HijackThis Completo

Por Altieres Rohr em 04/06/2005

A tela de Abertura
Ao abrir o HijackThis você será apresentado com a tela de “QuickStart”.

Nota: Se a tela acima não for apresentada, você marcou a última caixa para que ela não
seja mais mostrada ou você está usando uma versão antiga do HijackThis

Clique em ‘None of the above, just start the program’. Você verá a tela principal do
HijackThis.

Considerações Iniciais
O HijackThis é um programa que nos fornece informações do sistema. Através dessas
informações é possível verificar se há algum software maliciosos presente. Entretanto, o
HijackThis não lhe diz exatamente quais os problemas que estão ali, tão pouco lhe dá
instruções específicas para a remoção do mesmo. Com o uso do HijackThis pode ser
possível, pelo menos, obter mais informações sobre o problema que você tem,
facilitando a busca por informações para a sua resolução.

Aqui você encontrará informações sobre os dados que o HijackThis coleta e o que eles
significam. O que você precisa aprender é relacionar estes dados com as informações
técnicas de trojans e worms, para saber onde está o verdadeiro problema.

Usar o HijackThis não é simplesmente marcar todas as entradas ruins que estão
presentes. O HijackThis é somente a porta de entrada para uma análise completa do
estado de segurança de um sistema Windows.

Importante

IE será usado diversas vezes nesse documento para denominar o Internet Explorer.
Introdução
Afinal, o que é o HijackThis?

O autor do programa se chama Merijn (Merlin em alemão) e define o HijackThis como

“O Único Detector e Removedor Genérico de Hijackers”. Na prática, ele não detecta
somente hijackers, mas também diversos trojans, spywares, adwares, worms e até
mesmo, indiretamente, a presença de rootkits.

Neste documento você aprenderá todas as funcionalidades do HijackThis. Esse

documento completo cobrirá também diversos aspectos do sistema, os quais são
importantes para um entendimento das funcionalidades do programa.

O HijackThis não é um removedor de spywares como os demais. Ele simplesmente lista

para você diversas áreas do sistema onde as pragas se instalam e lhe dá a opção de
consertar o problema (marcando a entrada). Como as diversas áreas utilizadas por
pragas digitais são também usadas por programas legítimos, resta ao usuário saber o que
deve ser marcado e o que deve permanecer.

O HijackThis é completamente inútil contra vírus, embora ele seja capaz de detectar
alguns que criam chaves no registro para serem executados. Nesse caso será necessário
um antivírus ou uma ferramenta de remoção para limpar os arquivos infectados.

Danos causados pelo HijackThis

Se você marcar alguma entrada no HijackThis que é legítima, seja por engano ou
desconhecimento, o que pode acontecer?

Desabilitar programas

Marcando certas entradas incorretas você pode desabilitar programas como

antivírus, drivers, firewalls e diversos outros utilitários. Reinstalar os programas
sempre resolve o problema.

Retirar funcionalidades

É possível, por exemplo, desabilitar barras de ferramentas ou programas de

proteção do Internet Explorer, assim como retirar vários botões, menus e plugins
do navegador.

Desconfigurar a rede

O HijackThis também pode zerar a configuração de rede, como servidores DNS

e o domínio ao qual o computador pertence. Os proxies utilizados pelo Internet
Explorer também são mostrados e, ao marcar a entrada, são zerados. Isso pode
ocasionar perda de conectividade com a web e outros serviço. Nesse caso é
necessário reconfigurar a rede.

Também é possível corromper as entradas da escada LSP do Winsock. Nesse

caso é necessário desinstalar o TCP/IP em todos os adaptadores de rede e
 reinstalar para que a escada seja reconstruída. Se você reinstalar o Windows
(usando a opção “Reparar”), o problema não será resolvido. Existem outras
maneiras de recuperar a escada — veja o documento sobre LSP.

A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta
própria como ‘C:\HijackThis’. Desse modo ele criará backups de cada entrada marcada,
sendo apenas necessário recuperar o backup.

