um File Infector, a solução mais segura e sábia é o velho e conhecido Format C:. Às vezes, tratar os arquivos contaminados por infectores pode ser desgastante e levar um tempinho bom, por isso a dica mais valiosa é juntar as malas e chutar o balde (leia-se: formatar).

010 - Não consigo acessar sites de antivirus ou da Microsoft => Pode ser alguma variante do Conficker dando um "Hello World", uma alteração maliciosa no arquivo HOSTS ou algum outro malware. Dificilmente o problema estará além de uma infecção. Portanto, sem remediar, efetue uma verificação com softwares de segurança especializados.

011 - Redirecionamentos involuntários para sites suspeitos => É provável que o PC esteja comprometido. No entanto, se você principalmente estiver sendo redirecionado a sites bancários fraudulentos ou qualquer outro que requisite login/senha/CPF/Cartão de Crédito, você certamente está sendo vítima de phishing. Muitos Trojans Bankers brasileiros causam este tipo de atividade, seja alterando o HOSTS ou modificando a configuração de proxy dos navegadores.

012 - A Internet não conecta nem com apoio do Padre Quevedo => Uma infinidade de malwares mexem nas configurações referentes a conexão no sistema, porém, um que está na ativa ultimamente é o Rootkit ZeroAcess. Difícil de lidar e, dependendo da variante, necessite de um conhecimento técnico para removê-lo, o ZA impede o acesso do usuário à Internet e, às vezes, mesmo após removê-lo pode ser um tanto quanto trabalhoso de recuperar a conexão. Uma dica é usar o FSS para analisar as configurações de rede e, se não estiver tendo sucesso na solução, solicitar auxílio de pessoas mais experientes.

013 - O sistema ficou louco e instável repentinamente => O idioma do seu computador mudou? A tela do PC está estranha? As pastas estão abrindo/fechando sozinhas? O navegador fecha sozinho? Programas abrem por conta própria? Atenção! Não é difícil supor que se o seu PC está apresentando comportamentos 'sobrenaturais', é grande a probabilidade de existir uma infecção ativa nele. Muitos malwares fazem com que o computador contaminado fique "descontrolado" -- descontrolando também a paciência do usuário. A finalidade desta atividade maliciosa é fazer com que o sistema perca o controle, e retardar qualquer atividade que possa vir a remover a infecção dali. Convenhamos que é uma característica 'inteligente' dos malwares...

014 - Estou sendo informado sobre infecções e ofertas => Se anúncios pop-ups ou balões de informações do Windows (ao lado do relógio) estão aparecendo e dizendo que seu PC está em risco ou infectado, é um claro sinal de que seu computador está infectado por um falso antivirus (também conhecido como Rogue, Scareware ou Fake AV). Contudo, são ameaças que merecem atenção indispensável. Nas pop-ups eles oferecem a remoção de seus próprios softwares mal-intencionados, entretanto, induzem o usuário a pagar pela solução (programa falso), ou seja, cair num golpe. É importante lembrar que os antivirus reais dificilmente identificam este tipo de ameaça. Uma ferramenta recomendável no caso de alguma infecção por Rogue é o MBAM, que pode identificar e remover uma vasta gama de rogues.

015 - Blue Screen sem razão => A melhor maneira de um cracker tornar o SO incapaz de retornar um código de erro apropriado é forçar o sistema a gerar Blue Screen. Se você não alterou nada no computador e está sendo bombardeado por Blue Screens, algo não está certo. Uma dica interessante é utilizar um Rescue Disk para avaliar o estado da máquina, pois com o sistema desacordado você escapa da Blue Screen e tem uma chance maior de identificar a ameaça.

016 - Erros aleatórios ou não aparecem repetidamente => Se algum tipo de erro, qualquer que seja, está sendo exibido em sua tela, procure efetuar uma verificação antiviral no SO, em princípio. Lembre-se que quanto mais tempo o malware permanecer no sistema, mais difícil poderá ser a eliminação dele e seus resquícios. Nem sempre erros aparentemente envolvendo componentes físicos, como a memória, por exemplo, tem a ver com o hardware. Alguns Rootkits, como os MBR, fazem com que erros de memória sejam apresentados.

017 - O teclado funciona de maneira inesperada => O sintoma mais frequente nesta ocasião é a duplicação de acentos. Uma dica boa para tentar esclarecer essa dúvida ligeiramente, é testar um outro teclado. Se o problema persistir, é provável que o sistema tenha sido afetado. Alguns malwares provocam este tipo de atividade paranormal no teclado, pode ser um Keylogger, talvez.

