Verso 1.

2
Muitos usurios de Windows esto com seus computadores infectados por malwares (worms, adwares, spywares,
trojans ...) e s sabem disso quando o sistema operacional comea a se comportar de maneira estranha. Os
sintomas disso incluem:
- janelas do Internet Explorer abrindo sozinhas
- sites desconhecidos aparecem quando se quer fazer uma busca
- o Internet Explorer tem uma nova pgina inicial sem que voc tivesse configurado-o para isso
- programas anti-spywares deixam de funcionar (ao serem abertos, fecham-se automaticamente)
- o acesso Internet torna-se lento sem motivo
- o Windows est mais lento do que de costume
- h um trfego adicional na sua rede sem motivo
Ao acontecer isso, normal o usurio xingar o Windows e a Microsoft e "rebootar o micro para ver se melhora" - e
continuar irritado ao ver que no h melhora alguma depois de (inutilmente) reinicializar o computador.
Os malwares vm embutidos em diversos de programas gratuitos na web que "seduzem" o usurios para instal-los,
infectando o computador dele sem que ele perceba.
Alguns dos conhecidos programas que fazem isso so o KaZaA, Gator, GAIN, PrecisionTime, DashBar, Date
Manager, WeatherScope, WeatherCast, ClockSync, BonziBuddy, IEHelper, SnagIt, MySearch, Comet Cursor entre
muitos outros.
Voc pode obter uma lista com programas que contm malwares em diversos sites como este e este ...
Mas o que malware ? Malware rene toda gama de programas que realizam tarefas nocivas sem que o usurio
saiba e os 7 tipos mais conhecidos so:
Spywares, que monitoram o uso do computador, podendo roubar informaes como a sua lista de endereos de email, por exemplo, enviando-a para spammers
Adwares, que podem mostrar banners aleatoriamente e monitorar o seu uso da Internet, podendo roubar
informaes relativas navegao (sites visitados)
Trojans, programa que ao se instalado no seu computador, abre um canal de comunicao externo para que
hackers possam acessar o seu computador sem o seu conhecimento
Hijackers, programas que alteram o comportamento do seu browser, fazendo com que ele acesse pginas e sites

Pgina 1 de 32

especfios sem que voc tenha configurado-o para isso.

Worms, programas que tm como finalidade se propagar e infectar o maior nmero de computadores, fazendo com
que eles automaticamente enviem milhares de e-mail, ataquem sites ou realizem tarefas especficas
Virus, programas que tm como finalidade destrutiva, infectando arquivos, parties, setores de boot ...
Keyloggers, programa que armazena tudo o que voc digita no seu teclado e envia o arquivo para hackes
analisarem, podendo com isso roubar senhas, logins, nmero de carto de crdito ...
A soluo definitiva para a eliminao dos malwares um conjunto de trs tarefas:
1. Desinstalao dos programas que contm malwares (quando isso possvel, pois muitos destes programas no
tm desinstaladores)
2. Utilizao de programas especficos para a deteco e eliminao dos malwares
3. Modificao do Windows para minimizar a reinstalao dos mesmos
Como estas tarefa no so simples de serem feitas, eu criei este guia que mostra como fazer isso de maneira
simples e direta, alm de ajud-lo a evitar que novos malwares se instalem em seu computador.
Este guia tambm ajudar voc a descobrir se o seu micro est infectado com worms (que enviam milhares de
mensagens de e-mail sem que voc saiba), algo que pode passar despercebido pelo usurio, pois como no h
sinal algum visvel de problema no Windows, ele pode concluir erroneamente que o micro dele no est infectado.
Para manter voc atualizado em relao aos malwares, informando novidades sobre eles e como remov-los,
criamos uma rea no Frum do BABOO aonde voc pode postar dvidas e problemas que voc est tendo com
malwares para que a comunidade do Frum ajude-o, bem como um tpico especfico sobre este guia, aonde voc
pode obter informaes adicionais acompanhar todas as novidades.

importante que voc perca alguma horas seguindo cada passo deste Guia pois isso
poder economizar muita dor-de-cabea e perda de tempo caso o seu computador
esteja infectado e voc ainda no tenha eliminado os malwares deles. Arme-se de
pacincia e bom-humor pois no final ter valido a pena !
Este guia tem 20 passos que ensinam voc como eliminar os malwares e impedir que
eles voltem. Os passos 1 a 11 mostram como identificar e eliminar todos os malwares
do seu computador e os passos 12 a 20 mostram como evitar que eles reapaream.

Pgina 2 de 32

Este Guia est dividido em 20 passos:

Introduo
1. Como saber se o seu computador est infectado ?
2. Verifique o arquivo HOSTS
3. Habilite seu firewall
4. Atualize o seu antivirus
5. Execute o scan online da Panda Software
6. Instale todas as Atualizaes Crticas e Service Packs existentes no Windows Update
7. Instale e execute o Ad-Aware SE (programa gratuito)
8. Instale e rode o Spybot (programa gratuito)
9. Instale e execute o BHO Demon (programa gratuito)
10. Instale e execute o CWShredder (programa gratuito)
11. Novos spywares e hijackers ? Adware Away neles ! (programa gratuito)
12. Utilizar um bloqueador de janelas pop-up
13. Bloquear a instalao aleatria de ActiveX
14. Impedir que programas modifiquem determinadas chaves do Registro
15. Impedir que programas modifiquem arquivos no Menu Iniciar
16. Impedir que programas modifiquem o arquivo HOSTS
17. Como reconhecer um e-mail falso
18. Configuraes recomendadas do Windows
19. Tarefas semanais para manter o seu micro seguro
20. Aonde se atualizar sobre malwares e vulnerabilidades ?
Concluso

Este guia sugere o uso de diversos programas gratuitos que podem ser obtidos no site do desenvolvedor
dos mesmos. Para facilitar o seu trabalho, disponibilizamos dois links no BABOO contendo arquivos com
estes programas:

Arquivo sem o Zone Alarm

Ad-Aware SE 1.03, AdwareAway 2.23, Autoruns 5.0, BHODemon 2.0.0.18, CWShredder
1.59.1, Spybot 1.3
Tamanho: 9,6 Mb
Indicado para quem j tem um firewall instalado ou para quem usa Windows XP
Arquivo com o Zone Alarm
Ad-Aware SE 1.03, AdwareAway 2.23, Autoruns 5.0, BHODemon 2.0.0.18, CWShredder
1.59.1, Spybot 1.3, ZoneAlarm 5.1.011
Tamanho: 15,1 Mb
Indicado para quem no tem firewall instalado ou para quem no usa Windows XP

Pgina 3 de 32

Como saber se o seu computador est infectado ?

Embora no decorrer deste guia voc saber em detalhes como identificar e eliminar malwares, uma das maneiras
mais rpidas de se fazer isso visualizar os programas que so executados quando o Windows carregado
pois desta maneira pode-se saber quais programas desconhecidos esto listados ali - e que usualmente so
malwares.
Para fazer isso, faa o download do pequeno arquivo Autoruns 5.0: ele gratuito, tem apenas 140 Kb e no necessita
de instalao. Ao ser executado, abre-se uma janela listando os arquivos que so carregados juntamente com o
Windows, durante a inicializao deste.
(outra maneira de ver os arquivos carregados na inicializao do Windows utilizar o utilitrio MSCONFIG que vem
no Windows, embora ele seja mais restrito e menos detalhado do que o Autoruns)
Para saber se o seu computador tem algum malware, execute o Autoruns e observe a lista de programas existentes
logo abaixo das linhas
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e
HKCU\Software\Microsoft\Windows\CurrentVersion\Run:
Veja a imagem:

Verifique se h algum arquivo suspeito sendo carregado, seguindo estas trs dicas:
1. Arquivos localizados na pasta Temp ou Temporary Internet Files (veja a localizao dos arquivos na coluna Image
Path)

Pgina 4 de 32

2. Arquivos com colchetes: amovoce[1].exe, por exemplo

3. Arquivos com extenso .dll
Se houverem arquivos com as caractersticas acima, recomendvel voc clicar no quadrado esquerda dele para
desabilit-lo e reiniciar o Windows aps isso.
Exemplos de arquivos listados na coluna Image Path que indicam ser malwares:
c:\windows\hello.exe
c:\windows\temp\mysearch.exe
c:\Documents and Settings\Joao\Local Settings\Temporary Internet Files\hi.exe
c:\windows\temp\drv32.exe
c:\windows\avserve2.exe

