Tutorial do Runscanner




Tenho este programa no meu computador, sua análise é bem mais complexa, mais abrangente e com mais opções que o hijackthis. O nome deste programa é Runscanner. Alguns podem conhecê-lo, mas acredito que a maioria não. Abaixo, uma foto do programa:



Seu tamanho está em torno dos 3mb e não é instalado, ou seja, trata-se de um executável em que você coloca numa pasta com seu nome. Uma vantagem é que ele é freeware.

Embora tenha um pequeno tutorial em inglês, resolvi fazer uma tradução e interpretação do mesmo visando facilitar a sua compreensão.

Ao abrir o programa você terá no seu cabeçalho várias opções. Uma delas é para checar por nova versão do produto. Recomendo, de vez em quando checar.



O scan poderá ser feito de duas maneiras: full ou quick. O full scan é o padrão e recomendo sempre fazer, pois sua análise é muito mais abrangente que a opção quick. A vantagem deste tipo de scan é a verificação da assinatura dos arquivos encontrados pela Microsoft, assim como o cálculo do md5sum de cada processo encontrado. O item Confirm Fixes é marcado por padrão e assim deve ser deixado.




Se você não tem prática em análise, é possível escolher a opção Online Malware Analisys. Muito útil e prática.



Clicando na opção abaixo é possível salvar um log da análise feita por este programa, num arquivo com extensão .txt como tem o hijackthis.



Finalizado o scan, se você tiver alguma dúvida sobre um processo correndo, você poderá exportar este arquivo para análise. Veja as fotos abaixo:




Se mesmo assim permanecer a dúvida, não exite. Envie o arquivo para análise no site http://www.virustotal.com

No canto a direita você tem a opção dos filtros., ou seja, o que você quer que o programa mostre após o scan.



Assim temos:

a) All files => esta é a opção default (padrão), onde todos os arquivos serão mostrados. É a recomendada.
b) Non Whitelist = > este filtro fará uma rápida pesquisa por malwares.
c) Unsigned files => selecionando isto, o scan mostrará os arquivos desconhecidos.
d) Files not found => arquivos perdidos.
e) Non Microsoft => nesta opção o scanner mostrará os arquivos não assinados pela Microsoft. Cuidado ao escolher esta opção, pois nem tudo que é achado aqui seja um malware!!!!

Se você desejar que o scan mostre tudo que tenha a palavra winlogon, por exemplo, você deverá escrever na caixa abaixo dos filtros padrões. Veja as figuras abaixo.






Clicando com o botão direito do mouse sobre um determinado arquivo selecionado localizado no registro, como o da foto acima, teremos várias opções.



Open registry => abre o Registro do Windows no exato local onde se encontra o arquivo
Delete selected registry key => irá deletar a entrada selecionado no Registro
Lookup at Runscanner.net ou Lookup at Google.com => será feita uma pesquisa nestes sites para a entrada que você selecionou.

Quando você solicitar um scan online você terá uma resposta assim:



No alto a esquerda há uma legenda para interpretação dos resultados.

a) Verde claro => seguro
b) Verde escuro => arquivo reconhecido pela Microsoft
c) Amarelo => arquivo desconhecido (deixei laranja para melhor leitura)
d) Vermelho => arquivo malicioso contendo spyware
e) Azul => a legenda informa ser inconclusivo, mas na minha interpretação significa dizer ser um arquivo em debate, ou seja, controvertido.

Suponha que na foto acima tenha um arquivo vermelho. Clicando com o botão direito do mouse sobre ele você terá várias opções.



Assim, desejando deletar um determinado processo na pasta C:\WINDOWS\System32 ou na pasta C:\WINDOWS, recomendo matar o processo antes, Kill selected processes e depois selecionar a opção Delete at next reboot, ou seja, deletar na próxima inicialização.

Você poderá fazer um backup do que está fazendo, caso tenha alguma dúvida ou incerteza. e poderá também editar o arquivo hosts. Veja abaixo.






Observe na primeira foto deste tutorial que do lado esquerdo dos processos ativos existem uns ícones como os mostrados abaixo:



O ícone indica ser um arquivo autêntico do Windows.
O ícone indica ser um arquivo não autêntico (não reconhecido pela Microsoft), mas não significa ser um arquivo malicioso. O exemplo acima aponta para o pcAnywhere, um programa não malicioso, porém não reconhecido pela Microsoft.

Finalmente, os ícones de Serviços e Drivers:

= > indica inicialização automática durante o boot
= > tem inicialização manual
= > está desativado
= > faz parte do kernel durante a inicialização
= > driver carregado no kernel durante a inicialização

Para os interessados no download do programa deixo o link http://www.runscanner.net/runscanner.zip

Extraia e crie uma pasta para ele.

Fonte: Fórum Guia do Hardware

Related Posts Plugin for WordPress, Blogger...
Feed Orkut Fórum Facebook Twitter
 

Copyright © Caixa de dicas | Política de Privacidade | Todos os direitos reservados |