018 - Alguns programas não abrem ou geram erros => Há um tempo atrás, este empecilho era um "Ei, I'm here" do malware Bagle, onde, ao tentar executar um programa, era exibida uma tela de "Não é um aplicativo Win32 válido". Sinceramente, mesmo que o Bagle faça suas vítimas até hoje, ele não é o único malware que provoca essa reação no sistema. Mas, veja bem, esta tela pode ser exibida em virtude de um problema com o SO em si ou dos próprios arquivos do programa também, não quer dizer que seja necessariamente algo malicioso. Porém, em todo caso, é aconselhável fazer uma verificação anti-malware na máquina.

019 - Opção de pastas e arquivos ocultos não funciona => Sintoma bem antigo de alguns Worms de dispositivos móveis e outros malwares. Quando se trata de uma atividade maliciosa, geralmente as chaves do Registro correspondentes a este recurso são modificadas pela praga.

020 - Home Page alterada do nada e navegação lenta => Como mencionado no item 02, os Adwares e Spywares possuem esse péssimo hábito de mudar automaticamente a Home Page e deixar a navegação lerda. No entanto, se um Adware foi instalado em seu PC é porque você deu permissão. Adwares são componentes extras ativos na instalação de softwares free, se você apenas foi dando Next > Next > Next na instalação sem se importar com as consequências, sinto muito, mas o erro foi seu.

021 - Uso muito alto da CPU => Se o computador estiver leve e você notar que a CPU está em 99%, significa que algo está rodando arduamente em seu sistema. Há uma boa possibilidade de o computador estar infectado por algum Worm, Spyware ou outro malware.

022 - Proteção antivirus e/ou firewall desativados sem meu consentimento => Cheguemos a um raciocínio lógico: módulos de proteção desabilitados + malwares = festa open bar para as praguinhas. Se as suas proteções foram desativadas, sem causa conhecida e de repente, pode acreditar que tem algum malware hospedado aí.

Abraços a todos e espero que seja útil!
Boa semana amigos

Bom dia!

Edição: 19/10/2019 (e-mails que usam da fé das pessoas para se beneficioar)


Esse tópico está mais destinado aos usuários leigos, mas nada impede de usuários avançados ajudem no conteúdo.


Está cada vez mais engenhosa as formas de fraudes na internet, vem por e-mails, SMS e principalmente nas redes sociais. Todo cuidado é pouco, deve-se desconfiar de tudo e de todos.

Recebo muitos e-mails com fraudes, vem e-mails de bancos, pois uma hora acertam qual é o meu banco! É nessa hora que a pessoa acaba caindo no golpe, pois acha que é algo real ou tem coincidência com alguma dívida que tem nesse banco (que é comum para muitos brasileiros). O usuário acaba clicando e pronto, seu PC já está infectado caso o antivírus não consiga barrar a infecção.

Geralmente quando é por e-mail cai na caixa de lixo eletrônico, mas muitas vezes passa!

Assuntos mais comuns nesses e-mails:

• Ganhar dinheiro fácil
  
• Promoções muito baratas.
  
• Nome femininos de dando saudações bem calorosas.
  
• Intimações
  
• Pedindo dados bancários.
  

Segue um Ebook do relatório do FBI, sobre fraudes de e-mail. É de 2017, mas é bem válido ainda nos dias de hoje.

Relatório de fraude de e-mail do FBI (Baseado no relatório IC3 de 2017 do FBI)


Vejam alguns exemplos.

Fraudes por e-mail:

Fraudes por e-mail ainda são muito usadas e devemos tomar muito cuidado, pois um contato seu que já foi infectado acaba encaminhado mensagens com links e você acaba acreditando, pois foi de alguém que confia.

Dica:

• Não confie! Ligue para pessoa e pergunte se mandou o e-mail!
  

Fraude usando o Netflix.



Dica de omo evitar:

• Nunca clicar no link é o começo!
  
• Colocar a seta do mouse sobre o link para mostrar o endereço real do link.
  

Exemplo abaixo:

Domínio da Nova Zelândia!



Outra maneira é copiar parte do texto e colocar no Google, vai mostrar se é uma fraude conhecida. Existem sites como Catálogo de Fraudes que é atualizado constantemente e já alerta sobre isso, veja no caso aqui: https://catalogodefraudes.rnp.br/frauds/13827



Outro exemplo:

Sua Conta Claro hdtv - 12305



Olhem o link de download da fatura.



Aviso no site Catálogo de fraudes: https://catalogodefraudes.rnp.br/frauds/13857



Alguns até com e-mails ridículos, mas quem não tem conhecimento acaba caindo!