Verifique o arquivo HOSTS

O Windows mantm um arquivo chamado HOSTS que contm uma lista de IPs e nomes de domnios que visa
agilizar ou redirecionar o acesso a alguns sites.
Alguns malwares modificam o arquivo HOSTS para que o computador no consiga acessar sites de atualizao de
antivirus, Windows Updates e outros - portanto o primeiro passo verificarmos se o seu arquivo HOSTS est
ntegro. No Windows XP, o arquivo HOSTS (que no tem extenso) encontra-se em
\Windows\System32\Drivers\ETC e no Windows 9x/Me ele est em \Windows.
V at a pasta aonde o arquivo HOSTS est localizado, clique nele com o boto da direita do mouse e escolha a
opo Abrir. Por ser um arquivo texto, o Windows poder abri-lo com o Bloco de Notas.
O arquivo HOSTS contm algumas linhas que comeam com o caractere # e uma ou mais linhas com nmeros e
palavras. Para certificar que o seu arquivo HOSTS est ntegro, usualmente ele deve conter apenas uma linha:
127.0.0.1

localhost

Se houver mais linhas ali (que no tm o smbolo # como primeiro caractere), recomendvel que voc apague
todas elas.
Linhas como as listadas abaixo mostram claramente que o seu arquivo HOSTS est danificado por algum malware
(pois os sites listados ali no podero ser acessados) e por isso essas linhas devem ser imediatamente apagadas:
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com

Pgina 5 de 32

127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
Aps apagar todas as linhas adicionais, salve o seu arquivo HOSTS.

Habilite seu firewall

Tenha certeza que o Internet Connection Firewall (do Windows XP com SP1 ou sem nenhum Service Pack
instalado), o Windows Firewall (do Windows XP SP2) ou qualquer firewall que voc utilize, est ativado e
funcionando corretamente.
Para saber se o seu firewall est funcionando, siga estes passos simples:
1. Acesse o site do Gibson Research (GRC)
2. Clique em Shields UP!
3. Clique no boto Proceed
4. Clique na opo Common Ports
5. Aps alguns segundos, aparecer o resultado
O ideal que as principais portas TCP/IP do seu computador estejam fechadas (Closed) ou escondidas (Stealth),
como mostrado na imagem abaixo.

Se o resultado do seu computador mostrar que as portas 135, 139 e 445 esto abertas, possvel que o seu
computador esteja infectado com algum malware.
Se o computador que voc fizer o teste no est fisicamente conectado Internet, ou seja, h outro computador que

Pgina 6 de 32

est disponibilizando a conexo da web para voc, o teste de segurana ser realizado naquele computador - e no
no seu. Isso no muda em nada a validade do teste do GRC pois o importante que o computador que est
fisicamente conectado Internet esteja protegido, pois por ali que hackers tentaro invadir o computador ou a rede
local.
O firewall impede que hackers invadam o seu computador e tambm impede que alguns bugs do Windows XP
possam ser explorados remotamente (como a vulnerabilidade que informava que o Windows seria desligado em um
minuto). Para hablitar o firewall no Windows XP, faa o seguinte:
No Windows XP com SP1 ou no: v em Iniciar > Painel de Controle > Conexes da Internet > d um duplo-clique
na sua conexo > Propriedades > Avanado > clique na opo de Firewall de conexo com a Internet ("Proteger o
computador e a rede limitando ...") e clique em OK

No Windows XP com SP2: v em Iniciar > Painel de Controle > Firewall do Windows > certifique que a opo
Ativado est habilitada

Se voc no utiliza o Windows XP, voc deve utilizar um firewall de terceiros, como por exemplo o ZoneAlarm, que
um firewall gratuito muito eficiente.
Outra tima opo de firewall o Norton Personal Firewall (ou o Norton Internet Security, pacote que inclui o Norton
Antivirus) da Symantec.

Atualize o seu antivirus

Alm de confirmar se o seu antivirus est atualizado (faa isso atualizando-o via web ou verificando no site da
empresa que o desenvolveu), voc deve fazer uma verificao completa dos seus discos rgidos.

Pgina 7 de 32

O Service Pack 2 do Windows XP inclui a Central de Segurana, que informa se o seu antivirus est atualizado ou
no.
Uma dica importante que voc deve configurar o seu antivirus para proteo mxima para que todos arquivos
suspeitos possam ser interceptados, pois a maioria dos antivirus vm configurados com proteo mdia e voc deve
verificar e alterar isso.
No Norton Antivirus, por exemplo, voc deve clicar em Opes > clicar em Auto-Protect > Bloodhound > habilitar a
opo "Nvel mais alto de proteo". O mesmo deve ser feito na opo Verificao Manual > Bloodhound.
Um detalhe importante sobre o AVG: muitos usurios usam o antivirus AVG 6.0 pois ele gratuito - e infelizmente
esse antivirus ruim, dando a falsa impresso ao usurio que ele est sem vrus, quando na verdade o micro pode
estar infectado sem que este antivirus seja capaz de detectar isso.
Por isso, na minha opinio voc deve fugir do AVG: desinstale-o e instale algum antivirus decente como o Norton
Antivirus, McAfee, NOD32, Panda ou outros pois com estes o seu computador com certeza estar muito mais
protegido.
muito importante voc fazer a verificao completa dos seus discos rgidos (mesmo que isso demore
algumas horas) antes da prxima etapa pois de nada adianta atualizar o seu Windows se ele estiver
infectado sem que voc saiba !

Execute o scan online da Panda Software

Embora o antivirus da Panda Software no esteja entre os mais utilizados, a verificao online via web da empresa
mostra ser surpreendentemente eficiente contra diversos tipos de vrus e worms.
Para acessar o Panda ActiveScan, clique aqui. Ao clicar no boto Scan your PC, voc ser redirecionado para outra
pgina aonde voc deve clicar no boto Next. Depois basta preencher um endereo de e-mail e clicar em Send. Por
fim, indique a sua localizao e clique em Start.

Depois disso a pgina enviar um arquivo que deve ser executado para que a anlise online possa ser realizada.
Voc poder escolher o que ser analisado e sugiro que voc escolha Meu Computador para que todos os drives do
seu computador sejam analisados.
A anlise demora alguns minutos e no final os arquivos infectados so eliminados.

Pgina 8 de 32

Tambm esto disponveis outras verificaes online de fabricantes de antivirus, como Symantec, McAfee,
BitDefender e Trend Micro.

Instale todas as Atualizaes Crticas e Service Packs existentes no Windows Update.

Ao acessar o Windows Update e instalar todas as atualizaes crticas listadas ali, o seu Windows eliminar
diversas vulnerabilidades que so aproveitadas por vrus, worms e outros malwares.
importante voc saber que toda segunda tera-feira de cada ms (10/Ago/04, 14/Set/04, 12/Out/04 ...), a Microsoft
disponibiliza um pacote de atualizao para o Windows e seus componentes (Internet Explorer, Outlook Express,
Windows Media Player ...), facilitando a previso de novos updates - embora em casos especiais possam haver
updates importantes disponibilizados em outras datas.

importante que voc instale TODAS as Atualizaes Crticas e Service Packs existentes para garantir que o seu
Windows esteja atualizado. Usurios com conexo a modem podem pedir gratuitamente Microsoft o envio de
um CD com o Service Pack caso queira evitar obt-lo via Internet.

O maior update (excluindo-se Service Packs) o .NET Framework e embora ele seja importante para uso de
aplicaes desenvolvidas para a plataforma .NET, voc no precisa instal-lo sob o ponto de vista de segurana do
seu computador. O Windows Update 5.0 a verso atual do Windows Update e para os usurios do Windows XP,
ele prov diversas novidades, incluindo arquivos menores para download e uso limitado de banda para no
atrapalhar a navegao.

