Solução para remoção de qualquer tipo de trojans.
1-Vá até o Menu Iniciar/Executar
2- Digite "regedit" e dê OK.
3- Abrirá um programa parecido com o Windows Explorer
4- Então, tente localizar as seguintes pastas:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Version\Run"
5- Basta ir seguindo o caminho acima até chegar a pasta "Run".
6 - Clique sobre a pasta Run e observe as opções que abrirão na parte lateral direita.
7- Procure ver se no valor {Padrão} está assim {Valor não definido} se não estiver apague o que está escrito lá dentro e deixe vazio.
8- Tente verificar todos os programas que estão nesta pasta. Se você encontrar o caminho para algum arquivo servidor, delete-o.
9- Feito isso você já terá removido o trojan server.
Verificar se vc esta com um back orifice instalado no seu micro.
Vá no prompt do MS-DOS e digite netstat -na, se aparecer a mensagem UDP 0.0.0.0:31337 *.* ai é por que vc tá com o back orifice instalado. Se não aparecer nada além de C:\WINDOWS> sua maquina esta limpa.
Verificar se vc esta com um netbus instalado no seu micro.
Vá no prompt do MS-DOS e digite netstat -an|find"12345" (As aspas também tem que se colocar) se aparecer a mensagem tcp 0.0.0.0 listening isso significa que vc tem um netbus instalado. Mas se não aparecer nada além de C:\WINDOWS> então sua maquina esta limpa.
Verificando se tem um trojan no micro usando o comando telnet.
Basta vc digitar no prompt do Dos o comando telnet 127.0.0.1 12345 para verificar se vc está infectado pelo netbus, vai se abrir uma janela do telnet, caso o seu micro esteja infectado vai aparecer o nome netbus dentro da janela.(Obs: Vc pode usar este comando para verificar se vc tem qualquer tipo de trojan no micro basta vc alterar a porta que vc colocou para verificar.) Exemplo: nós colocamos no final do comando o número 12345 que é correspondente a porta do netbus, basta vc trocar o número da porta do netbus pelo número da porta do trojan que vc quer vericar se está instalado. exemplo 2: execute o comando: telenet 127.0.0.1 31337 para verificar se vc tem um back orifice instalado, caso vc não conheça muitas portas para vc verificar basta vc entrar na sessão "Portas usadas por trojans" e veja o número das portas usadas por trojans.
Localizando o NetBus.
O grande problema ao se tentar remover esse tipo de programa é que ele pode estar instalado em seu computador com qualquer nome. Uma das maneiras que você pode usar para tentar descobrir esse nome é executar o Editor de Registros do Windows (RegEdit.exe, ele geralmente fica no diretório do Windows e você pode executá-lo com um clique duplo).
Na janela do Editor de Registros, expanda a pasta "HKEY_LOCAL_MACHINE", em seguida vá clicando nas pastas "SOFTWARE", "Microsoft", "Current Version" e "Run". Lá você verá o nome do monstrinho! Sabendo do nome, localize-o em seu disco através da facilidade de busca do Windows Explorer (Menu Ferramentas, item Localizar, opção Arquivos ou Pastas).
Removendo o NetBus.
Para remover a versão 1.53 você deve procurar por dois arquivos no seu sistema: SysEdit.exe e KeyHook.dll. Mas atenção! SysEdit.exe é apenas o nome default, isto é, ele pode ter um outro nome; portanto use o Editor de Registros. Uma outra forma de detectá-lo é pelo tamanho - exatos 473,088 bytes.
Ao encontrar o arquivo, não o delete diretamente. Execute-o com o argumento /remove. Exemplificando: se você encontrou o arquivo no diretório C:\Windows com o nome default de SysEdit.exe, abra uma janela de DOS e digite.
C:\Windows\SysEdit.exe /remove
O arquivo KeyHook.dll pode ser apagado normalmente. Feito isso use o telnet novamente para verificar se está tudo ok.
Existem algumas ferramentas que já são capazes de localizar e remover o NetBus 1.60, mas você também pode tentar removê-lo manualmente. O nome mais comum do servidor NB é Patch.exe mas, novamente, ele pode estar em seu sistema sob outro nome.
Um vez que você tenha localizado o servidor NB, execute-o com o argumento /remove, exatamente como no exemplo de cima. Digamos que o diretório seja "C:\Windows\Temp\" e o arquivo se chame "SysLog.exe". Neste caso, você deve digitar:
C:\Windows\Temp\SysLog.exe /remove
Para testar se a remoção aconteceu da fato, tente o mesmo "telnet localhost 12345".
Conclusão
Você talvez esteja se sentindo impotente diante de tudo o que está acontecendo. Afinal, talvez você não seja um especialista em protocolos TCP/IP (a tecnologia que faz a Internet funcionar) e se sinta muito vulnerável. Podemos tentar deixá-lo mais confortável se você se dispuser a ler os artigos que seguirão em nossa seção. No meu próximo artigo estarei falando do modelo cliente-servidor que explica muitas coisas a respeito da Internet. Você está convidado a voltar e conferir!
Verificar se tem algum tipo de trojan ou um arquivo estranho instalado no micro.
Vá no localizar pastas e digite sysedit, depois tecle no aquivo sysedit, vai abrir varias janelas, escolha a janela com o nome de C:\WINDOWS\WIN.INI, depois é só verificar se na linha abaixo load= e na do meio run=,se tiver algum arquivo exe nestas linhas ai é porque vc tá com algum trojan que tá carregando na inicilização da sua maquina.
Verificando se vc foi contaminado pelo vírus bugregcon.vbs
Tente ir em "Menu Iniciar", depois em "Executar", digite "C:\con\con" e clique em OK. Se seu sistema simplesmente travar significa que seu micro tem o vírus bugregcon.vbs. Para remover este VBS basta vc entrar no site da Microsoft Brasil e pegue a correção: http://www.microsoft.com/brasil
Verificando se seu micro está com trojans, vírus ou arquivos estranhos.
Abra o localizar arquivos ou pastas, coloque *.exe *.com *.bat na pasta onde você recebeu o determinado arquivo, caso apareça *.bat ou *.com é virus mais em algums casos o *.exe pode ser um programa, depois use um anti-trojan ou anti-vírus para saber poir qual vírus seu micro foi contaminado.
Verificando seu ip.
Abra o executar do menu iniciar, Coloque winipcfg, irá aparecer seu ip e mais propriedadas de rede...

  • Voltar para a página de manuais
  •  
  • voltar a página principal