Pesquisa

Este documento é uma tradução do inglês. É possível que tenham sido feitas atualizações à versão original do inglês depois que esse documento foi traduzido e publicado. A Symantec não garante que esta tradução esteja totalmente completa em relação ao original.

Situação:
Este documento lista a maioria dos pontos de carregamento utilizados por vírus, worms ou cavalos de Tróia no Windows NT 4.0/2000/XP/2003.

Solução :
Este documento descreve alguns dos pontos de carregamento comuns utilizados por ameaças no Windows NT/2000/XP/2003 e assume que o leitor possui conhecimento prático de gerenciamento de arquivos e de como editá-los no Registro.

Sem dúvida, a maneira mais eficiente para evitar e detectar ameaças é executar um produto antivírus da Symantec da versão atual e manter as definições de vírus atualizadas.

O ambiente do Windows 2000/XP, quando vulnerável, é um pouco mais resistente a vírus, worms e cavalos de Tróia do que o Windows 98/Me. No Windows 2000/XP/2003, os pontos de carregamento mais comuns para essas ameaças estão no Registro.

---

AVISO: É altamente recomendável fazer um backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as chaves especificadas. Consulte o documento Fazendo um backup do Registro do Windows para mais informações.

---

O recurso de carregamento geralmente estará no painel direito das seguintes chaves, freqüentemente referindo-se ao nome do arquivo da ameaça. Verifique essas chaves à procura de entradas suspeitas:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKEY_CLASSES_ROOT\comfile\shell\open\command

HKEY_CLASSES_ROOT\piffile\shell\open\command

HKEY_CLASSES_ROOT\exefile\shell\open\command

HKEY_CLASSES_ROOT\txtfile\shell\open\command

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Com essa ramificação selecionada, no painel direito, localize o seguinte valor: Userinit
Esse valor deve ser somente C:\WINDOWS\system32\userinit.exe e não possuir nenhum programa adicional especificado após a vírgula

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Com essa ramificação selecionada, no painel direito, localize o seguinte valor: load
Esse valor deve estar vazio.

Se suspeitar que um sistema possa estar infectado, examine cada uma dessas chaves. Determine se o os campos Nome do valor ou Dados do valor, incluindo o valor Padrão, referem-se a um arquivo suspeito.



Browser Helper Object (BHO)
Procurar por entradas suspeitas que possam ter sido adicionadas como um BHO é muito mais complexo do que procurar pelos valores das chaves mencionadas acima, já que a maioria dos BHOs são legítimos. Isso também exige pesquisa em duas áreas diferentes do Registro.

1. Vá para:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
   
   
2. No painel esquerdo, logo abaixo dessa chave, procure por todas as subchaves CLSID.
   
   Elas serão similares a este exemplo:
   
   {06949E9F-C8D7-4D59-B87D-797B7D6BE0B3}
   
   
3. Anote todas as seqüências encontradas (ou copie-as e cole-as no Bloco de notas).
   
   
4. Navegue até e expanda a subchave:
   
   HKEY_CLASSES_ROOT\CLSID\<seqüência de letras e números >
   
   onde <seqüência de letras e números>é o que foi anotado na etapa 3.
   
5. Sob a subchave expandida, selecione a chaveInProcServer32.
   
6. No painel direito, nas colunas Nome e Dados, incluindo o valor Padrão, procure por qualquer nome que pareça suspeito.
   
7. Pesquise no disco rígido ou na web, ou em ambos, para confirmar ou negar as suspeitas. Somente exclua o valor se conseguir confirmar que o nome do arquivo está vinculado a um arquivo malicioso.

Outros pontos de carregamento
Outro método possível de ser utilizado para carregar ameaças infecciosas é ocultar um arquivo e colocá-lo - ou criar um atalho para ele - em uma das pastas Iniciar. Nos ambientes que utilizam o Windows NT, existem muitas pastas Iniciar.