Pgina 9 de 32

Windows Update 5.0 indicando que no h nenhuma atualizao disponvel

O Windows Update permite que voc salve em seu computador os arquivos obtidos ali; desta maneira voc pode
instal-lo em outros computadores sem a necessidade de obt-los novamente via Internet.
Para fazer isso, clique na opo Opes do administrador ( esquerda) e clique no link Catlogo do Windows
Update ( esquerda, dentro do pargrafo sobre Atualizar vrios sistemas operacionais)
Embora existam sites que faam gratuitamente uma varredura online do computador do usurio para
detectar malwares, como o PestScan da PestPatrol, recomendvel voc fazer isso atravs de software gratuitos,
que so mais completos e melhor indicados para esta tarefa:

Instale e execute o Ad-Aware SE (programa gratuito)

O Ad-Aware SE Personal Edition um programa gratuito e muito eficiente para a eliminao de adwares (programas
que mostram banners de anunciantes). Ele pode ser obtido no site da Lavasoft USA.
A instalao do Ad-Aware bastante elementar e no h opo para configuraes especficas na instalao. Aps
a instalao do produto, aparecer na ltima tela trs opes: Perform a full system scan now, Update definition file
now e Open the help file now. Clique apenas na segunda opo (Update definition file now) e clique no boto Finish.
O programa ser carregado e voc deve clicar na opo Check for updates now e depois no boto Connect. Ao
aparecer a mensagem indicando que h updates disponveis para download (como mostrado na imagem abaixo),
clique no boto OK para instal-los. Quando finalizar a instalao, clique no boto Finish.

Agora que o Ad-aware est atualizado, voc deve utiliz-lo para fazer uma varredura no seu computador. Para isso,
clique no boto Status (o boto superior esquerda) e em seguida no boto Start. Selecione a opo Perform full
system scan (segunda opo) e clique em Next. Aguarde a finalizao da varredura.
Ao finalizar a verificao, clique no boto Next e voc ver a lista de arquivos encontrados. Para obter informaes
sobre cada um dos arquivos encontrados, basta dar um duplo-clique no nome e voc ter uma descrio completa
do mesmo.
Para eliminar todos os arquivos (o que altamente recomendvel), clique com o boto da direita do mouse em

Pgina 10 de 32

qualquer lugar da janela > escolha a opo Select all objects (imagem abaixo) e clique no boto Next. Clique em OK
para eliminar os arquivos encontrados.

importante que voc saiba que alguns programas que utilizam adwares no funcionam mais caso ele seja
eliminado (como o KaZaA) e que muitos dos arquivos mostrados pelo Ad-Aware so cookies (que so listados com
a palavra "Tracking" na coluna Vendor), que so arquivos comumente utilizados por alguns sites para controle de
acesso e que so automaticamente recriados quando voc acessa novamente o site.
O mais importante no Ad-Aware que ele localiza e elimina adwares perigosos, contidos em arquivos e linhas no
Registro do Windows, pois comparados com os malwares existentes, os cookies no representam perigo de
segurana para o internauta (embora algumas empresas de marketing utilizem-nos para rastrear os sites navegados
pelo internauta).
Aps realizar essa varredura com a opo Perform full system scan, voc pode utilizar a opo recomendada
(Perform smart system scan) nas prximas vezes (item 19).

Instale e rode o Spybot (programa gratuito)

O Spybot (cuja verso mais recente a 1.3) provavelmente o melhor programa para eliminar spywares.
Ao instal-lo, tenha certeza de habilitar a opo para instalar o SDHelper e principalmente o TeaTimer, um pequeno
aplicativo que monitora o Registro, evitando que spywares faam modificaes ali sem que o usurio saiba.

Quando o TeaTimer est rodando, comum aparecer algumas mensagens dele quando realizada atualizao do
Windows (item 6 acima) pois estas usualmente fazem modificaes no Registro do Windows: isso normal e voc
deve aceitar as modificaes.

Pgina 11 de 32

Aps finalizar a instalao do Spybot e execut-lo, o programa sugere realizar trs importantes tarefas que ajudam
na proteo do seu computador e ALTAMENTE recomendvel que voc aceite-as. So elas:
1. Create Registry Backup, que far um backup do Registro do Windows. Ao clicar no boto Create registry
backup, a opo Next (na parte inferior da janela, ao lado da seta verde) ficar cinza at a finalizao do backup
(que pode demorar alguns minutos)
2. Search for Updates e Download all available updates, que procurar atualizaes para o programa e as
instalar, caso existam.
Essa etapa importantssima pois permite que o Spybot atualize-se, permitindo a identificao e remoo de novos
malwares que possam estar instalados no seu computador.

Aps a finalizao do processo (quando a janela Update progress desaparecer e a lista de atualizaes tiver o
), clique em Next.
smbolo
3. Immunize this system, que imunizar o computador contra diversos malwares, evitando que eles sejam
instalados no computador. Ao clicar em Next, aparecer na janela o nmero de programas ruins (malwares)
bloqueados que no podero ser instalados. Clique ento em Next e no boto inferior Start using the program.
Rodando o Spybot
Agora que o programa est instalado e atualizado, voc deve execut-lo para que ele detecte spywares instalados
no seu computador. Para isso, clique na opo Search & Destroy (primeiro cone superior na janela esquerda) e
em seguida em Check for problems.
Aps alguns minutos (sendo que s vezes o programa parece estar travado, mas no est), o programa mostrar
uma lista de arquivos que envolvem malwares e tambm cookies de empresas de banners (que podem fazer com
que essas empresas monitorem a sua navegao nos sites gerenciados por elas).
Um detalhe interessante o DSO Exploit, usualmente detectado pelo Spybot, mas que na realidade so chaves do
registro relativas a Zonas do Internet Explorer e que no oferecem perigo algum.
Para eliminar todos os arquivos encontrados, clique na opo Fix selected problems e os arquivos sero apagados
aps voc confirmar que deseja remov-los. Se voc utiliza o Windows XP, criado um Ponto de Restaurao por
questo de segurana.
Quando o Spybot no consegue eliminar o arquivo (pois ele est ativo na memria, por exemplo), ele informa-o
disso e pergunta se voc deseja que esses arquivos sejam eliminados na prxima vez que o computador for ligado.
importante que voc aceite isso e reinicie o computador o mais breve possvel, pois dessa maneira o Spybot ser
executado no incio do Windows e os arquivos podero ser (enfim) eliminados.

Pgina 12 de 32

Opo Immunize
Um detalhe muito til para fazer depois do Spybot confirmar que voc no tem nenhum arquivo suspeito no seu
micro clicar a opo Immunize para ter certeza que o seu computador ficar imune a alguns malwares.
Tenha certeza que a segunda opo do Imunnize ("Enable permanent blocking of bad addresses in Internet
Explorer") esteja clicado e a opo "Block all pages silently" selecionada. Para ter certeza que o seu sistema est
razoavelmente imune, clique no boto superior Immunize.
TeaTimer
Usurios mais atentos devem ter notado um novo cone no tray (ao lado do relgio): o TeaTimer, um aplicativo que
monitora algumas chaves do Registro do Windows, avisando o usurio sempre que algum programa tentar modificlas.

O TeaTimer muito til pois permite manter o computador mais seguro, informando quando algum programa tenta
modificar o Registro - mesmo programas conhecidos e importantes, como durante a Atualizao Automtica do
Windows, atualizaes do antivirus, ou quando o usurio instalar algum programa novo.
Antes de instalar um Service Pack, recomendvel que voc desabilite o TeaTimer
Quando algum programa tentar alterar o Registro do Windows ou o Internet Explorer (ao instalar a barra da MSN ou
do Google, por exemplo), o TeaTimer permite que voc permita que a mudana seja feita (Allow change) ou que ela
seja recusada (Deny change). Alm disso h a opo Remember this decision que permite que o TeaTimer relembre
a opo que voc definiu e aplique-a novamente, evitando que a janela aparea a todo instante.

O Spybot um programa bastante poderoso, permitindo a verificao de mais opes alm de spywares. Alm
do programa poder ser configurado para idioma portugus brasileiro (menu Language > Brasil), voc pode habilitar a
opo Avanada (menu Mode > Advanced Mode), o que trar muitas outras opes. Exemplo: clique na barra Tools
(Ferramentas) e voc poder alterar a configurao de BHOs, ActiveX, arquivo HOSTS, entre outras opes.

