Tecnologia em palavras simples

Descubra se Alguém Tem Acesso Remoto ao Seu PC com Windows

homem suspeito acessando uma página de login com um laptop na mesa

Um dos tipos mais perigosos de malware é projetado para obter acesso remoto ao PC de uma vítima, como Trojans de Acesso Remoto (RATs) e rootkits de nível de kernel. Eles operam silenciosamente, tornando a detecção difícil. Se você está preocupado se alguém tem acesso remoto não autorizado ao seu PC com Windows, aprenda como confirmar e remover a ameaça.

Sinais de Alerta de Que Alguém Tem Acesso ao Seu PC

Embora a maioria das tentativas de acesso remoto seja silenciosa, elas vêm com alguns sinais de alerta. Embora esses sinais possam ser vistos como problemas comuns do Windows, combinados, podem ser uma prova sólida de atividade de acesso remoto.

  • Atividade incomum do mouse/teclado: se o seu cursor se mover de forma errática ou texto for digitado sem sua entrada, pode ser obra de uma ferramenta remota. Mesmo quando não está controlando ativamente, essas ferramentas podem causar problemas como o cursor pulando/teletransportando. Este sinal também pode funcionar como uma confirmação se o mouse e o teclado começarem a executar tarefas como acessar a barra de endereços do navegador e inserir um endereço de site.
  • Programas abrindo e fechando sozinhos: um hacker também pode enviar comandos para abrir aplicativos específicos (como antivírus ou o Prompt de Comando) para controlar ainda mais o sistema ou desativar funções de segurança. Se você notar programas abrindo e fechando sozinhos, é um sinal de alerta.
  • Criação de novas contas de usuário desconhecidas: alguns atores mal-intencionados podem tentar criar contas secundárias para ter acesso persistente mesmo após a detecção. Eles provavelmente desativarão a troca de usuários para esconder as contas da tela de bloqueio. Vá para Configurações do Windows -> Contas e procure contas secundárias nas seções Família e Outros usuários.

Opções de contas nas Configurações do Windows 11

  • Desempenho repentinamente lento: a atividade de controle remoto também consome muitos recursos, então você pode notar uma queda repentina no desempenho. Isso é especialmente digno de nota se as quedas de desempenho ocorrerem ocasionalmente devido à atividade de controle remoto.
  • Área de trabalho remota do Windows ativada sozinha: a área de trabalho remota do Windows é bastante vulnerável, então os hackers costumam usá-la para criar uma conexão remota. Ela está desativada por padrão, então se for ativada sem sua intervenção, pode ser obra de um hacker. Nas Configurações do Windows, vá para Sistema -> Área de Trabalho Remota e veja se foi ativada.

Área de Trabalho Remota desativada nas Configurações do Windows

Como Confirmar se Seu PC Está Sendo Acessado Remotamente

Se você notar os sinais acima, tome as medidas necessárias para confirmar a suspeita. Você pode rastrear a atividade de componentes/aplicativos envolvidos no processo de acesso remoto para confirmar se alguém está acessando seu PC com Windows. A seguir estão alguns dos métodos mais confiáveis:

Verifique os logs do Visualizador de Eventos do Windows

O Visualizador de Eventos do Windows é uma ótima ferramenta embutida para rastrear a atividade do usuário e ajudar a detectar tentativas de acesso remoto rastreando a atividade RDP e logs de login.

Pesquise por “visualizador de eventos” na Pesquisa do Windows e abra o Visualizador de Eventos.

Vá para Logs do Windows -> Segurança e clique na aba ID do Evento para classificar os eventos por ID. Procure por todos os eventos com ID 4624 e verifique seus detalhes para garantir que não haja eventos com Tipo de Logon 10. O ID do Evento 4624 é para tentativas de logon, e o Tipo de Logon 10 corresponde a logons remotos usando serviços de acesso remoto, que os hackers podem usar.

Visualizador de Eventos do Windows mostrando ID do evento

Você também pode procurar o ID do Evento 4778, pois ele mostra a reconexão de sessão remota. A página de detalhes de cada evento informará detalhes importantes de identificação, como nome da conta ou endereço IP da rede.