A tela principal do HijackThis

Se você clicar em ‘Scan’, você verá as entradas detectadas pelo HijackThis. O “Scan” é
basicamente um processo onde o HijackThis busca no registro várias informações sobre
o sistema, como os ActiveX, BHOs e outros. Se no menu principal você tivesse
selecionado a opção “Do a system scan only” você teria o mesmo resultado de ter feito
isso do modo manual clicando em “Scan”.

Ao selecionar uma entrada, você pode clicar no botão “Info on selected item” para que o
HijackThis lhe dê mais informações sobre a entrada selecionada. Você também pode
marcar certas entradas e então clicar no botão “Add checked to ignorelist” para que o
HijackThis ignore estas entradas no futuro e não mostre-as no log.

Note que o botão “Scan” se tornou o botão “Save Log”. Ao clicar no botão “Save Log”,
o HijackThis vai salvar um arquivo de log com as informações apresentadas mais a
informação dos processos que estão rodando. O HijackThis vai lhe pedir o nome e o
local do arquivo para salvar. É o mesmo que selecionar o botão “Do a system scan and
save a logfile” no menu principal, porém se você selecionar o botão no menu principal o
HijackThis automaticamente salva o log em um arquivo chamado “hijckthis.log” e aqui
ele lhe dá a opção para escolher o local onde você quer salvar o arquivo do log.

Quando você marcar determinadas entradas e clicar em Fix Checked o HijackThis vai
tomar diferentes providências, dependendo da entrada. Se você clicar em “Info on
selected item” o HijackThis lhe diz o que ele vai fazer — nós veremos cada tipo de
entrada em detalhe mais tarde.

O botão “Info” apresenta informações genéricas do HijackThis, incluindo uma breve

explicação de cada entrada e um changelog (arquivo que detalha as mudanças que um
programa recebe em cada versão).

O botão Config
Ao clicar no botão “Config”, você é apresentado com as configurações do HijackThis
em quatro abas: Main, Ignorelist, Backups, Misc Tools.
Main

Na aba Main podemos encontrar várias configurações do HijackThis.

 Mark everything found for fixing after scan — Caso marcada, ela faz com
que todos os itens encontrados no HijackThis sejam marcados. Use esta opção
caso um log esteja muito infectado e seja mais fácil desmarcar algumas entradas
do que marcar todas as opções infectadas.
 Make backups before fixing items — faz backups antes de consertar alguma
entrada. Muito útil, recomenda-se deixar marcado.
 Confirm fixing & ignoring of items (safe mode) — se desmarcada, essa opção
retira as telas de confirmação quando você for ignorar ou consertar qualquer
entrada.
 Ignore non-standard but safe domains in IE — uma pequnea ‘lista branca’
que filtra entradas R1/R0. Se desmarcada, todos os itens R1/R0 serão exibidos,
mesmo que contenham domínios populares e marcados como seguros. Essa
opção, quando marcada, ajuda o log a ficar menor e mais limpo.
 Include list of running processes in logfiles — se desmarcada, o HijackThis
não incluirá a lista de processos rodando no log. A lista de processos pode ser
vista através do Gerenciador de Tarefas no Windows NT/2000/XP ou através de
ferramentas adicionais no Windows 9x/ME. É recomendado deixar essa opção
marcada, já que informação nunca é demais.
 Show Intro frame at startup — se desmarcada, essa opção retira a tela de
inicialização, ou seja, desmarcar essa opção tem o mesmo efeito que marcar o
“Don’t show this frame again when I start HijackThis” na tela de boas-vindas.
Essa opção depende apenas de sua preferência.
 Run HijackThis scan at startup and… — ao marcar essa opção, o HijackThis
se inclui nas entradas de inicialização automática do Windows. Assim ele pode
scanear o sistema logo ao iniciar, pegando entradas que se escondem
automaticamente depois de um curto período de tempo e assim não podem ser
percebidas um log for feito depois que o sistema estiver completamente
inicializado. Essa opção geralmente não é muito útil, mas vale a pena mencioná-
la mesmo assim.

