Como remover quase todos os Spywares

 

Dois completos tutoriais, ensinando a remover os Spywares do seu pc.

Parte I

O sintoma mais claro é aquele anúncio pop-up de um site pornográfico que você nunca visitou saltando na tela do seu computador na hora em que você está mostrando o relatório da reunião de diretoria para o chefe. Ou pior, para a chefa. Mas esta não é a única forma pela qual se manifestam os spywares, adwares, malwares ou seja lá como for que você prefira chamar essas pragas. Apesar de menos perigosos que os vírus, esses malditos programinhas são muito mais irritantes e, em alguns casos, quase impossíveis de remover. Mas não custa tentar, não é? De preferência com a ajuda deste tutorial.

Geralmente o usuário de um micro contaminado por spyware logo percebe que algo está errado com o computador, mas nem sempre se dá conta do motivo. São janelas pop-up anunciando cruzeiros no Caribe, cassinos virtuais, os já citados sites eróticos, e, ironia das ironias, uma infinidade de produtos (falsos, é claro) para remoção de spywares. Isso quando o micro simplesmente não trava quando você tenta acessar determinado site ou o Internet Explorer para totalmente de funcionar.

Pior: algumas variantes “seqüestram” seu navegador (em especial se for o Internet Explorer), passando a exibir páginas não solicitadas quando ele é iniciado, desviando as mensagens de “página não encontrada” para endereços escusos, alterando as páginas inicial e de busca e infestando sua lista de favoritos com endereços de sites de sexo. Além do computador ficar extremamente lento, praticamente congelando quando se está digitando alguma coisa em um formulário online, por exemplo.

Guia básico de remoção

Qualquer amigo entendido em informática saberá como resolver seu problema de spyware sem pestanejar: faça o download da última versão de um programa chamado Ad-AwareSE, da Lavasoft (www.lavasoft.com) ou do SpyBot Search and Destroy (www.safer-networking.org). O primeiro é mais conhecido, mas a versão profissional é paga, enquanto o SpyBot é um projeto independente baseado em doações.

Esses programas funcionam praticamente como um antivírus: trazem uma lista enorme de definições de pragas conhecidas e varrem seu computador – incluindo a memória, o disco rígido e as entranhas do Windows – em busca de seus rastros, identificando aqueles que são ameaças sérias e até coisas mais inocentes, como os cookies deixados para trás pelos sites que você costuma visitar. Assim como os antivírus, precisam ser atualizados periodicamente, pois a lista de spywares nunca pára de crescer.

O problema é que, apesar de removerem um monte de lixo do seu computador, esses programas não são 100% eficientes. Não são nem os mais eficientes do mercado – apenas os mais populares. Experimente perguntar ao amigo entendido o que fazer se a dupla Ad-Aware e SpyBot não resolver seu problema. É agora que você vai saber se ele realmente sabe do que está falando!

Armas pesadas

O primeiro passo é lançar mão de um caça-spywares mais poderoso. Dos que já experimentamos, o melhor que ainda pode ser usado com relativa segurança por um internauta não muito afeito aos tecnicismos do Windows é o SpySweeper, da WebRoot (www.webroot.com). Ele custa US$ 30 por ano (para se ter direito às atualizações), mas pode ser testado gratuitamente por 30 dias.

Depois de baixar e instalar o programa, o primeiro passo é iniciar a investigação do seu sistema. Repare que a versão que usamos tinha em seu banco de dados nada menos que 89.022 definições de, que o programa chama de “fingerprints” (impressões digitais), de Spyware. Feche todos os programas que estiverem rodando, principalmente as janelas de navegadores e acessórios como MSN Messenger e Windows Media Player, clique no botão “Start” e aguarde.

Em nosso exemplo , depois de vasculhar 1.926 itens ativos na memória, 56.403 entradas do registro do Windows e 74.638 arquivos ou pastas, o SpySweeper encontrou quatro itens e dez “traços” suspeitos. E isso porque o computador tinha sido limpo recentemente – o “normal” em uma primeira inspeção é achar dezenas de ameaças. Clique em “Next” e vejamos o que são elas.