PROCEDIMENTO INVESTIGATORIO N 363.235/2019



Vejam o link para download da intimação.




Aviso no site Catálogo de fraudes: https://catalogodefraudes.rnp.br/frauds/13810


E-mail gringo





O e-mail proveniente do Reino Unido, mas o link .su da extinta União Soviética.



Fraudes por SMS

As fraudes por SMS já sem bem antigas, mas muita gente ainda cai. Veja este caso da "S_K_Y (brincadeira como colocaram SKY)! A vantagem do SMS que você pode ver o link, basta não clicar.
Esses SMS são fáceis de verificar pela quantidade de erros de gramática e números de telefone fora de ordem. Sempre uma mensagem convidativa com valores bem abaixo do normal!

Eu responde me deixa em paz, rapidamente me adicionaram no Whatsapp e olha que pedem para digitar SIM. A pessoa do outro lado tinha como imagem uma antena de TV. Dei uma de João sem braço e fui acompanhando a conversa. Disse que não interessava e agradecia o contato, até que mandaram um áudio com um português cheio de gíria e pelo som ambiente era de um presídio! Agradeci e bloqueei!

Dica:

• Nesses casos, procure o telefone real da SKY e comparar e não esquecer de bloquear o número.
  

Fraudes por redes sociais (Facebook, Intagram, Whatsapp...)

Hoje em dia o mais usado, pois recebem compartilhamentos de pessoas conhecidas e acabam clicando por acharem que é real. É a maneira mais rápida de disseminar uma fraude!

Dica:

• Não compartilham o que te passaram, pois assim vai começar a parar esta disseminação fraudulenta!
  
• Não cliquem nos links.
  
• Links curtos são camuflados e enganam fácil o usuário.
  
• Alerte quem te enviou para saber se foi ela ou um robô tanto no celular/tablet ou no computador/notebook.
  
• Não responda a mensagem para a pessoa, pois o número pode está clonado! Entre em contato pelo modo antigo (ligando )!
  

Outra maneira muito comum nas redes sociais são as propagandas patrocinadas que aparecem a todo momento. Parem de acreditar em tudo que é barato que aparece nas redes sociais, não clique em nada, pesquise.

Existem muitos sites no qual podem ver se é uma fraude conhecida ou não, mas não vão verificar nesses sites depois de clicarem, verifiquem antes!

Sempre que tiver uma novidade ou atualizando aqui. Todos são bem vindos para atualizarem também com dicas e soluções em caso canham em uma dessas fraudes, como fazer um B.O.

Atualização: 15/10/2019

Os sites falsos.

Sites falsos são muito parecidos com os verdadeiros e enganam fácil. Esse aqui foi o que meu pai caiu muitos anos atrás!

Mais no caso dele foi no Bradesco, digitou todas as informações do cartão, depois que terminou foi que percebeu o que tinha feito.

Sites assim podem ser facilmente identificados pelos erros de português, caracteres estranhos e principalmente pedindo para digitar tudo que é informação.

Dica antiga, mas em lebrada pelo @MadMax. Digitar senha errada para entrar no site se passar mesmo assim é falso.




Outra maneira é verificar a segurança do site. Se não tiver cadeado desconfie, se bem que o site da caixa não tem

Navegador Chrome:

Clica no cadeado e depois em Certificado.





Navegador Edge:




FireFox.



O Google tem uma ferramenta para verificação de um site

https://transparencyreport.google.com/safe-browsing/search?url=www.hardware.com.br/comunidade

Aqui coloquei um links de redirecionamento para baixar um programa falso da Receita Federal.

Essa ferramenta do Google para segurança é bem interessante, deem uma olhada no item Visão geral e em Malwares para ter mais informações.




Uma outra maneira de fraude, que usa sua religiosidade! Além de usar sua boa fé, ainda quer te premiar com 10 milhões de euros! Bem convidativo.

A diferença que nesse e-mail não há links, é um outro modo de engenharia social, para pegar as pessoas pela fé em acreditar que a pessoas está realmente doente.

Dicas para lidar com isso:

Verificar o domínio do e-mail: https://domain-status.com/www/ingodihope.com

Copiar parte de texto e colocar no Google para ver se já é algo conhecido, como mostrado no link acima é um domínio novo.

Não responder o e-mail e apagar.

Esse Backup é feito para Salvar Arquivos do sistema do Windows, Drivers de som e Videos da placa mãe e etc..

Sempre é Aconselhável, fazer Backup do Sistema do Windows, quando o Windows estiver em Ótimo Istado, sem vírus e sem problema algum.