As opções a seguir são os padrões que o HijackThis utiliza quando você conserta certos
itens.
  Default Start Page — a página inicial padrão que o HijackThis colocará no
Internet Explorer após zerar as entradas da página inicial. Preferência do
usuário.
 Default Search Page — a página de busca padrão usada pelo Internet Explorer.
Como essa entrada é normalmente modificada por hijackers, o HijackThis
precisa de um valor para consertá-la. Você pode configurar o valor usado através
dessa opção.
 Default Search Assistant — ‘Assistente de Busca’ do Internet Explorer.
 Default Search Customize — ‘Personalização de Busca’ do Internet Explorer.

Aba Ignorelist

Na aba ‘Ignorelist’ você pode encontrar os itens ignorados através do botão “Add
checked to ignorelist”. É recomendado que você limpe essa lista usando o botão “Delete
all” após instalar uma nova versão do HijackThis.

As entradas removidas aqui não serão excluídas, mas sim retiradas da lista de ítens
ignorados do HijackThis para que estes voltem a aparecer no log normalmente.

Aba Backups

Caso a opção “Make backups before fixing items” esteja marcada na aba “Main” (e ele
está marcada por padrão), o HijackThis cria backups de todos os ítens marcados. Nesta
tela você pode apagar backups individuais usando o botão “Delete”, apagar todos os
ítens com o botão “Delete all” ou, caso queira alguma entrada de volta no seu lugar,
usar o botão “Restore”. Use esta tela sempre que algum programa ou recurso do sistema
parar de funcionar após usar o HijackThis para consertar entradas.

Misc Tools
Uma das melhores coisas sobre o HijackThis é que ele possui um kit completo para a
manutenção de vários problemas no computador. Além de poder limpar diversas áreas
problemáticas do registro, ele possui diversas ferramentas adicionais que dispensam a
necessidade de instalar ou baixar ferramentas adicionais.

 Generate Startuplist Log

 Open Process Manager
 Open hosts file manager
 Delete a file on reboot
 Delete an NT service
 Open ADS Spy
 Open Uninstall Manager
 Advanced Settings
 Check for Update online
 Uninstall HijackThis & Exit

Generate Startuplist Log

O primeiro botão que vemos nessa tela é o ‘Generate startuplist log’. Este botão gera
um log do programa StartupList, também desenvolvido pelo mesmo Merijn que criou o
HijackThis. O Startup List mostra todos os ítens possíveis de inicialização de programas
no Windows, incluindo diversas áreas que não são exibidas pelo HijackThis. Por outro
lado, o Startup List não nos dá a opção para corrigir qualquer coisa encontrada. As duas
caixas presentes ao lado do botão fazem com que o log do Startup List seja mais
completo — é recomendado marcá-las sempre antes de fazer um log do Startup List.

Note que o Startup List é uma ferramenta muito avançada. Por ser um programa
adicional, a intepretação de logs startuplist não será incluída neste documento.

Open Process Manager

Depois vemos o botão “Open Process Manager”. Ao clicar, o “Itty Bitty Process
Manager” será aberto.

Este programa é muito útil principalmente no Windows 9x/ME, pois estas versões do
Windows incluem um Gerenciador Tarefas muito simples que não inclui os programas
registrados como processos.

Embora exiba menos informações que o gerenciador de processo padrão do Windows,

ele permite que mais de um processo seja selecionado (usando as teclas CTRL e
SHIFT) para a finalização e inclui a opção “Show DLLs”, que cria um novo painel onde
é exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados
são chamados de módulos e alguns trojans se injetam como módulos em processos de
sistema para serem executados sem um processo visível na lista normal. Isso é muito
raro, portanto a maioria dos DLLs listados são seguros.

O botão “Kill Process” finaliza o(s) processo(s) selecionado(s). O botão “Refresh”

atualiza a lista de processos e o botão “Run” inicia um programa ou processo da mesma
maneira que o botão “Nova Tarefa” do Gerenciador de Tarefas.