Rastreie o tráfego da rede

O acesso remoto depende da conexão de rede, então rastrear o tráfego da rede é uma maneira confiável de detectá-lo. Recomendamos usar a versão gratuita do GlassWire para isso, pois ele ajuda a rastrear e defender automaticamente contra conexões maliciosas.

No aplicativo GlassWire, você verá todas as conexões de aplicativos na seção GlassWire Protect. O aplicativo classificará automaticamente as conexões e sinalizará conexões não confiáveis. Na maioria dos casos, ele deve ser capaz de detectar conexões remotas maliciosas e avisá-lo.

Seção de classificação do Glasswire na interface principal

Além dos algoritmos do aplicativo, você também pode procurar pistas como alto uso de dados de um aplicativo desconhecido. Conexões remotas usam dados continuamente, então deve ser fácil de detectar.

Veja as tarefas agendadas

Muitas tentativas de acesso remoto são gerenciadas usando a ferramenta Agendador de Tarefas no Windows. Isso ajuda a persistir através de reinicializações do PC e executar tarefas sem precisar ser executado continuamente. Se o seu PC estiver infectado, você deve ver tarefas de aplicativos desconhecidos no Agendador de Tarefas.

Pesquise por “agendador de tarefas” na Pesquisa do Windows e abra o aplicativo Agendador de Tarefas. No painel à esquerda, abra Agendador de Tarefas (Local) -> Biblioteca do Agendador de Tarefas. Procure por qualquer pasta desconhecida ou suspeita além da Microsoft. Se você encontrar alguma, clique com o botão direito na tarefa e selecione Propriedades.

Menu de Propriedades da Tarefa no Agendador de Tarefas do Windows

Nas Propriedades, examine as abas Gatilhos e Ações para aprender o que a tarefa faz e quando é executada, o que deve ser suficiente para entender se é maliciosa. Por exemplo, se a tarefa executa um aplicativo ou script desconhecido no logon ou quando o sistema está ocioso, pode ser para fins maliciosos.

Abas Gatilhos e Ações das Propriedades da Tarefa

Se você não encontrar tarefas suspeitas, pode querer dar uma olhada na pasta da Microsoft. Há a possibilidade de que malware sofisticado esteja escondido nas pastas do sistema. Procure por tarefas que pareçam suspeitas, como ter nomes genéricos como “systemMonitor” ou nomes com erros de ortografia. Felizmente, você não precisará pesquisar cada tarefa, pois a maioria terá o autor como Microsoft Corporation, que pode ser ignorado com segurança.

Como Parar o Acesso Remoto e Proteger Seu PC

Uma vez que você confirmou que alguém tem acesso remoto ao seu PC com Windows, seu primeiro passo deve ser desconectar da internet para que eles não possam causar mais danos. Sua prioridade deve ser o controle de danos em vez de se livrar da ameaça. Portanto, use outro dispositivo para redefinir senhas de contas importantes, como e-mail, contas financeiras, contas de mídia social, etc. Além disso, certifique-se de fazer backup de dados importantes.

Siga os métodos abaixo para se livrar do malware de acesso remoto:

Execute uma verificação offline do Microsoft Defender

Se seu sistema de segurança não conseguir detectar ou proteger contra esse ataque de acesso remoto, pode ser um malware avançado, como rootkits ou bootkits. A verificação offline do Microsoft Defender pode ajudar. Ela irá escanear seu PC durante a inicialização em um ambiente seguro e mínimo para encontrar malware quando ele estiver inativo.

Para executar a verificação, pesquise por “segurança do Windows” na Pesquisa do Windows e abra o aplicativo Segurança do Windows.

Vá para Proteção contra vírus e ameaças -> Opções de verificação, selecione Microsoft Defender Antivirus (verificação offline) e clique em Verificar agora.

Executando a verificação offline do Windows Defender

Isso reiniciará seu PC e executará uma verificação completa do sistema. Se alguma ameaça for encontrada, estará na seção Histórico de proteção do aplicativo Segurança do Windows.

