Este documento é uma tradução do inglês. É possível que tenham sido feitas atualizações à versão original do inglês depois que esse documento foi traduzido e publicado. A Symantec não garante que esta tradução esteja totalmente completa em relação ao original.

Situação:
Cada vez que o Windows é iniciado, tem-se a impressão de que também são carregados programas de vírus, worms e cavalos de Tróia, mas não é possível identificar o ponto de carregamento. Este documento descreve algumas dicas para localizar o ponto de carregamento de vírus, worms e cavalos de Tróia.

Solução :
Para mais informações sobre vírus, worms e cavalos de Tróia específicos, consulte a Enciclopédia Online de Vírus do Security Response.

Muitos vírus, worms e cavalos de Tróia são carregados ao iniciar e alguns permanecem nesses pontos de inicialização ao desligar o computador, como o BUDDYLIST.EXE. Os itens a seguir são os pontos de carregamento mais comuns de vírus, worms e cavalos de Tróia.

Arquivos do sistema
Utilize o Editor de configuração do sistema para abrir os arquivos do sistema.
Para iniciar o Editor de configuração do sistema, clique em Iniciar > Executar. Digite sysedit e clique em OK.

Autoexec.bat
Esse arquivo pode abrir os programas a partir de qualquer lugar. Suspeite principalmente de arquivos com nomes semelhantes aos dos arquivos legítimos do DOS ou do Windows. Por exemplo, Command.bat and Explore.exe. O arquivo Autoexec.bat geralmente não é utilizado para carregar vírus, worms e cavalos de Tróia.

Win.ini
[windows]
load=
run=

Os programas carregados com o arquivo WIN.INI geralmente são carregados a partir das linhas load= ou run= na seção [windows]. Tome cuidado com os arquivos carregados a partir dessa seção, mas que estão "escondidos" no final da linha. A linha pode ser muito extensa e prolongar-se para a extremidade direita da tela. Fique atento às barras de rolagem na parte inferior da janela. Isso indica que há algo mais além do campo de visualização. Role para a direita e certifique-se de que nenhuma outra informação tenha sido adicionada ao final da linha.

System.ini
[boot]
shell=explorer.exe

Na linha shell= na seção [boot] do arquivo System.ini podem existir duas entradas. Portanto, é possível acionar um segundo arquivo executável nessa linha e carregá-lo a partir dela. Outras observações a serem feitas são a barra de rolagem na parte inferior da janela (indica que há mais texto à direita do campo de visualização e que não está sendo exibido) e um segundo nome de arquivo executável, como Trojan.exe.

Winstart.bat
Esse arquivo pode abrir os programas a partir de qualquer lugar. Na inicialização, o sistema vai procurar o arquivo Winstart.bat em todos os caminhos do sistema. Se ele existir, será executado como qualquer outro arquivo de lote.

---

Nota: esse arquivo geralmente não existe em todos os sistemas.

---

Pasta Iniciar
Essa pasta está localizada sob a pasta \Windows\Menu Iniciar\Programas. Para acessá-la, clique com o botão direito em Iniciar > Abrir e clique duas vezes na pasta Programas. Aí será encontrada a pasta Inicializar. Qualquer coisa nessa pasta é executada automaticamente ao iniciar o Windows após fazer o login.

Registry

---

AVISO: é altamente recomendável fazer um backup do Registro antes de fazer quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Certifique-se de alterar somente as chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows 95/98/NT, antes de continuar.

---

Existem vários locais de onde os arquivos podem ser carregados a partir do Registro. Alguns dos mais comuns são:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\RunServicesOnce

Essas chaves são todas utilizadas para legitimar aplicativos, mas também podem conter valores criados para carregar programas de vírus, worms e cavalos de Tróia. Certifique-se de não excluir nenhuma chave de legitimação e sempre fazer um backup para poder restaurá-las posteriormente, se necessário.

Browser Helper Object (BHO)
Procurar por entradas suspeitas que possam ter sido adicionadas como um BHO é muito mais complexo do que procurar pelos valores das chaves mencionadas acima, já que a maioria dos BHOs é legítima. Isso também exige pesquisa em duas diferentes áreas do Registro.

1. Navegue até:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
   
   
2. No painel esquerdo, logo abaixo dessa chave, procure por todas as subchaves CLSID.
   
   Elas serão semelhantes ao seguinte exemplo:
   
   {06949E9F-C8D7-4D59-B87D-797B7D6BE0B3}
   
   
3. Anote todas as seqüências encontradas (ou copie-as e cole-as no Bloco de notas).
   
   
4. Navegue até e expanda a subchave:
   
   HKEY_CLASSES_ROOT\CLSID\<seqüência de letras e números >
   
   onde <seqüência de letras e números>é o que foi anotado na Etapa 3.
   
5. Sob a subchave expandida, selecione a chave InProcServer32.
   
6. No painel direito, nas colunas Nome e Dados, incluindo o valor (Padrão), procure por qualquer nome que pareça suspeito.
   
7. Pesquise no disco rígido ou na web, ou em ambos, para confirmar ou negar as suspeitas. Somente exclua o valor se conseguir confirmar que o nome do arquivo está vinculado a um arquivo malicioso.