Ele também possui dois ícones ao lado da opção “Show DLLs” O primeiro (da esquerda
para a direita) é o “Copy list do clipboard” que copia a lista de processos para que você
possa “Colar” ela em qualquer lugar. O ícone do disquete salva a lista para um arquivo
texto.
Open hosts file manager

Este é um pequeno programa para editar o arquivo HOSTS. Depois de selecioná-lo,

utilize o botão “Open in Notepad” para abrir o arquivo no Bloco de Notas onde é muito
mais fácil gerenciar o arquivo HOSTS. Como referencia, o botão “Delete line(s)” apaga
a(s) linha(s) selecionada(s) e o botão Toggle Line(s) tira ou coloca um ‘#’ no início da
linha. Leia o documento sobre o HOSTS para entender mais sobre isso.

Delete a file on reboot…

Provavelmente uma das ferramentas mais simples e úteis.

O Windows possui um recurso chamado PendingFileRenameOperations que pode

executar operações com os arquivos (tais como apagar, renomear e mover) antes que o
sistema seja completamente iniciado. Isso pode ser usado para apagar arquivos que
estão na memória antes que eles sejam inicializados, assim removendo-os com sucesso.

Após selecionar o botão, tudo que você precisa é selecionar o arquivo a ser apagado (ou
copiar & colar o caminho completo do arquivo) e clicar em ‘Abrir’. Após isso, o
HijackThis vai perguntar se você quer reiniciar o Windows. Na maioria das situações,
você vai querer responder ‘Não’ para reiniciar manualmente mais tarde.

O Pocket KillBox possui mais opções baseadas nesse recurso do Windows, incluindo
opções de troca de arquivos, que possuem mais chance de funcionar do que operações
que só excluem os arquivos.

Delete an NT service

Váriso trojans recentes se instalam através de serviços do Windows NT. Mesmo que um
antivírus ou antispyware remova o arquivo iniciado pelo serviço, este ainda será listado
nas ferramentas administrativas junto com os demais serviços.

Usando essa opção, o HijackThis pode apagar um serviço para você. Você pode usar o
nome completo de exibição do serviço ou o nome verdadeiro do serviço. Note que os
‘Serviços’ só estão disponíveis no Windows NT/2000/XP.

Para obter a lista de serviços no seu sistema, clique em Iniciar»Executar, digite

services.msc e clique em OK. Clique com o botão direito no serviço que você quer
apagar e clique em “Propriedades”. Você pode usar tanto o “Nome para exibição”
quanto o “Nome do serviço” no HijackThis para removê-lo da lista.

Tome extremo cuidado ao utilizar essa ferramenta! Não é possível recuperar os serviços
depois que eles foram removidos!

Open ADS Spy…

Essa é uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data

Streams (ADS). Ela está disponível separadamente no site de Merijn.
Se opção do Quick scan for marcada, somente a pasta do Windows será examinada. A
opção ‘Ignore safe system info streams’ ignora entradas ADS geralmente seguras, como
a informação colocada na aba “Resumo” dos arquivos. Já a opção para calcular MD5
deve ser apenas utilizada se você quiser desenvolver ferramentas para a remoção de um
certo tipo de malware.

Nem todos os ADS encontrados são maliciosos. Mesmo se a opção ‘Ignore safe system
info streams’ estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como
streams utilizadas por antivírus. Faça sempre uma pesquisa antes de apagar qualquer
stream. Veja nosso documento sobre streams para saber mais.

Open Uninstall Manager

Muitos programas, após desinstalados, deixam entradas na lista do Adicionar/Remover

Programas. Se isso não fosse o suficiente, vários trojans (principalmente hijackers)
começaram a incluir entradas no Adicionar/Remover Programas para, supostamente,
desinstalá-los do sistema.

A realidade é que geralmente estas entradas não funcionam e, após o usuário

manualmente remover o problema, ficam aquelas entradas na lista. Com esta opção
você pode retirar os programas daquela lista.

Para apagar uma entrada é necessário selecionar a opção “Delete this entry” e então
confirmar a ação clicando em Sim. A opção para ‘Editar comando’ edita o caminho
para o programa executado pelo Windows para desinstalar o software selecionado — é
recomendado que você não troque os comandos sem ter certeza absoluta do que está
fazendo.