Pgina 13 de 32

Instale e execute o BHO Demon (programa gratuito)

Se voc no utiliza o Service Pack 2 do Windows XP, ento voc deve fazer o download do BHO Demon, que
permitir que voc saiba quais Browser Helper Objects (BHOs) esto habilitados no Internet Explorer (IE). O
programa pode ser obtido aqui ou aqui.
Alguns programas instalam extenses no IE que facilitam o uso dos mesmos (como o Adobe Reader, que integra a
visualizao de arquivos .PDF no IE, alguns gerenciadores de download, antivirus entre outros), mas isso tambm
permite que spywares instalem ali o que quiserem. Esses programas que instalam extenses (ou integram-se ao IE)
so denominados BHO (Browser Helper Objects).
Muitos malwares utilizam essa tcnica: verses antigas do Go!Zilla (gerenciador de downloads), por exemplo,
instalavam um BHO que monitorava o uso do IE. A maneira mais simples de saber se o seu IE tem algum BHO
spyware que no foi detectado pelo Ad-aware e Spybot visualizando a lista de BHOs - e o timo BHO Demon faz
exatamente isso, avisando-o se h algum BHO suspeito.
Ao instalar e executar o BHO Demo, o primeiro passo que voc deve realizar clicar no boto "Check for Updates" e
clicar em "Check NOW for a New Version of BHODemon". Clique em OK e instale todas as atualizaes existentes.
Agora hora de voc eliminar os BHO suspeitos:

Na imagem acima voc tem a lista de BHO (so 6 ao todo), aonde eles so tidos como Benignos (Benign, escrito em
verde). Para obter mais informao sobre um determinado BHO, d um duplo-clique nele e abrir uma janela
mostrando detalhes do arquivo.
No nosso caso, os BHO instalados so estes:
1. AcroIEHelper = Adobe Reader
2. SDHelper.dll = aplicativo do Spybot
3. NISShExt.dll = Norton Internet Security
4. GoogleToolbar3.dll = barra do Google
5. NAVSHEXT.dll = Norton Antivirus
Caso exista algum BHO suspeito no seu micro, voc pode desativ-lo clicando no smbolo correspondente que
aparece na coluna Enabled?. Qualquer programa que voc no conhea pode ser um malware e recomendvel
que voc desabilite-o.
Usurios do Service Pack 2 do Windows XP
Usurios do Service Pack 2 do Windows XP no precisam do BHO Demon pois o IE vm com uma funo similar: o
Gerenciador de Complementos, que est na opo Ferramentas > Opes da Internet > aba Programas > boto
Gerenciar Complementos.
O Gerenciador de Complementos lista os BHO instalados no seu computador, permitindo que voc desative-os a
qualquer instante.

Pgina 14 de 32

Embora isso seja suficiente para impedir de algum BHO indesejvel funcionar, o uso do BHO Demon continue sendo
recomendvel por fornecer muito mais detalhes sobre os BHOs instalados.

Na imagem acima, pode-se ver diversos aplicativos BHO conhecidos que so executados juntamente com o Internet
Explorer, como o Norton Antivirus, Shockwave Flash e Windows Messenger - e outros nem to reconhecidos, como
o SDHelper (aplicativo do Spybot) e CTAdjust Class (ActiveX que permite a configurao do ClearType).
Caso voc desconfie de um deles, desabilite-o clicando na opo Desativar (que no est mostrada na imagem
acima) e volte a utilizar o browser para verificar se ele continua funcionando corretamente. Voc poder faz-lo
voltar a funcionar bastando clicar no nome dele e selecionar a opo Ativar.

Instale e execute o CWShredder (programa gratuito)

O CWShredder elimina muitos trojans conhecidos e embora ele tenha sido descontinuado pelo desenvolvedor, ele
continua resolvendo diversos problemas comuns que muitos internautas tm quando o seu browser parece ter "vida
prpria". O CWShredder pode ser obtido aqui.

O CWShredder elimina diversos problemas como redirecionamento de URL, mudanas na pgina inicial, janelas
pop-up e outras aes caractersticas de hijackers.

Pgina 15 de 32

O seu uso bastante simples: voc deve fechar todas as janelas do Internet Explorer e clicar a opo Next.
O programa verificar a existncia de diversos malwares (embora muitos recentes no esto na lista) e eliminar
aqueles que forem detectados.
O criador do CWShredder tambm criou o HiJackThis! um timo programa que permite visualizar os arquivos que
so carregados na inicializao do Windows, entre outras informaes teis para quem tem conhecimento para lidar
com elas. O HiJackThis! pode ser obtido aqui.

Novos spywares e hijackers ? Adware Away neles ! (programa trial)

O Adware Away a mais nova arma contra malwares, que completa a tarefa do Ad-Aware e do Spybot, procurando
e eliminando malwares. Voc pode obter o Adware Away no site da empresa que o desenvolveu, sendo que a
verso atual a 2.2. Ele permite o uso gratuito por 5 dias.
O grande diferencial entre o Adware Away e os demais programas de eliminao de spyware que o Adware Away
tem ferramentas para eliminao de determinados hijackers (programas que alteram o Internet Explorer fazendo
com que o internauta seja redirecionado para sites sem o seu consentimento) que usualmente s conseguem ser
removidos " mo" aps a realizao de diversos passos para isso.
Entre alguns hijackers complexos que so eliminados pelo Adware Away esto o about:blank (em que aparece na
barra de endereos do IE "about:blank" mas o browser carrega vrias pginas), o res://dll (a barra de endereos
contm res://[nome].dll/index.html#) e o SSearch.biz (aonde a barra de endereos sempre contm algo como
"ssearch.biz?wmid=".
A cada nova verso, o Adware Away adiciona a eliminao de novos spywares e por isso ele torna-se uma
excelente ferramenta contra os malwares.

O ponto negativo do programa que na verso atual, a varredura de spywares detecta

um arquivo importante do sistema operacional (userinit.exe) como um arquivo
"suspeito", o que poderia causar problemas caso o usurio decidisse apag-lo - e
portanto s recomendo este programa por causa da (excelente) varredura e eliminao
de hijackers.

Usando o Adware Away

A instalao do programa bastante simples e a primeira tarefa a ser realizada a atualizao do programa, que
deve ser feita clicando-se na opo Online Update ( esquerda, na parte inferior). Se houver alguma atualizao,
instale-a imediatamente. Para iniciar a varredura, clique na opo Scan. O Adware Away permite que voc faa uma
varredura para achar e eliminar hijackers.
Para isso, clique na opo Hijacker Away ( esquerda, dentro do mdulo Specialized Remover) e logo em seguida
clique no terceiro cone na parte inferior da janela, conforme ilustrado na imagem abaixo.

Pgina 16 de 32

Caso algum hijacker for encontrado, voc deve verificar qual o nome dele na janela de resultados, clicar no cone
correspondente na parte superior da janela e, por fim, clicar no ltimo cone da lista, que eliminar o malware.
Exemplo prtico: vamos supor que o seu computador esteja infectado com o hijacker MyWebSearch mas voc no
sabe disso. Voc deve seguir estes passos:
1. Clique na opo Hijacker Away e no terceiro cone (mostrado na imagem acima) para fazer uma varredura
procura de qualquer hijacker
2. Aparecer na lista Totally Found: [1] Malware Objects!, indicando que foi encontrado um malware no seu
computador !
3. Para saber qual esse malware, voc deve subir a lista e localiz-lo: neste caso, aparecer Found [1]
MyWebSearch Hijacker, indicando que o seu computador est infectado com o MyWebSearch.
4. Na lista de cones da parte superior, voc deve clicar no cone MyWebSearch Hijacker, indicando que este o
malware que voc pretende eliminar
5. Agora voc deve clicar no ltimo boto (o ltimo direita), que eliminar o malware escolhido (MyWebSearch) do
seu computador.