1. Na Área de Trabalho do Windows, clique com o botão direito em Iniciar> Abrir todos os usuários.
2. Clique duas vezes em Programas.
3. Clique duas vezes em Iniciar.
4. Procure por quaisquer arquivos suspeitos. Geralmente serão atalhos, mas é possível encontrar .exe, .hta ou arquivos similares. Certifique-se de configurar as opções de exibição para Exibir todos os arquivos e suas extensões.
5. Repita as etapas de 2 a 4 para o grupo Iniciar do usuário atual clicando com o botão direito em Iniciar> Abrir.

Menos comuns são os carregadores colocados no sistema por hackers. Esses podem ser encontrados em locais diferentes. Na maioria dos casos, eles podem ser localizados somente através de uma verificação executada pelo produto antivírus da Symantec, utilizando as definições atuais.

Devido à natureza do Windows 2000/XP, muitas ameaças são executadas como um processo, podendo ser protegidas pelo sistema operacional após a sua execução. Para procurá-las, abra o Gerenciador de tarefas e observe a guia Processos. Como existem muitos processos sendo executados, será necessário saber o nome de um processo específico a ser procurado (por exemplo, como descrito em um documento de vírus) ou conhecer os nomes dos processos que normalmente são executados no computador.

1. Feche todos os programas, salvando qualquer documento.
2. Pressione Ctrl+Shift+Esc para abrir o Gerenciador de tarefas.
3. Na guia Processos, clique duas vezes em Nome da imagem para classificar os processos.
4. Role a lista e procure por possíveis ameaças. Ao localizar um processo suspeito, selecione-o e clique em Finalizar processo.
5. Agora será possível localizar e excluir os arquivos de carregamento e, em seguida, remover todos os pontos de carregamento do Registro.
6. 
   Referências

Versão em inglês deste documento:
Devido ao tempo necessário para traduzir o documento em outros idiomas e às características de cada audiência, esta versão traduzida pode variar em conteúdo e formato em relação ao documento original em inglês. Se desejar, clique aqui para acessar a versão em inglês deste documento.


Para mais informações sobre pontos de carregamento comuns nos sistemas operacionais Windows 9x e Windows 3.1x, consulte documento Pontos de carregamento comuns para programas de vírus, worms e cavalos de Tróia no Windows 9x e 3.1x.

Utilize a lista abaixo para acessar outros documentos relacionados com a sua dúvida ou problema ou, se preferir, clique em Voltar e faça uma nova pesquisa:

• Atualizando as definições de vírus para o Norton AntiVirus Corporate Edition
• Pontos comuns de carregamento de vírus, worms e cavalos de Tróia no Windows 9x e 3.1x
• Atualizando as definições de vírus em um servidor que executa o Norton AntiVirus para Lotus Notes e o Norton AntiVirus Corporate Edition 7.x
• Os clientes e os servidores secundários não recebem as atualizações após o servidor pai do Symantec AntiVirus Corporate Edition 8.x ter sido atualizado através do Intelligent Updater
• O ícone de escudo do Symantec AntiVirus Corporate Edition não é exibido na área de notificação do sistema
• Determinando se as definições de vírus utilizadas pelo Symantec AntiVirus Corporate Edition estão corrompidas
• O servidor primário não atualiza os servidores ou clientes secundários utilizando o VDTM.
• O LiveUpdate falha ao ser executado a partir do Symantec System Center ou quando agendado no Symantec AntiVirus Corporate Edition
• Clientes não se comunicam mais quando o endereço IP do servidor-pai do Symantec AntiVirus Corporate Edition é alterado
• Excluindo unidades de disco, pastas e arquivos específicos das verificações do Symantec AntiVirus
• Permitindo que usuários restritos iniciem o LiveUpdate
• No Symantec System Center, as opções de cliente não estão disponíveis durante alterações na configuração no nível de cliente

Identificação do Documento: 20051004161431935
Revisado em: 10/19/2005
Data de criação: 10/04/2005
Sistema Operacional: Windows NT 4.0, Windows 2000, Windows XP
Productos: Norton AntiVirus Corporate Edition 7.0, Symantec AntiVirus Corporate Edition 8.0, Symantec AntiVirus Corporate Edition 9.0

Índice do Site · Notas Legais · Política de Privacidade · Comentários · Contato · Sites Mundiais