Advanced Settings

Depois da lista de ferramentas, o HijackThis lista duas opções avançadas:

 Calculate MD5 of files if possible

 Include environment variables in logfile

A primeira opção coloca o MD5 dos arquivos no arquivo de log. Isso é apenas útil se
você sabe o hash MD5 do arquivo ou está desenvolvendo uma ferramenta para a
remoção dos arquivos.

A segunda opção inclui variáveis de ambiente, como a localização da pasta Windows e

a localização do arquivo HOSTs — nada muito útil.

Check for Update online

Usando essa opção, o HijackThis pode verificar a existência de uma nova versão do
HijackThis nos servidores da SpywareInfo. Se você utiliza um proxy para a conexão,
você pode definí-lo na caixa de texto logo abaixo do botão.

Uninstall HijackThis & Exit

Para salvar todas as configurações definidas, o HijackThis cria diversas chaves no

registro. Com este botão, o HijackThis apaga essas chaves. Note que o arquivo do
HijackThis não é removido e nem os backups são removidos depois de selecionar este
botão. A Ignore List, por outro lado, é removida.

Nesta Página
 O log do HijackThis
 CLSIDs
 O Início do log
 As entradas no log do HijackThis

O log do HijackThis
Eu sei que você estava esperando por essa parte do documento, porém é necessário
conhecer todos os aspectos do HijackThis para ter idéia do que você realmente possui
em mãos. Se você pulou o documento até aqui, recomendo ler tudo desde o início.

CLSIDs

Antes de iniciar é importante que você saiba o que é um CLSID. Diversas entradas do
HijackThis apresentam um CLSID.
Um CLSID é um programa registrado no Windows. Ele possui um identificador único
(GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de
GUID:
{8E718888-423F-11D2-876E-00A0C9082467}

Note que pode ser qualquer letra entre A-F e qualquer número, mas eles estão sempre
nesse formato. O Windows usa isso como “referência” no registro. Por exemplo, a
chave A referencia que será executado o GUID X. Então é necessário que você vá até as
chaves dos CLSIDs — HKCR\CLSID — para procurar a seqüencia lá e veja qual o
arquivo que será executado. O HijackThis faz isso automaticamente para você.

Como os GUIDs são únicos e os arquivos ao qual eles apontam muitas vezes é
aleatório, você pode procurar informações da praga através do GUID. Desse modo você
conseguirá saber sobre a entrada mesmo que o arquivo não tenha sido encontrado pelo
HijackThis ou se o arquivo mudou devido a uma nova versão do programa que usa
aquele GUID.

Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o
arquivo real que será executado. Como muitas vezes o mesmo programa pode usar
arquivos diferentes em versões distintas mas usa o mesmo GUID, fica mais fácil obter
informações usando o GUID. As entradas que tiverem seqüencias como a exibida acima
usam esse sistema de CLSIDs (Class IDs) do Windows.

O Início do log

O log do HijackThis possui diversos elementos. O primeiro deles é o cabeçalho, onde é

incluída a versão do HijackThis, a data, a versão do sistema, a versão do Internet
Explorer e as variáveis de ambiente, se a opção foi marcada na aba “Misc Tools”.

Logfile of HijackThis v1.99.1

Scan saved at 21:47:33, on 13/3/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Na primeira linha, está a versão do HijackThis. É muito importante que você esteja
usando a última versão para evitar erros e poder ver todas as entradas descritas nesse
documento.

A data apresentada no HijackThis respeita as configurações inseridas nas “Opções

Regionais” do Painel de Controle, portanto em um sistema em inglês é bem provável
que o mês/dia estejam invertidos.

Caso a opção de mostrar as variáveis de ambiente esteja selecionada, o cabeçalho

incluirá as seguintes informações:

Windows folder: C:\WINNT [pasta do Windows]

System folder: C:\WINNT\SYSTEM32 [pasta do sistema]
Hosts file: C:\WINNT\System32\drivers\etc\hosts [localização do hosts]
Depois disso, o HijackThis apresentará uma lista dos processos rodando. Essa lista só
será incluída se a opção ‘Include list of running process in logfiles’ estiver marcada na
aba Main, e esta opção está marcada por padrão.