Um detalhe importante que alm de voc clicar em Hijacker Away, procurando por Hijackers, voc tambm deve
fazer a varredura de Adwares (clicando em Adware Away), Spywares (clicando em Spyware Away) e Trojans e
Worms (clicando em Trojan & Worm Away), clicando o terceiro cone de cada um deles para certificar-se que o seu
computador no est infectado com nenhum malware listado.
importante que voc saiba que o Adware Aware identifica algumas chaves no Registro (Use FormSuggest,
FormSuggest Passwords, FormSuggest PW Ask e AutoSuggest, por exemplo) como Backdoor Berbew, quando na
verdade essas chaves so usadas pelo IE para armazenar logins e senhas (embora tambm sejam utilizadas por
trojans caso eles existam no computador).
Ao seguir todos os passos acima, agora o seu computador deve estar livre da imensa maioria dos malwares portanto agora hora de nos preocuparmos em evitar e impedir que eles voltem. Para impedir a volta de malwares,
voc deve seguir os prximos passos:

Pgina 17 de 32

Utilizar um bloqueador de janelas pop-up

Isso parece ser algo simples - e realmente : quanto menos ofertas de produtos gratuitos e milagrosos voc estiver
exposto, melhor, pois voc evitar em cair na tentao de instal-los e com isso colocar novos malwares no seu
computador.
Embora voc possa utilizar programas especficos para isso, como a barra de ferramentas da MSN ou do Google, o
ideal voc utilizar o Service Pack 2 do Windows XP, que contm um bloqueador de janelas pop-up que muito
mais eficiente do que qualquer barra de ferramentas. Isso acontece pois alguns sites esto modificando o seu
cdigo-fonte para burlar (com relativo sucesso) os bloqueadores de janelas pop-up das barras de ferramentas
disponveis no mercado - mas essas modificaes so incuas quando se utiliza o bloqueador de pop-ups do prprio
Internet Explorer.
Para bloquear as janelas pop-up no Internet Explorer do Service Pack 2 do Windows XP: entre no IE > clique no
menu Ferramentas > Bloqueador de Pop-ups > Configuraes do Bloqueador de Pop-ups. Desmarque as opes
Emitir um som quando uma pop-up for bloqueada e Mostrar Barra de Informaes quando uma pop-up for
bloqueada pois isso far com que voc navegue sem ser incomodado a todo instante com informaes relativas ao
bloqueio de janelas pop-ups .

O Nvel do Filtro deve ficar em Mdio pois ao configur-lo para Alto, isso impedir a abertura de qualquer nova
janela (mesmo quando voc clica em links), obrigando o usurio a manter pressionada a tecla CTRL para acessar
os links clicados.

Bloquear a instalao aleatria de ActiveX

Essa outra medida bastante eficaz de evitar novos malwares: o bloqueio da instalao aleatria de ActiveX no seu
computador, aonde cada site tenta instalar seu prprio ActiveX, fazendo com que o usurio no tenha segurana
alguma ao navegar.
O bloqueio de ActiveX feito de trs maneiras:

Pgina 18 de 32

1. Utilizando-se o Service Pack 2 do Windows XP, que automaticamente bloqueia a instalao de scripts ActiveX e
s instala-os caso o usurio decida fazer isso (sendo que voc pode ver os scripts ActiveX instalados acessando a
opo de Gerenciamento de Complementos descrita no item 9 acima).
2. Configurando-se as opes "Inicializar e executar scripts de controles ActiveX no marcados como seguros" e
"Fazer o download de controles ActiveX no assinados" para Desativada no IE. Para isso, clique no menu
Ferramentas > Opes da Internet > aba Segurana > clique na zona Internet > boto Nvel Personalizado > Plugins e controles ActiveX
3. Utilizando programas de terceiros, como o TeaTimer do Spybot (item 6 acima) e o SpywareBlaster
H outras solues curiosas que impedem a instalao de scripts ActiveX que so reconhecidamente spywares: o
site Spyware-Guide, por exemplo, disponibiliza para download um arquivo .reg que adiciona no Registro do Windows
uma lista contendo diversos scripts ActiveX que esto impedidos de serem instalados para evitar que o computador
seja infectado.

Impedir que programas modifiquem determinadas chaves do Registro

Essa com certeza a medida mais complexa e eficaz contra a instalao de malwares pois permite que voc
bloqueie a modificao de determinadas chaves no Registro do Windows, aonde ficam armazenadas as informaes
necessrias para que os malwares fiquem ativos sempre que o Windows for carregado - algo que na prtica o que
mantm o computador sempre infectado.
Ao seguir todos os passos anteriores, voc praticamente garantiu que o seu computador est limpo e isento de
malwares - portanto uma tima hora para "fecharmos as portas" no Registro, impedindo que novos malwares
infectem o seu computador.
Bloqueando essas chaves do Registro far com que o malware no possa salvar nenhuma informao ali,
impedindo que ele seja executado quando o Windows for carregado, resultando no bloqueio do funcionamento do
malware. A grande vantagem desta dica que este bloqueio impede que qualquer malware (incluindo os que viro
no futuro) seja carregado no Windows, dando uma segurana muito maior ao usurio.
A nica desvantagem dessa dica que no caso em que voc precisar adicionar um novo programa que seja
executado no carregamento do Windows (incluindo alguns drivers de perifricos), voc dever modificar as chaves
ANTES de instalar o programa ou driver para que estes tenham permisso para fazerem isso. Aps a finalizao da
instalao, deve-se modificar novamente as chaves do Registro visando mant-las bloqueadas contra qualquer
modificao.

Para facilitar o trabalho do usurio, estamos desenvolvendo um aplicativo em .NET que far as
modificaes no Registro de maneira automtica e pretendemos disponibiliz-lo para download
no incio de Set/04.
Esta dica exige o uso do Windows NT, Windows 2000, Windows XP Professional ou
Windows 2003 com partio NTFS no drive aonde o Windows est instalado, no estando
disponvel para Windows 9x/Me, Windows XP Home Edition, nem para qualquer verso do
Windows instalado sob partio FAT32. Para voc saber qual a partio do seu drive, v em
Meu Computador > Clique com o boto da direita do mouse sobre a partio aonde o Windows
est instalado (usualmente C:) > Propriedades e veja em Sistema de arquivos qual o tipo de
partio (FAT ou NTFS)

Pgina 19 de 32

Alterando as permisses de algumas chaves do Registro do Windows

Ao infectar um computador e fazer com que este continue infectado aps o usurio desligar o Windows, os
malwares costumam utilizar sempre a mesma tcnica: carregar um arquivo infectado na inicializao do Windows.
Isso feito de uma maneira bastante simples e eficaz pois o Windows no impede que se
adicione qualquer arquivo lista de arquivos carregados na sua inicializao - e
justamente a que iremos intervir: vamos impedir que novos arquivos possam ser
adicionados lista atual.

importante notar que aps alterar a permisso de acesso nas chaves

do Registro, nenhum usurio poder salvar dados ali (nem mesmo o
Administrador) e a mudana da permisso dever ser desfeita caso haja
necessidade de incluir algum novo arquivo.

As principais chaves utilizadas pelos malwares so:

Passo-a-passo
Para alterar a permisso no Windows XP ou Windows 2003, clique no boto Iniciar >
Executar > digite regedit e tecle <enter>. No Windows NT e Windows 2000, voc deve
substituir regedit por regdt32 e a opo de permisses est no menu Segurana.
Ao abrir o programa, voc notar esquerda cinco chaves:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Ao dar um duplo-clique em qualquer uma das chaves, abrir uma rvore com mais chaves e
com isso voc pode "navegar" dentro da rvore, indo para a chave desejada.
Nesta fase ns utilizaremos apenas duas chaves: HKEY_CURRENT_USER, abreviada
para HKCU, e HKEY_LOCAL_MACHINE, abreviada para HKLM.
Uma das chaves que ser modificada a HKCU\Software\Microsoft\Internet
Explorer\Main e portanto vamos us-la como exemplo.
Voc deve dar um duplo-clique em HKEY_CURRENT_USER, depois disso procurar ali dentro a chave Software e
dar um duplo-clique nela. Prossiga desta mesma maneira para Internet Explorer (que est dentro da chave
Microsoft) e, por fim, Main, que est dentro da chave Internet Explorer.
Quando voc clicar em Main, aparecer na janela direita uma srie de variveis com cones vermelho e azuis - e
isso perfeitamente normal.
No caso desta chave (HKCU\Software\Microsoft\Internet Explorer\Main), as variveis direita definem a pgina
inicial, pgina de busca e outras configuraes do IE.