Ja vi muitos casos aqui de Problema com o arquivo explorer.exe que não executa, e deicha o Desktop sem os ícones e a Barra de Ferramenta de Menu. isso é causado pelo vírus que danifica o Registro, do Windows.
E então em um Futuro, poderar Restaurar os Aquivos Danifidados ou Registro do sistema do Windows.
Ou Caso que, o Pc não tenha Mas som, que foi danificado, esse backup restaura tambem esse problema.

******************************************************

Fazendo Backup do Sistema do Windows XP


1) Vá no menu ((Iniciar)) -->((Executar)) e Digite NTBackup e clique em (ok).


2) Abrirá uma janela, Depois clique em ((Modo Avançado))-->>((Assistente de Backup [Avançado]))


1 Passo



2 Passo



********************************************************

3) Depois Abrirá outra janela Clique em ((Avançar)) E Seleciona o Ultimo de baixo marcando uma bola verde, Fazer o Backup somente dos dados do estado do sistema. e Depois clique em (Avançar).

3 Passo


4 Passo



*************************************************************


4) E depois clique em (procurar) para escolher uma pasta para salvar, e clique em (Avançar)-->>(Concluir).


5 Passo



6 Passo




*****************************************************************


Restaurando o sistema do Windows com o Backup

E Quando no Futuro, se olver problemas, por exemplo> fica sem som, ou problema que esteja faltando algum arquivo do Windows, e problema do arquivo Explorer.exe, Que não Aparece os ícones.
Faça a Restauração, Segue abaixo os procedimentos.



1) Vá no menu ((Iniciar)) -->((Executar)) e Digite NTBackup e clique em (ok). Abrirá uma janela, clique em (Avançar).


1 Passo




*******************************************************

2) Depois Selecione (Restaurar Arquivos e Configurações), e Clique em (Avançar).


2 Passo



************************************************************


3) Selecione na caixinha de (System State) Marcando uma Seta Azul. e Clique em (Avançar) e (Concluir).


3 Passo

4 Passo

De acordo com relatos de diversos usuários na Web, uma atualização para Windows 7 causa problemas em alguns PCs equipados com placas-mãe da ASUS.

A atualização foi disponibilizada em março pela Microsoft.

No último dia 12 de abril a Microsoft alterou o status desta atualização para “Recomendada”, o que fez com que ela fosse instalada automaticamente e o número de PCs afetados aumentasse.

Se o usuário instalar a atualização em um PC equipado com placa-mãe da ASUS, ele pode travar e apresentar o erro abaixo durante a inicialização:

O problema ocorre porque a ASUS habilitou o Secure Boot na placa-mãe e quando a atualização para o Windows 7 foi disponibilizada, isto acabou gerando um conflito. O Secure Boot é suportado no Windows 8.x e Windows 10.

Para ajudar os usuários, a ASUS colocou no ar uma página em seu site de suporte com informações sobre como proceder caso o problema ocorra.

http://www.asus.com/support/FAQ/1016356/

Fonte: https://support.microsoft.com/en-us/kb/3133977

Galera, acabei de receber uma mensagem SMS com uma tentativa de golpe. Entre outras coisas, ela trazia o url abaixo (não acessem, é golpe):

http://ww.w-santander.com/?=atualiza

Observem que o domínio não é "santander.com", mas sim "w-santander.com", pra juntar com o "ww" e ficar parecendo "www".

Impressionante a imaginação das pessoas pro mal.

Para quem não conhece este site, ele serve para analisar o que programas executaveis fazem no seu computador quando é executado, é uma ferramenta poderosa na identificação de malwares, visto que ele mostra tudo o que aquele arquivo *.exe faz.

Tutorial:

Entre no site http://anubis.iseclab.org você vai ver uma tela como essa:



Selecione o arquivo que você quer enviar, neste caso eu peguei em um site um arquivo contaminado com o Ardamax keylogger e enviei.




Digite o código pedido e clique em Submit for Analysis e aguarde enviar o arquivo.




Após enviado o arquivo ele vai abrir esta tela , mostrando que ele está analisando o arquivo, aguarde o termino.





Esta tela quer dizer que ele terminou de analisar seu arquivo então você escolhe uma das formas de visualização. No caso vou escolher Html.




Logo de inicio ele mostra um resumo do que aquele arquivo que você enviou é capaz de fazer, neste caso ele inicia com o windows altera as opções de segurança do internet explorer etc...



Ele mostra também todas as chaves de registro que o programa leu , alterou ou inseriu.