Outras coisas a serem verificadas

---

Nota: todos os tipos de arquivos abaixo são encontrados no ambiente Windows e não devem ser considerados totalmente suspeitos. Muitos arquivos dos tipos descritos podem ser úteis ao usuário, mas também podem ser utilizados para fins maliciosos. Não é recomendado excluir esses tipos de arquivos, a menos que se saiba exatamente o que eles fazem.

---

Wininit.ini
Esse arquivo é executado pelo Wininit.exe durante o processo de inicialização, podendo renomear arquivos antes de ser carregados pelo Windows (incluindo arquivos úteis .dll e .exe que podem ser substituídos por versões danificadas dos mesmos).

Arquivos .shs
Esses são arquivos "descartáveis" do Windows e, na verdade, consistem em arquivos OLE que podem conter qualquer coisa, incluindo códigos executáveis, embora a maioria dos usuários não tenha conhecimento deles.

Arquivos .bat
Esses são arquivos de lote (script) e também podem ser carregados a partir de outros arquivos. Eles podem ser facilmente alterados para ajustar-se a propostas maliciosas.

Referências
Para mais informações sobre os pontos de carregamento comuns no Windows NT/2000/XP, consulte o documento da Base de Conhecimento da Symantec Pontos de carregamento comuns de programas de vírus, worms e cavalos de Tróia no Windows NT/2000/XP/2003.

Versão em inglês deste documento:
Devido ao tempo necessário para traduzir o documento em outros idiomas e às características de cada audiência, esta versão traduzida pode variar em conteúdo e formato em relação ao documento original em inglês. Se desejar, clique aqui para acessar a versão em inglês deste documento.

Utilize a lista abaixo para acessar outros documentos relacionados com a sua dúvida ou problema ou, se preferir, clique em Voltar e faça uma nova pesquisa:

• Pontos comuns de carregamento de vírus, worms e cavalos de Tróia no Windows 9x e 3.1x
• Atualizando as definições de vírus para o Norton AntiVirus Corporate Edition
• Atualizando as definições de vírus em um servidor que executa o Norton AntiVirus para Lotus Notes e o Norton AntiVirus Corporate Edition 7.x
• O ícone de escudo do Symantec AntiVirus Corporate Edition não é exibido na área de notificação do sistema
• Práticas gerais de segurança para administradores de rede
• Determinando se as definições de vírus utilizadas pelo Symantec AntiVirus Corporate Edition estão corrompidas
• O servidor primário não atualiza os servidores ou clientes secundários utilizando o VDTM.
• O LiveUpdate falha ao ser executado a partir do Symantec System Center ou quando agendado no Symantec AntiVirus Corporate Edition
• Clientes não se comunicam mais quando o endereço IP do servidor-pai do Symantec AntiVirus Corporate Edition é alterado
• Excluindo unidades de disco, pastas e arquivos específicos das verificações do Symantec AntiVirus
• Permitindo que usuários restritos iniciem o LiveUpdate
• No Symantec System Center, as opções de cliente não estão disponíveis durante alterações na configuração no nível de cliente
• Guia para o arquivo Grc.dat no Symantec AntiVirus Corporate Edition 10.x
• Descrição detalhada da instalação do Symantec AntiVirus 10.0 para administradores
• Etapas para minimizar o tempo de recuperação no caso de uma falha no servidor
• Instruções detalhadas do Symantec System Center 10.0 para administradores
• Desinstalando manualmente o servidor do Symantec AntiVirus 10.x
• Desinstalando manualmente o cliente do Symantec AntiVirus 10.0
• Desinstalando manualmente o servidor do Symantec Client Security 3.0
• Desinstalando manualmente o cliente do Symantec Client Security 3.0
• Desinstalando manualmente o Symantec System Center 10.1/10.0
• Desinstalando manualmente o servidor do Symantec AntiVirus 10.1/10.0 e o AMS a partir do NetWare
• Desinstalando manualmente o cliente AMS do Symantec AntiVirus Corporate Edition 10.1/10.0
• Os clientes e os servidores secundários não recebem as atualizações após o servidor pai do Symantec AntiVirus Corporate Edition 8.x ter sido atualizado através do Intelligent Updater
• Introdução ao Symantec Client Security 3.0 para Nokia Communicator

Identificação do Documento: 20051010162506935
Revisado em: 11/03/2009
Data de criação: 10/10/2005
Sistema Operacional: Windows 95, Windows 98, Windows Me, DOS/Windows 3.1x
Productos: Norton AntiVirus 5.0 - OS/2, Norton AntiVirus Corporate Edition 6.0, Norton AntiVirus Corporate Edition 7.0, Symantec AntiVirus Corporate Edition 10.0, Symantec AntiVirus Corporate Edition 8.0, Symantec AntiVirus Corporate Edition 9.0, Symantec AntiVirus for Handhelds - Corporate Edition, Symantec AntiVirus for Handhelds - Corporate Edition for wireless devices, Symantec Client Firewall 5.0, Symantec Client Firewall 7.1, Symantec Client Firewall 8.0, Symantec Client Security 3.0, Symantec Client Security for Nokia Communicator - Corporate Edition, Symantec Desktop Firewall 2.0, Symantec Event Manager for Antivirus 1.0, Symantec Event Manager for Symantec Client Security 1.0, Symantec Packager 1.0, Symantec System Center 4.0, Symantec System Center 5.0, Symantec System Center 6.0