Alterando a permisso
Para alterar a permisso da chave HKCU\Software\Microsoft\Internet Explorer\Main, que algo que desejamos fazer

Pgina 20 de 32

para evitar que as variveis direita sejam modificadas por qualquer malwares, voc deve clicar com o boto da
direita do mouse sobre a palavra Main (na rvore esquerda) e escolher a opo Permisses.

Ao abrir a janela de Permisses, voc ver os nomes dos grupos ou usurios. Como queremos impedir que
*qualquer* usurio altere os dados da chave, vamos criar o grupo Todos, que conter todos os usurios, e definir
que este grupo no poder modificar as variveis, podendo apenas acess-las (l-las): desta maneira ningum
poder alterar as variveis, sendo que a nica maneira de fazer isso ser alterar a permisso desse grupo Todos.
Criando o grupo Todos
Clique no boto Adicionar e no campo que aparecer (abaixo da frase "Digite os nomes de objeto a serem
selecionados"), digite a palavra "Todos" (sem as aspas).
Clique no boto Verificar nomes para confirmar que o grupo Todos est correto (note que agora a palavra Todos
est sublinhada, indicando que o grupo foi reconhecido) e clique em OK.
Clique agora no boto Avanado. Clique na linha que contm a palavra Todos sob o campo Nome e clique no boto
Editar.

Na lista que aparecer, clique no primeiro quadrado superior direito (Controle total / Negar) e todos os demais
quadrados da coluna Negar sero ativados.
Como queremos permitir que as chaves possam ser lidas, desclique o segundo quadrado (Consultar valor) da
coluna Negar e tambm a opo "Enumerar Subchaves" (para permitir que as sub-chaves existentes tambm
possam ser lidas). O resultado final ser o que voc v na imagem direita: todos os quadrados da coluna Negar
devem estar ativados, exceto os dois primeiros. Clique em OK. Agora voc deve clicar na opo "Herdar do pai as
entradas de permisso aplicveis ..." e clicar na opo Copiar quando a janela de confirmao aparecer.
Clique em OK e aparecer uma mensagem informando sobre a configurao de entrada de permisses. Isso ocorre

Pgina 21 de 32

pois quando voc cria uma permisso de negao, esta tem mais importncia sobre entradas de permisso e com
isso algumas funcionalidades podero ser afetadas (e justamente isso que queremos: proibir que as variveis da
chave possam ser alteradas). Clique em Sim para confirmar e, por fim, em OK para fechar a janela.

Ao seguir os passos acima, fizemos o seguinte:

1. Localizamos a chave HKCU\Software\Microsoft\Internet Explorer\Main
2. Criamos um usurio Todos
3. Fizemos com que o usurio Todos no tenha permisso para mudar a chave
Com isso, a chave HKCU\Software\Microsoft\Internet Explorer\Main est impedida de ser modificada. Para confirmar
isso, tente criar uma nova chave dentro dela: na janela da direita, clique em qualquer espao em branco com o
boto da direita do mouse e escolha a opo Novo > Valor da Seqncia.
Aparecer a mensagem abaixo, informando que no foi possvel criar o valor - indicando que ningum poder
modificar qualquer parmetro na chave HKCU\Software\Microsoft\Internet Explorer\Main.

Desfazendo as alteraes:
Caso voc queira modificar algum parmetro na chave HKCU\Software\Microsoft\Internet Explorer\Main, voc deve
simplesmente permitir a gravao de dados ali por Todos. Faa o seguinte:
1. Clique com o boto da direita do mouse em Main > Permisses ...
2. Clique em Todos e no boto Avanado
3. Clique na linha aonde Todos est no campo Nome e clique em Editar
4. Clique no primeiro quadrado abaixo de Permitir (Controle total) e todas as demais opes da coluna Permitir
sero habilitadas.
5. Clique em OK, OK e novamente em OK.

Pgina 22 de 32

Refazendo as alteraes:
Aps voc fazer as modificaes nas variveis, recomendvel que voc recoloque a permisso de negao na
chave para garantir que nenhum programa possa mud-la. Basta voc seguir os passos abaixo:
1. Clique com o boto da direita do mouse em Main > Permisses ...
2. Clique em Todos e no boto Avanado
3. Clique na linha aonde Todos est no campo Nome e clique em Editar
4. Clique no primeiro quadrado abaixo de Negar (Controle total) e todas as demais opes da coluna Negar sero
habilitadas.
5. Clique no segundo quadrado abaixo de Negar (Consultar valor) e na opo "Enumerar subchaves": com isso
todas as opes da coluna Negar estaro habilitadas, exceto as duas primeiras e a "Enumerar subchaves".
5. Clique em OK, OK, Sim (confirmando a mensagem sobre permisso de negao) e novamente em OK.
Quais so as chaves que devem ser modificadas ?
Dependendo do grau de segurana desejado, aplique a modificao das permisses nas chaves abaixo, lembrando
que HKCU indica a chave HKEY_CURRENT_USER e HKLM indica a chave HKEY_LOCAL_MACHINE:

Proteo mnima:
Suficiente para impedir que a maioria dos spywares e trojans se instalem:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Proteo mdia:
Suficiente para impedir que a maioria dos spywares, trojans e hijackers se instalem:
HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Main
HKLM\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Proteo mxima:
Impede que a maioria dos spywares, trojans e hijackers se instalem, bem como malwares mais sofisticados e difceis
de serem removidos. O ideal que voc tambm siga os prximos passos para manter a segurana mxima:
HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Main
HKLM\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Pgina 23 de 32

Voc deve aplicar nas chaves acima o mesmo passo-a-passo que foi aplicado na chave
HKCU\Software\Microsoft\Internet Explorer\Main exemplificado acima.

Impedir que programas modifiquem arquivos no Menu Iniciar

Outra dica muito importante ajuda a evitar que malwares se instalem na pasta Iniciar do Windows, que a pasta que
aparece quando voc clica no boto Iniciar > Programas > Inicializar e que mostra quais programas devem ser
executados assim que o Windows for carregado.
Para impedir isso, seguimos o mesmo raciocnio da dica anterior: alteramos a permisso da pasta para evitar que
qualquer programa seja adicionado ali.

Os requisitos para esta dica so os mesmos da dica anterior: ela exige o uso do Windows NT,
Windows 2000, Windows XP Professional ou Windows 2003 com partio NTFS no drive
aonde o Windows est instalado, no estando disponvel para Windows 9x/Me, Windows XP
Home Edition, nem para qualquer verso do Windows instalado sob partio FAT32. Para
voc saber qual a partio do seu drive, v em Meu Computador > Clique com o boto da
direita do mouse sobre a partio aonde o Windows est instalado (usualmente C:) >
Propriedades e veja em Sistema de arquivos qual o tipo de partio (FAT ou NTFS)

Alterando a Permisso da pasta Iniciar:

Existem duas pastas que mantm a lista de arquivos que so executados na inicializao do Windows: a All Users,
que contm a relao de programas que so executados para todos os usurios, e a pasta com o nome do Usurio
que contm programas adicionais de acordo com cada usurio. As pastas so estas:

Windows em portugus:
- Todos os usurios: \Documents and Settings \All Users \Menu Iniciar \Programas \Inicializar
- Usurio especfico: \Documents and Settings \(usurio) \Menu Iniciar \Programas \Inicializar
Windows em ingls:
- Todos os usurios: \Documents and Settings \All Users \Start Menu \Programs \Startup
- Usurio especfico: \Documents and Settings \(usurio) \Start Menu \Programs \Startup
No Windows NT as pastas ficam dentro de WINNT/Profiles.
importante que voc modifique a Permisso de ambas as pastas, para uma maior segurana. Abaixo, utilizaremos
como exemplo o Windows XP em portugus e a pasta \Documents and Settings \All Users \Menu Iniciar \Programas
\Inicializar.
Navegue at a pasta \Documents and Settings \All Users \Menu Iniciar \Programas \Inicializar, clique com o boto da
direita do mouse em qualquer espao em branco da pasta e clique na opo Propriedades. Clique na aba
Segurana e siga basicamente os mesmos passos da dica anterior: clique no boto Adicionar e no campo que
aparecer (abaixo da frase "Digite os nomes de objeto a serem selecionados"), digite a palavra "Todos" (sem as
aspas). Clique no boto Verificar nomes para confirmar que o grupo Todos est correto (note que agora a palavra
Todos est sublinhada, indicando que o grupo foi reconhecido) e clique em OK. Tendo certeza que o usurio Todos
est selecionado, clique na janela de Permisses o quadrado Gravar/Negar (veja imagem abaixo) para impedir a
gravao de dados na pasta.