Mostra também todos os arquivos que apartir da execução daquele arquivo inicial ele criou, neste caso ele cria arquivos na pasta do windows para se esconder.

O site em si mostra muito mais informações que estas, coloquei apenas essas imagens para vocês terem uma noção do que ele é capaz de fazer. Com essa ferramente você pode identificar até malwares ainda não identificados por AV somente analisando os relatórios gerados.

Um porém é que ele somente consegue analizar arquivos *.exe portanto fica de fora .scr etc.


O link da análise que eu fiz está aqui:

http://anubis.iseclab.org/?action=result&task_id=1a1e9d607d823a714891fd90e915b3ada&format=html

O site do anubis disponibiliza alguns exemplos também de análise aqui:

http://anubis.iseclab.org/?action=sample_reports

Você pode ver o que os vírus famosos fazem:

• Email-Worm.Win32.Sober.E
  
• Email-Worm.Win32.Bagle.E
  
• Email-Worm.Win32.Mydoom.E
  
• Email-Worm.Win32.NetSky.E
  
• Virus.Win32.Parite.d

Fabio

Post apagado.

Obrigado a todos.

De acordo com Ormandy, o produto foi desenvolvido primariamente em JavaScript com node.js e abre diversas portas para lidar com as requisições da API.

Em seu relato, ele disse que levou apenas 30 segundos para localizar uma porta que suporta a execução de comandos.

Isto significa que qualquer site pode executar comandos como este abaixo:

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true); try { x.send(); } catch (e) {};

Depois de relatar o problema para a Trend Micro, Ormandy confirmou que todas as senhas armazenadas pelo software podem ser roubadas remotamente sem que o usuário perceba.

A empresa já disponibilizou uma correção para o problema.

Fonte: https://code.google.com/p/google-security-research/issues/detail?id=693

Tutorial: FS-MP3Fix

Ferramenta espanhola criada por InfoSpyware. Utilizada na limpeza de arquivos de mídia como MP3, WMA,WMV, etc, que foram possivelmente infectados pelo Trojan-Downloader.WMA.GetCodec, e suas variantes. Trojan geralmente pego através de compartilhadores P2P.
Este malware se espalha camuflado em formatos de arquivos ASF, que são mostrados simplesmente como um arquivo MP3, WMA ou WMV, para enganar o usuário. Quando for reproduzir o arquivo malicioso baixado, ele abrirá e poderá até tocar (durante uns 5/10 segundos) ou não tocará nada, logo após, abrirá uma página de download do Internet Explorer para você, pedindo que baixe um falso codec chamado "Windows_Media_Player_Flash_Codec_Plugin.exe" (trojan Vundo), para que você possa ouvir ou terminar de reproduzir seu arquivo de mídia.

O malware também pode contaminar todos os seus arquivos de mídia MP3, WMA, WMV legítmos já salvos no PC.

OBS: A ferramenta também remove outros tipos de infecções dos arquivos de mídia que foram infectados. Porém, na maioria das vezes, a infecção nos arquivos é causado pelo Trojan-Downloader.WMA.GetCodec.

Alguns antivirus detectam esta infecção na mesma hora, seja na hora que está sendo feito o download do arquivo, ou na hora que executa-o. O problema é que o antivirus não irá desinfectar o trojan dos arquivos (que era o que deveriam fazer), ele irá remover seus arquivos. E aqui entra o FS-MP3Fix, que irá apenas desinfectar a contaminação de seus arquivos de mídia, sem perder ou remover nada. Apenas irá restaurá-los, limpando-os.

Só lembrando que caso instalem o trojan vundo (falso codec), a remoção não deverá ser pelo MP3Fix, pois será inútil e sem sucesso. Porque a ferramenta apenas desinfecta arquivos de mídia, não limpa o sistema. Para remover o vundo pode-se utilizar Malwarebytes e/ou ComboFix (que não deve ser utilizada sem conhecimento).

Link para donwnload:
http://www.infospyware.com/Software/Herramientas/FS-MP3Fix.zip

Modo de Usar

Após baixar a ferramenta, extraia os arquivos do zip na área de trabalho. Onde será criada uma pasta chamada "FS-MP3Fix".