Três dos quatro itens detectados são relativamente inocentes: cookies de sites de sexo, cassinos virtuais e coisas do gênero. O quarto, no entanto, é o bicho-papão dos spywares: um sujeito chamado CWS_NS3 Hijacker. Pergunte ao amigo entendido o que é esse tal de CWS… se ele fizer uma careta e mandar você reformatar seu HD e instalar o Windows e todos os programas de novo, ele sabe do que se trata.

Cool Web Search, o mal dos males

Antes de tratar do CWS propriamente dito, tratemos de finalizar a operação com o SpySweeper: selecione todas as ameaças e clique em “Next” para removê-las. Pronto! Seu computador deve(ria) estar limpinho. Agora repare no ícone “Alerts” do SpySweeper. Se ele estiver amarelo, “alguém” está tentando fazer alterações desautorizadas no micro… é o nosso amigo CWS que se recusa a ir embora!

Pela nossa experiência, por mais que você rode os três programas citados até agora e cancele as alterações detectadas pelo “Alerta” do SpySweeper, o CWS continua renascendo misteriosamente. Essa família de spywares, identificada pela abreviatura do nome Cool Web Search (ah, era essa a página que aparecia quando você abria o Internet Explorer?), é a mais persistente de todas as pragas.

Em alguns casos, a melhor solução pode ser mesmo a que o amigo entendido sugeriu: reformatar o disco e fazer uma instalação limpa do Windows. Mas você não precisa desistir ainda. Existe uma série de outras ferramentas de complexidade crescente para (tentar) remover o CWS. Falaremos sobre elas na continuação deste tutorial, na semana que vem, mas se você estiver realmente desesperado pode ir pesquisando no Google os programas CWSShredder e HijackThis.

Começando do zero

Se você optar pela formatação ou se teve a sorte de ainda não ter sido contaminado pelo CWS, vamos às medidas preventivas para evitar uma (re)infecção: baixe todas as atualizações de segurança da Microsoft, principalmente as relacionadas à máquina-virtual Java (JVM). Melhor ainda: desinstale o Java da Microsoft e instale o da Sun, disponível em http://www.java.com. Se você não usa um firewall, passe a fazê-lo. O Windows XP tem um embutido – não é o melhor do mundo, mas já ajuda.

Por fim, se você ainda não o fez, considere usar um navegador alternativo no lugar do Internet Explorer. Pode ser o Firefox (www.getfirefox.com), o Opera (www.opera.com) ou N outras opções. Com qualquer uma delas você estará mais seguro. Esta dica também é válida para quem continua infectado e mal consegue trabalhar com o navegador padrão do Windows – mudar para um Firefox da vida não vai limpar seu PC, mas pelo menos permitirá que ele seja usado enquanto o problema em si não é resolvido.

Parte II

Na primeira parte desse tutorial mostramos como eliminar a maior parte dos spywares e outras pragas semelhantes que infestam nossos PCs, mas deixamos para os “próximos capítulos” a batalha contra o mais temido dos programas espiões, o CoolWebSearch – ou CWS, para quem infelizmente tem alguma intimidade com essa desgraça. A primeira variante do CWS foi identificada em maio de 2003. Desde então, dezenas de versões foram criadas, sendo que as mais recentes são praticamente impossíveis de remover, pelo menos para um internauta sem um bom conhecimento técnico ou muita paciência.

Uma praga que se recusa a morrer

CwsshredderO problema do CWS e de similares como o About:blank é que eles combinam várias formas de ação e autopreservação. Primeiro colocam um instalador para ser executado quando o computador é iniciado – assim, mesmo que você consiga remover o foco principal da praga, ela retornará automaticamente no próximo boot. Nem adianta olhar na pasta Startup do menu Iniciar, pois não é de lá que o instalador é acionado – para encontrá-lo, só olhando no registro do Windows ou usando uma ferramenta específica.

Outra enorme maldade que o programa faz é redirecionar ou bloquear o acesso a diversos endereços na Internet, entre eles as páginas de busca do Google, Yahoo e MSN e, em alguns casos, os sites dos mais conhecidos fabricantes de removedores de spyware. Para isso, a praga instala um mini servidor Web no seu computador e edita a configuração dos hosts do sistema, apontando todos esses endereços para o tal servidor. Além de alterar a página inicial e as páginas de busca e de erro do Internet Explorer, é claro.