Pgina 24 de 32

Mantenha as demais opes como esto.

Clique em OK e Sim (para confirmar a mensagem sobre permisso de negao) e agora a pasta no mais permite
que seja salvo nenhum arquivo ali.
Desfazendo as alteraes:
Caso voc queira modificar algum programa na inicializao do Windows, basta voc permitir a gravao de dados
ali. Faa o seguinte:
1. V at a pasta correta: \Documents and Settings \(usurio) \Start Menu \Programs \Startup (para Windows em
ingls) ou \Documents and Settings \(usurio) \Menu Iniciar \Programas \Inicializar (para Windows em portugus).
2. Clique com o boto da direita do mouse em uma rea em branco > Propriedades
3. Clique na aba Segurana
4. Clique no usurio Todos
5. Desclique a opo Gravar na coluna Negar.
6. Clique em OK.
Refazendo as alteraes:
Aps voc modificar algum programa na inicializao do Windows, recomendvel que voc recoloque a permisso
de negao na pasta para garantir que nenhum programa possa mud-la. Basta voc seguir os passos abaixo:
1. V at a pasta correta: \Documents and Settings \(usurio) \Start Menu \Programs \Startup (para Windows em
ingls) ou \Documents and Settings \(usurio) \Menu Iniciar \Programas \Inicializar (para Windows em portugus).
2. Clique com o boto da direita do mouse em uma rea em branco > Propriedades
3. Clique na aba Segurana
4. Clique no usurio Todos
5. Clique a opo Gravar na coluna Negar.
6. Clique em OK e Sim (para confirmar a mensagem sobre permisso de negao)

Impedir que programas modifiquem o arquivo HOSTS

Ao impedir que o arquivo HOSTS (dica 1) seja modificado, voc ter mais segurana ao atualizar o Windows ou
qualquer aplicativo via web pois voc ter certeza que isso no ser barrado por algum worm.
No Windows XP, o arquivo HOSTS (que no tem extenso) encontra-se em \Windows\System32\Drivers\ETC e no
Windows 9x/Me ele est em \Windows.

Pgina 25 de 32

Os requisitos para esta dica so os mesmos da dica anterior: ela exige o uso do Windows NT,
Windows 2000, Windows XP ou Windows 2003 com partio NTFS no drive aonde o Windows est
instalado, no estando disponvel para Windows 9x/Me nem para qualquer verso do Windows
instalado sob partio FAT32. Para voc saber qual a partio do seu drive, v em Meu
Computador > Clique com o boto da direita do mouse sobre a partio aonde o Windows est
instalado (usualmente C:) > Propriedades e veja em Sistema de arquivos qual o tipo de partio
(FAT ou NTFS)

Navegue at a pasta aonde se encontra o arquivo HOSTS, clique com o boto da direita do mouse nele e escolha a
opo Propriedades. Clique na aba Segurana e siga basicamente os mesmos passos da dica anterior: clique no
boto Adicionar e no campo que aparecer (abaixo da frase "Digite os nomes de objeto a serem selecionados"), digite
a palavra "Todos" (sem as aspas).
Clique no boto Verificar nomes para confirmar que o grupo Todos est correto (note que agora a palavra Todos
est sublinhada, indicando que o grupo foi reconhecido) e clique em OK.
Tendo certeza que o usurio Todos est selecionado, clique na janela de Permisses o quadrado Gravar/Negar
(veja imagem abaixo) para impedir a gravao de dados na pasta.

Mantenha as demais opes como esto.

Clique em OK e Sim (para confirmar a mensagem sobre permisso de negao) e agora o arquivo HOSTS no mais
permite nenhuma alterao.
Desfazendo as alteraes:
Caso voc queira alterar o arquivo HOSTS (algo raro pois normalmente no h motivo para isso), basta voc
permitir a gravao de dados ali. Faa o seguinte:
1. V at a pasta aonde o arquivo HOSTS se encontra
2. Clique com o boto da direita do mouse em uma rea em branco > Propriedades
3. Clique na aba Segurana
4. Clique no usurio Todos
5. Desclique a opo Gravar na coluna Negar.
6. Clique em OK.

Pgina 26 de 32

Refazendo as alteraes:
Aps voc alterar o arquivo HOSTS, recomendvel que voc recoloque a permisso de negao na pasta nele
para garantir que nenhum programa possa alter-lo. Basta voc seguir os passos abaixo:
1. V at a pasta aonde o arquivo HOSTS se encontra
2. Clique com o boto da direita do mouse em uma rea em branco > Propriedades
3. Clique na aba Segurana
4. Clique no usurio Todos
5. Clique a opo Gravar na coluna Negar.
6. Clique em OK e Sim (para confirmar a mensagem sobre permisso de negao)

Como reconhecer um e-mail falso

Uma das principais maneiras de propagao de malwares atravs de mensagens de e-mail com arquivos
infectados - e estas mensagens esto cada dia mais criativas para fazer com que o internauta desavisado execute o
arquivo anexo e seja infectado. As principais caractersticas desse tipo de e-mail so:
1. Mensagens com "cartes virtuais" ou com arquivos .scr, .pif, .ppt, .exe ou .zip
2. Mensagens "urgentes" do SERASA, de algum banco ou de alguma corporao
3. Mensagens da Microsoft informando sobre um importante update (pois a Microsoft JAMAIS envia arquivos
anexados a mensagens) ou de empresas de antivirus (Symantec, McAfee e outras)
4. Mensagens com assunto "Urgente" que tenham arquivos anexados
5. Mensagens prometendo algum tipo de recompensa em dinheiro ou premiao
H uma maneira bastante simples para identificar se o e-mail falso: verificar qual o link real para download do
arquivo sugerido. Veja o exemplo abaixo: voc tem uma mensagem de e-mail informando que o usurio recebeu um
"carto virtual" do site OCarteiro.com - mas ao manter o mouse sobre o link (SEM CLIC-LO), o endereo real
aparece na barra.
Note que o endereo mostrado na barra no tem nada a ver com ocarteiro.com: o endereo ali
www.meumundo.americaonline.com.br /kalangoazsado/Cartao.exe, indicando que o site aonde o arquivo est
hospedado no ocarteiro.com, mas sim americaonline.com.br - algo que no tem nada a ver com o site original,
comprovando que o e-mail falso.

Pgina 27 de 32

Mesmo que voc se arrisque e faa o download do arquivo, um bom antivirus comprovar a farsa do e-mail,
indicando que ele na verdade um arquivo infectado com um malware (um trojan, neste caso):

Evidentemente se o seu antivirus est atualizado (passo 4), ele interceptar arquivos com malwares e evitar que
voc seja infectado - por isso um antivirus deve estar sempre atualizado ou ele no servir para muita coisa.
Veja mais um exemplo abaixo, aonde o arquivo para "ver a dvida do SERASA" obtido em um site que no tem
absolutamente nada a ver com o SERASA: o site www.theblog.com (mais especificamente em
www.debitobradesco.theblog.com.br/debitobradesco.zip), denunciando a falsidade da mensagem:

Para voc saber qual o site original aonde se encontra o arquivo para download, basta unir "www". com o site
original (.com, .com.br ou qualquer que seja a extenso). Exemplos:
www.meumundo.americaonline.com.br/kalangoazsado/Cartao.exe indica que o arquivo est hospedado no site
www.americaonline.com.br.
www.debitobradesco.theblog.com.br/debitobradesco.zip indica que o arquivo est hospedado no site
www.theblog.com.br.
Tenha em mente que bancos e empresas grandes JAMAIS enviam arquivos via Internet e os links que constam nos
seus e-mails so sempre do site da prpria empresa. Alm disso o site real sempre aquele que tem a primeira
extenso. Exemplos fictcios:

Pgina 28 de 32

www.xyz.hehehe.com.br/bradesco/mentira.htm uma pgina do site www.hehehe.com.br

www.premios.badernov.com.br/baboo.exe uma pgina do site www.badernov.com.br
www.bradesco.cjb.com/suaconta uma pgina do site www.bradesco.cjb.com (que obviamente no tem
relao alguma com o site do Bradesco: www.bradesco.com.br)
www.voceganhou.iitau.ru/itau uma pgina do site www.iitau.ru (que obviamente no tem relao alguma com
o site do Ita: www.itau.com.br)
www.files.co.uk/serasa.com.br/processo uma pgina do site www.files.co.uk
Veja alguns exemplos recentes de e-mails falsos:
E-mail falso (scam) usando o nome do Banco do Brasil, aonde o link do "arquivo para atualizao"
http://www.minbo.com/bbs/bb.com.br/gerenciadorfinanceiro/index.html, tentando enganar o internauta que l
"bb.com.br" no meio do link
E-mail falso (scam) usando o nome do site Humortadela, aonde uma "pgina recomendada" na verdade o
arquivo http://updatebr.net/e/GBNTJ.exe
Seguindo essas dicas simples, a chance de voc ser enganado muito remota.