Selecione todos os seus ficheiros de mídia (MP3, WMA,WMV, etc) que estão contaminados, e mova-os para dentro desta pasta FS-MP3Fix criada no desktop. Como na imagem:



Entre na pasta FS-MP3Fix, dê um duplo clique no arquivo FS-MP3Fix.exe para executar a ferramenta. Na tela que será aberta, selecione o idioma de sua preferência: "Opção 1" (Espanhol) e "Opção 2" (Inglês), por fim tecle Enter para dar continuidade



Na outra tela, será apresentado a mensagem "Pressione qualquer tecla para continuar...". Tecle Enter novamente e aguarde a desinfecção de seus arquivos



Ao término, pressione Enter para fechar a janela



Explicação: O que a ferramenta fará é bem simples, irá gerar uma cópia de cada arquivo de mídia limpo. Ou seja, irá desinfectar seu arquivo contaminado pelo trojan e gerar uma cópia limpa do mesmo na própria pasta da ferramenta.

OBS: Para diferenciar os arquivos contaminados dos que foram limpos pela ferramenta, será acrescentado o conteúdo "_FS" no final do nome de seu arquivo que foi limpo. Por fim, pode deletar os arquivos contaminados da pasta manualmente após a limpeza e a cópia gerada.



PS.: A ferramenta não gera logs!

Abraços

Este tópico é destinado a auxiliar as pessoas que estão tendo seu primeiro contato com malwares (spywares, trojans e vírus diversos), bem como aqueles que querem saber um pouco mais sobre variantes das ameaças e programas indicados na sua prevenção e remoção:


Malwares:


É como se denominam genéricamente os programas que realizam tarefas nocivas sem que o usuário tenha conhecimento disso. Nele estão compreendidas as seguintes categorias:

Spyware: monitora o uso do computador, podendo roubar informações como a sua lista de endereços de e-mail, por exemplo, enviando-a para spammers e hackers.

Adware: normalmente mostra banners aleatoriamente e monitorar o seu uso da Internet, podendo roubar informações relativas à navegação (sites visitados). Em alguns casos gera a abertura indiscriminada de janelas popup, muda página principal do navegador, força a abertura de páginas específicas etc.

Vírus: programa que têm como finalidade destrutiva, infectando arquivos, partições, setores de boot, podendo inclusive afetar a navegação de sites. Em geral vírus é definição genérica, entendendo-se que se desdobram em variantes, como trojans, worms etc. Antes das modernas classificações designavam qualquer programa nocivo ao pc como vírus. Com o tempo, a classificação foi se aprimorando, ficando bem definidos outros tipos de ameaças.

Worm: programa que têm como finalidade atacar diretamente o uso do computador e o sistema operacional. Os worms em geral se propagam rapidamente, infectando grande número de computadores através da internet, causando fortes danos e prejuízos a empresas e pessoas comuns. Entre os worms estão alguns dos mais perigosos instrumentos de danificação e destruição do sistema. Danificam o sistema, atrapalham a conexão com a internet, forçam reinicializações etc, dependendo da finalidade para a qual foi projetado o worm.

Trojan: aplicativo que ao ser instalado no seu computador, abre um canal de comunicação externo para que hackers possam acessar o seu computador sem o seu conhecimento. Exemplo muito atual dessas ameaças são os trojans bancários, conhecidos por furtar senhas bancárias dos usuários infectados que realizam transações bancárias pela internet. Em geral são reconhecidos como variantes dos trojans os keyloggers (ladrão de senhas), dialers (fazem chamadas internacionais não solicitadas) e backdoors (abrem portas no pc, preparando-o para invasão).


Programas de proteção


Abaixo encontram-se programas indicados na proteção e segurança do computador:


Antispywares e Anti-trojans


Ad Aware: um dos melhores antispywares do momento. Tem atualizações atualizações bastante frequentes. É freeware na sua versão SE. Download: http://www.lavasoftusa.com/support/download/

Spybot: programa tradicional entre os antispywares, com bom sistema de remoção e detecção. Programa freeware. Download: http://www.safer-networking.org/pt/mirrors/index.html

Windows Defender: antigo Microsoft Antispyware. Possui boa proteção residente, e um bom scan. Atualmente encontra-se ainda na versão beta (em desenvolvimento). Download: http://www.microsoft.com/athome/security/spyware/software/default.mspx

Spy Sweeper: bom índice de detecção, forte proteção residente e controle de aplicativos que inicializam com o pc. Programa shareware (pago). Download da versão de testes: http://www.webroot.com/consumer/?rc=481&ac=spysweeper

Spyware Doctor: Bom programa de remoção de spywares. Também é shareware (pago). Download: http://www.pctools.com/spyware-doctor/?ref=google_sd

SpywareBlaster: programa que serve no monitoramente de efeitos nocivos do active-x, e ajuda a prevenir a infecção por spywares. Não possui ferramentas para scan e remoção, e atua principalmente na prevenção de infecções, através de proteção residente, podendo inclusive restringir o acesso a sites nocivos. É freeware (gratuito). Download: http://www.javacoolsoftware.com/spywareblaster.html