Desfaça-se de programas suspeitos

Se a verificação detectar algo ou não, você deve fazer uma auditoria manual dos programas para garantir que não tenha um programa desconhecido atuando como uma porta de entrada. Nas Configurações do Windows, vá para Aplicativos -> Aplicativos instalados e procure por quaisquer aplicativos que não façam parte do Windows e que você não se lembre de ter instalado. Além disso, desfaça-se de aplicativos de acesso remoto que possam estar comprometidos, como TeamViewer, AnyDesk, VNC, Chrome Remote Desktop, etc.

Há a possibilidade de que uma extensão de navegador maliciosa seja a causa. Certifique-se de verificar todas as extensões e desinstalar extensões suspeitas.

Bloqueie portas de acesso remoto de entrada no firewall

Se você não acessa seu PC remotamente ou recebe assistência de ninguém, pode bloquear portas de entrada comuns para conexões remotas no firewall. Isso bloqueia conexões remotas de entrada, mas permite que você controle outros dispositivos, se necessário.

Pesquise por “firewall do Windows defender” na Pesquisa do Windows e abra o aplicativo Firewall do Windows Defender com Segurança Avançada.

Selecione Regras de Entrada -> Nova Regra, depois Porta -> Próximo. Selecione TCP e forneça um dos números de porta listados abaixo.

  • 3389 (Área de Trabalho Remota do Windows)
  • 5900 (Computação em Rede Virtual)
  • 5938 (TeamViewer)
  • 6568 (AnyDesk)
  • 8200 (GoToMyPC)

Criar regra de entrada no Firewall do Windows

Selecione Bloquear a conexão e complete a configuração para criar as regras. Certifique-se de dar um nome claro à regra para que você possa identificá-la mais tarde. Repita esse processo para cada porta que deseja bloquear.

Faça uma instalação limpa do Windows se necessário

Se nada estiver funcionando, ou se você não quiser correr riscos, fazer uma instalação limpa do Windows é outra opção. É extremamente raro que malware sobreviva tanto a uma verificação de antivírus offline quanto a uma instalação limpa do sistema operacional. No entanto, você terá que fazer backup de seus dados importantes, pois uma instalação limpa excluirá todos os dados do seu PC.

Confira nosso guia sobre como realizar uma instalação limpa do Windows para aprender todos os passos para instalar um Windows limpo com segurança.

Nunca corra riscos se você suspeitar sobre o acesso ao PC, seja acesso remoto ou local. Tal controle sempre se transforma em problemas de segurança maiores. Claro, é melhor prevenir que remediar, então certifique-se de usar essas configurações de segurança do Windows e opções avançadas do Windows Defender.

Crédito da imagem: Vecteezy. Todas as capturas de tela por Karrar Haider.

Conteúdo

  1. Sinais de Alerta de Que Alguém Tem Acesso ao Seu PC
  2. Como Confirmar se Seu PC Está Sendo Acessado Remotamente
  3. Verifique os logs do Visualizador de Eventos do Windows
  4. Rastreie o tráfego da rede
  5. Veja as tarefas agendadas
  6. Como Parar o Acesso Remoto e Proteger Seu PC
  7. Execute uma verificação offline do Microsoft Defender
  8. Desfaça-se de programas suspeitos
  9. Bloqueie portas de acesso remoto de entrada no firewall
  10. Faça uma instalação limpa do Windows se necessário
Painel do Ello

Ello: Explorando a Rede Social Privada

Bitdefender Não Instalando: 3 Soluções Fáceis que Você Pode Usar

Mais sobre as Soluções do Bitdefender

Google Descontinuando o Inbox e Dando a Ele Seis Meses de Vida

aspect-ratios-16x9

Entendendo as Proporções de Vídeo

Gerenciador de Arquivos com Etiquetas para Organizar seus Arquivos: Top 5

Corrigir wake on LAN não funcionando

Wake On LAN Não Funcionando no Windows [Resolvido]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS e Consoles no Mac

Google testa novo recurso do Chrome para elegibilidade de atualização para Windows 11