Configuraes recomendadas do Windows

Um Windows bem configurado ajuda muito o usurio a evitar problemas de segurana e tambm de performance.
Para isso, sugiro aplicar as seguintes dicas:
1. Ative as Atualizaes Automticas: v no Painel de Controle >
Atualizaes automticas > clique na opo Automtica
(recomendado) e defina qual o melhor horrio para a instalao
de updates quando isso for necessrio ou clique a segunda opo
("Fazer download de atualizaes para mim, mas permitir que eu
escolha quando instal-las")
2. Se voc quiser mais controle sobre o seu computador enquanto
estiver navegando na web, o IE oferece adicionar a opo de Zona
Meu Computador na aba Segurana, em adio s Zonas j
existentes ali (Internet, Intranet Local, Sites confiveis e Sites
restritos).
Para habilit-la, faa o download deste arquivo .zip, que contm
um arquivo .reg que modifica um parmetro no Registro do
Windows, habilitando a Zona Meu Computador no Internet
Explorer. Para isso, voc deve dar um duplo-clique no arquivo
zona_meu_comp.reg e aceitar a sua incluso no Registro do
Windows.
Embora as configuraes dali no precisam ser modificadas,
importante saber que voc tem acesso a configuraes adicionais
para aumentar a segurana
2. Restringir o tamanho mximo no Temporary Internet Files para 10 Mb, pois desta maneira os arquivos cacheados
de pginas mais antigas sero eliminados, alm de minimizar a fragmentao da partio. Para isso, faa o

Pgina 29 de 32

seguinte: acesse o Internet Explorer > opo Ferramentas > na aba Geral, clique no boto Configuraes que est
dentro da rea Arquivos de Internet temporrios: altere ali o tamanho do espao em disco a ser utilizado para 10 Mb.
3. No Outlook Express, impea a visualizao de imagens nas mensagens de e-mail para dificultar a sua
identificao por spammers: v no Outlook Express > menu Ferramentas > Opes > Segurana > clique a opo
"Bloquear imagens e outros contedos externos em e-mails em HTML"
4. Ainda no Outlook Express, confirme se a opo "Zona de sites restritos" est selecionada na aba Segurana.

Tarefas semanais para manter o seu micro seguro

Agora que o seu computador est praticamente prova de malwares, muito importante que voc mantenha-o
assim para sempre. Para isso, recomendvel que voc realize semanalmente as seguintes tarefas:
1. Acessar o Windows Update para verificar se h alguma atualizao pois embora isso possa ser feito
automaticamente via Atualizaes Automticas, possvel que haja alguma atualizao no-crtica ou driver
disponvel para download
2. Rodar o Spybot ou o Ad-Aware (sempre verifique se h atualizaes para eles antes de realizar a varredura de
arquivos) para garantir que o seu sistema est limpo.
3. Limpar a pasta Temporary Internet Files acessando o IE > menu Ferramentas > na aba Geral, clique no boto
Excluir arquivos ... que est dentro da rea Arquivos de Internet temporrios. Clique na opo para Excluir todo o
contedo off-line e clique em OK.

Aonde se atualizar sobre malwares e vulnerabilidades ?

Existem diversos sites na web (todos em ingls) que mantm voc informado sobre novas vulnerabilidades e
malwares, sendo uma boa leitura caso voc se interesse pelo assunto. Alguns deles:
Sites contendo as mais recentes vulnerabilidades:
- Secunia
- SecurityFocus
- CERT
Sites com os mais recentes malwares:
- Symantec
- Sophos
- Topix
Sites com notcias recentes sobre segurana:
- eWeek
- CNET
- PC Magazine
Dvidas sobre malwares ?
- Frum do BABOO, nosso Frum gratuito aonde voc obtm ajuda aos seus problemas e resposta s suas
dvidas sobre malwares.

Pgina 30 de 32

Concluso:
Como voc pode observar nas dicas deste guia, no difcil manter o Windows praticamente imune a malwares:
apenas um pouco trabalhoso para quem nunca se preocupou com isso.
Excetuando a dica 14 (detalhando a mudana de permisso de algumas chaves do Registro do Windows, que a
soluo mais complexa e eficiente para impedir a instalao de malwares no computador), as demais dicas so
bastante fceis e simples de serem implementadas.
H tempos a Microsoft iniciou uma campanha ressaltando 3 etapas para manter o seu computador seguro:

1. Usar um firewall
2. Manter o Windows atualizado
3. Manter o antivirus atualizado
Embora estas trs dicas sejam suficientes para manter o seu computador seguro, os malwares esto ficando cada
vez mais sofisticados e criativos, exigindo um cuidado maior para evitar que eles infectem o seu computador.
A midia especializada adora mostrar casos escabrosos de prejuzos bilionrios que empresas tm com vrus, worms
e malwares em geral, mas ignora que h milhes de computadores que no sofrem problema algum com isso. E
por este motivo que eu criei este Guia: fazer com que voc faa parte do grupo que no se preocupa mais com
malwares, tendo conhecimento deles apenas ao ler notcias sobre algum malware novo que apareceu na web !
Eu espero que este Guia ajude o internauta brasileiro a se proteger contra qualquer tipo de malwares, aumentando
(e muito !) a segurana do seu computador contra estas pragas. Por isso, este Guia pode (e deve) ser distribudo
livremente para que todos possam aproveitar ao mximo as dicas aqui postadas, fazendo com que o Brasil no seja
um dos campees de computadores infectados, como ocorre hoje.
O Guia Definitivo para Deteco, Eliminao e Proteo contra Malwares ser atualizado sempre que for necessrio
(quando houverem novas verses dos programas citados) e para obter a verso mais recente deste guia, acesse a
pgina http://www.baboo.com.br/malware.
Este guia te ajudou ? Queremos saber ! Envie suas crticas ou elogios para malware@baboo.com.br. Dvidas sobre
o contedo deste guia devem ser postadas no Frum do BABOO pois no respondemos dvidas via e-mail.
Obrigado pelo seu tempo e at a prxima !
Baboo.
www.baboo.com.br
BABOO/MSN
MVP Windows

Pgina 31 de 32

Guia Definitivo para Deteco, Eliminao e Proteo contra Malwares

Abaixo voc tem a lista das atualizaes deste guia, sendo que o nmero entre parnteses indica o nmero da dica
(1 a 20):
Verso 1.2: 31/08/04
- adio da informao sobre as dicas 15 e 16, que no funcionam com o Windows XP Home Edition
- correo da informao sobre o Adware Away, que um programa trial e no gratuito (11)
Verso 1.1: 30/08/04
- adio de quatro linhas de Registro (12)
- adio de uma dica sobre Outlook Express (19)
- adio de dica com imagem sobre a Zona Meu Computador (19)
- informaes adicionais sobre o Spybot (8)
- adio de informao sobre o uso do regedt32 no Windows 2000 (12)
- incluso de mais exemplos de e-mails falsos (17)
- incluso dos arquivos para download (Introduo)
Verso 1.0: 28/08/04
Primeira verso do Guia.
Algumas dicas e correes foram sugeridas pelos participantes E-ponto, glenio, pccariocadc, itapira e Mr.Million do
Frum do BABOO.

Pgina 32 de 32