Tudo isso nem seria tão difícil de resolver se o CWS também não mantivesse um programinha rodando secretamente na memória do micro. Disfarçado como um serviço do Windows não identificado no gerenciador de tarefas, esse componente cuida de restaurar quaisquer arquivos e configurações do CWS que você ou um programa removedor apaguem. O pior é que o nome desse programa muda de uma variante para outra ou mesmo de uma hora para outra, em um mesmo computador!

Triturador de programas espiões

CwsshredderJá deve ter dado para notar que remover o CWS “na mão” não seria uma coisa muito simples. Felizmente, vários programadores de bom coração andaram desenvolvendo ferramentas para exterminar a praga, quase sempre apenas pelo desafio. A mais simples e abrangente delas foi criada por um estudante holandês chamado Merijn Bellekom  e atende pelo nome de CWSShredder (Triturador de CWS).

Merijn brincou de gato e rato com o CWS durante meses, lançando versões novas do programa quase que semanalmente para combater as novas variantes da praga – seu diário de batalha pode ser lido em http://www.spywareinfo.com/~merijn/cwschronicles.html. Acabou desistindo no início do ano passado e deixou o projeto de lado até vendê-lo para a Intermute, que por sua vez acaba de ser adquirida pela japonesa Trend Micro.

O fato é que o CWS voltou a ser atualizado e pode ser baixado gratuitamente em http://cwshredder.net/bin/CWShredder.exe. O programa varre seu sistema em busca de 48 (quando este texto foi escrito) variantes do CWS e se propõe a corrigi-las com um único clique do mouse. É uma ferramenta valiosíssima e elimina boa parte das pestes, mas não todas. Comece por ela para limpar os maiores estragos antes de seguir em frente.

Armas de precisão cirúrgica

Se o bombardeio pesado do AdAware, SpyBot e SpySweeper e a metralhadora giratória do CWSShredder não resolverem seu problema, o jeito é apelar para soluções mais flexíveis, embora muito mais complicadas. Os próximos passos deste tutorial são complexos demais para um usuário inexperiente e podem impedir seu computador de funcionar, exigindo uma reinstalação do Windows. Prossiga por sua conta e risco!

HijackthisNossa próxima arma é o HijackThis! (Seqüestre Isto!), também de autoria do holandês Merijn, disponível em http://www.merijn.org/downloads.html. Esta ferramenta faz uma análise do seu computador e apresenta uma lista de possíveis rastros de spyware (não apenas do CWS) nos processos ativos, na lista de programas auto-executáveis, no arquivo de hosts e no registro do Windows, tomando o cuidado de decodificar os nomes embaralhados.

O problema é que, como destacado acima, o HijackThis! aponta possíveis malfeitores, mas a maioria dos itens identificados são programas respeitáveis. Em outras palavras, se você mandar ele apagar tudo o que encontrar, certamente causará problemas até maiores do que a infecção por spyware. Cuidado! Só apague o que você tiver certeza de que não precisa. Como isso muda de computador para computador e de spyware para spyware, é impossível fazer uma “receita de bolo” universal.

Como saber o que é o quê? A melhor maneira é acessar fóruns especializados como os listados em http://www.merijn.org/forums.html, publicar o relatório (log) gerado pelo HijackThis! e pedir educadamente a ajuda de algum dos especialistas de plantão – que sugerem uma doação via Paypal caso seu problema seja resolvido com a orientação fornecida. Os fóruns são em inglês, mas as instruções geralmente são fáceis de seguir até por quem entende pouco o idioma.

Mais recursos

KillboxBugoffOutras ferramentas que podem lhe ser úteis na guerra aos spywares são o Killbox e o BugOff. O primeiro serve para interromper processos e remover programas da memória a fim de permitir que os arquivos relacionados sejam apagados do disco rígido. Pode ser baixado em http://www.bleepingcomputer.com/files/killbox.php. Já o BugOff, outro criado por Merijn e disponível em seu site, é um aplicativo de prevenção que bloqueia algumas vulnerabilidades do Windows e do Internet Explorer para impedir o contágio por novos spywares. Melhor prevenir do que remediar, não é?

Fonte: WNews

Anúncios
Esse post foi publicado em Artigo. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s