AVG AntiSpyware: é um spyware e anti-trojan. Tem uma base muito sólida que permite detectar grande número de trojans e também spywares, facilitando a vida de quem quer segurança para o pc. É shareware (pago). O programa chamava-se Ewido antes de ser adquirido pela Grisoft. Download: http://www.ewido.net/en/download/

A-Squared: anti-trojan também bastante conhecido, com boas atualizações e bom scan. Possui versão free e paga. Download: http://www.emsisoft.com/en/software/download/

Existem diversos outros programas antispywares e anti-trojans, bons e ruins. Não listei todos no tópico para não torná-lo cansativo. Cabe ao usuário ao se deparar com um programa desses que seja menos conhecido fazer a devida pesquisa, a fim de não causar danos ao seu sistema, pois existem inclusive antispywares falsos, que são na verdade programas nocivos, conforme podem ver em link que postei mais abaixo a respeito.


Ferramentas de diagnóstico


HijackThis: programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral. Através dele pode ser gerado um log, por meio do qual é possível verificar os processos ativos do Windows e de programas úteis, assim como os processos nocivos e maliciosos, possibilitando a remoção destes últimos. Por considerá-lo de grande utilidade, abaixo constei algumas informações importantes para se utilizar esse programa. Freeware. Download: http://www.hijackthis.de/
Tutorial Hijackthis: como esse programa é muito usado, e não é tão simples de se usar, estou colocando o link para um tutorial muito bom dele: http://linhadefensiva.uol.com.br/docs/hijackthis-completo/
Reconhecer executáveis nocivos: como essa tarefa nem sempre é fácil, estou disponibilizando o link do site "Linha Defensiva" onde é possível tirar a dúvida se o aplicativo é próprio do Windows, de programa utilizado no pc, ou se trata-se de um malware:
Processos: http://linhadefensiva.uol.com.br/processos/
Entradas de inicialização: http://linhadefensiva.uol.com.br/inicializacao/
Como fazer análise on line dos logs do HijackThis?
Inicialmente gere um log do sistema entrando no programa e clicando no botão "Do a system scan and save a logfile". Gerado o log em arquivo txt, copie seu conteúdo. Na parte de baixo da página do HijackThis existe um espaço em branco no meio da página, onde está escrito "You can paste a logfile in this textbox ", que serve para você colar seu log. Depois de colar, mais embaixo encontra o botão "Analyze" (analisar). Clique nele e verá a analise on line do seu log. Outra maneira é simplesmente salvar seu log em alguma pasta do seu computador e no mesmo site clicar em "or you can choose a logfile from your computer", que fica abaixo do espaço em branco reservado para a colagem. Ele vai abrir uma janela para você selecionar o log que está salvo na pasta que você escolheu, e após clicar em "Analyse" ele gerará a análise da mesma forma. Temporariamente o site disponibiliza o link da análise, logo abaixo de onde está escrito “The following analyses has been stored temporarily”.
As entradas do log no site geralmente são separadas da seguinte forma:
arkGreen"> “Very Safe” e arkGreen">“Safe”: são reconhecidas como entradas legítimas do Windows e programas. Não se deve mexer nelas.
“Nasty”: em geral um programa suspeito ou malicioso, possivelmente um malware. Se não for de algum programa conhecido, delete a entrada.
“Possibly Nasty”: é possível que seja um malware, mas o site não pode determinar isso com certeza. Se não reconhecer o programa com essa inscrição, o mais recomendável é apagar a entrada.
arkOrange"> “Unknown”: entrada desconhecida do site. Ele não sabe dizer do que se trata. Avalie com calma essa entrada, e se for o caso apague-a.
arkRed"> “Unnecessarily”: entrada desnecessária. Pode ser um programa já desinstalado que ainda conservou entradas ativas no sistema, por exemplo. Em geral pode ser apagada sem problemas.
arkGreen"> Para análise rápida (mais direta) do log, depois de mandar analisar, clique no link “short analisys”, no final da página. Abrirá uma janela apenas com as entradas que foram consideradas suspeitas pelo site, para uma análise mais tranqüila do usuário.
Como remover ameaças usando o HijackThis?
Após feita a análise detalhada e com calma do log, passamos à remoção, usando o próprio HijackThis. Abra o programa e clique em "Do a system scan only". O programa fará então a busca no sistema e apresentará as entradas relevantes, com uma caixa de texto na frente de cada linha, para que o usuário marque as que deseja remover. Escolha as que devem ser removidas, e clique em "fix checked". Em seguida, faça um novo scan e gere um novo log, analisando novamente no site, para ter certeza que a entrada nociva foi removida.

A-Squared HijackFree: não se trata de um antispyware, mas de uma ferramenta de diagnóstico interessante, que achei útil incluir nesta seção. Oferece a possibilidade de verificar portas abertas no pc, programas que iniciam com o computador, ver processos ativos e até ser utilizado quando o gerenciador de tarefas do Windows não estiver funcionando corretamente. Também bastante útil para identificar programas nocivos rodando junto com o pc. Download: http://www.emsisoft.com/en/software/download/


Dicas importantes:


É importante passar um scan de ao menos um programas desses ao menos uma vez por semana. A infecção por malwares em geral é muito comum para quem usa internet, e pode ocorrer de um momento para outro sem que o usuário perceba.

É útil também a utilização de programas com proteção residente, os chamados “guardas”, que monitoram a entrada de ameaças. Em geral apenas as versões pagas dos programas possuem guarda ativo. Ex: Ewido, Ad-Aware etc. O Spybot possui proteção residente contra alterações de registro, chamada Tea Timer. O guarda ativo muitas vezes impede a entrada de programas espiões.

Mesmo sem o uso de proteção residente, que a meu ver pode muito bem ser substituída por um scan periódico e profundo, usando ao menos dois programas antispyware e um anti-trojan. Inclusive em computadores de baixa configuração, o excesso de proteção residente pode influir negativamente no desempenho do sistema.

Ao contrário dos antivírus, que em geral geram conflitos quando instalados mais de um deles no pc, o mesmo não ocorre em geral com os antispywares. É até recomendável um scan periódicos com mais de um antispyware, pois eles possuem base de dados diversas, e um pode encontrar ameaça ainda não encontrada pelo outro.

Evite aceitar arquivos de desconhecidos via e-mail ou messengers. Eles podem conter vírus diversos e programas nocivos ao seu computador. Também evite clicar em links que são comumente enviados por e-mails, muitas vezes simulando bancos e empresas idôneas. Em geral eles conduzem a páginas contendo infecções, que podem dar bastante trabalho para serem removidas.

No tópico abaixo podem ser encontradas dicas e procedimentos a serem usados na remoção:
FAQ: problemas com vírus, spywares etc? Leia isto!

É importante salientar a existência de falsos programas antispywares. Em geral eles atuam negativamente no computador, seja instalando espiões ou dando falsos alertas que geram sensação de insegurança no usuário. Abaixo estão links úteis com informações a respeito e listagem de programas suspeitos:
http://linhadefensiva.uol.com.br/artigos/antispyware-falso/
http://www.spywarewarrior.com/rogue_anti-spyware.htm


Antivírus e Firewall


São dois programas essenciais a toda pessoa que pretende utilizar a internet nos dias atuais.

O antivírus inibe a ação de vírus, worms e trojans, e alguns deles possuem inclusive proteção contra spywares (a chamada proteção extendida). Programas indicados: http://forumgdh.net/viewtopic.php?t=76685

O firewall é uma barreira de acesso a internet. O bom firewall monitora os programas que acessam a internet do seu pc, detecta outros computadores tentando conexão com seu sistema (a chamada invasão). Programas indicados: http://forumgdh.net/viewtopic.php?t=76686

Um sistema para se considerar protegido precisa ter instalados no pc os seguintes softwares de segurança: antivírus, firewall e antispyware. Recomenda-se muito também um anti-trojan, para colaboração na detecção dessas ameaças.


Sobre este tópico


Procurei listar no tópico programas de reconhecida idoneidade, evitando programas experimentais ou de eficácia duvidosa.

Este é um tópico que visa principalmente orientar as pessoas a respeito de ameaças via internet, e compilar nele informações a respeito, evitando que elas fiquem espalhadas pelo fórum, dificultando sua procura pelas pessoas que necessitam dessas informações.

A Lavasoft,lançou a “Rogue Gallery”, uma lista que contem nomes de produtos de segurança falsos, chamados 'rogue'.

www.lavasoft.com/mylavasoft/rogues

Em 19 p.p a empresa de segurança MalwareBytes contratou o sr.Filipos Mouliatis, aka: Thisisu e adquiriu sua ferramente de remoção de malware - Junkware Removal Tool.
Acredito que agora o que era bom ficou melhor.

Mais detalhes: http://www.bleepingcomputer.com/
http://www.bleepingcomputer.com/forums/t/580009/malwarebytes-acquires-junkware-removal-tool-to-take-a-stronger-stance-at-pups/


Creditos: Lawrence Abrams