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe

Você pode usar o gerenciador de procesos dentro do HijackThis ou o Gerenciador de

Tarefas do Windows 2000/XP para encerrar processos ruins. No Windows 9x/Me você
deve usar o do HijackThis, já que o CTRL+ALT+DEL não apresenta todos os
processos.

Para determinar se um processo é bom ou ruim, você deve usar o bom senso para
determinar o que é suspeito e o que não é. Isso parece ser difícil e é por este motivo que
recomendamos cautela com o HijackThis. Existem várias bibliotecas online com listas
do que é bom e o que é ruim. Nós também temos uma lista de processos, mas
geralmente você não deve se basear somente em listas porque muitas vezes você
encontrará um processo que não está em lista alguma. Além disso, os adwares recentes
infectam processos legítimos.

Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de
scanner é extremamente útil para determinar quais processos são bons ou ruins, além de
várias outras entradas no log, que veremos mais à frente.

Note que a lista de processos não é apresentada na tela principal do HijackThis, apenas
no log. Ao invés de finalizar os processos é geralmente recomendado que você utilize o
Modo de Segurança, onde a maioria dos processos ruins não são executados.

Porque é importante que os processos não estejam rodando?

Se você tentar remover um trojan enquanto ele estiver rodando como processo (na
memória), você pode bater em duas paredes:

1. Não será possível apagar o arquivo (ele está sendo usado pelo Windows)
2. Ao apagar a chave dele no registro, ela será recriada instantaneamente

Nossa sugestão é sempre usar o Modo de Segurança e, caso os processos ainda estejam
rodando no Modo de Segurança, finalize-os lá e então execute a correção ainda no
Modo de Segurança.

Após o fim da lista de processos, começamos com as entradas do HijackThis.

As entradas no log do HijackThis

O log do HijackThis é dividos em vários grupos identificados unicamente pelos
primeiros caracteres da linha, por exemplo:

O2 - …
O identificador é sempre seguido de um espaço e um traço. Por este motivo, é correto
dizer que o identificador são todos os caracteres antes do primeiro traço.

Nas páginas a seguir você verá os identificadores e saberá o que cada um significa.
Antes disso, porém, é recomendado você saiba como interpretar caminhos do registro.

Nesta Página
 R0, R1, R3 — Configurações do IE
 F0, F1, F2, F3 — Inicialização Rara
 N1, N2, N3, N4 — Configurações do Netscape

R0, R1, R3 — Configurações do IE

Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas

listam a página inicial, a página padrão de busca e outros.

 HKLM\Software\Microsoft\Internet Explorer\Main
 HKCU\Software\Microsoft\Internet Explorer\SearchURL:
(Default)
 HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings: ProxyOverride
 HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
No Registro
 HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
 HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
 HKLM\Software\Microsoft\Internet Explorer\Search
 HKLM\Software\Microsoft\Internet Explorer\Search

Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará

seus valores também.
No Disco -
Quando houver (obfuscated) ao lado de uma entrada, isso significa que a
Observações mesma está em valor hexadecial e que o HijackThis converteu ela para o
valor legível.

Detalhes

Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é
bom ou ruim. Se for ruim ou indesejado, você marca.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.google.com/

Nesse caso, o Google é seguro, portanto não há problema. Também há as R3,

SearchHook:
R3 - Default URLSearchHook is missing
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-
C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL

Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo
é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Se ao lado do nome
do arquivo estiver um (file missing) significa que o HijackThis não encontrou o arquivo
no disco.

Observações

Existe uma entrada que você deve ter cuidado. A que trata de proxies:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = https://

O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns
utilizam proxies locais. Se o proxy estiver com um endereço do tipo 192.168.0.1 ou
outro endereço interno da rede, é provável que a entrada seja legítima. Se a entrada for
legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser
recuperada através do backup do HijackThis).

O ProxyOverride significa que ele não será usado em URLs que começam com https
(SSL).

Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não
são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.

Como saber

Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada tiver um
res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que
demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com
todos os recursos de scripting desabilitados) os sites em questão para ver se são
maliciosos ou não.

Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome
do arquivo. Geralmente você saberá do que se trata.

Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao

administrador se havia um proxy configurado no sistema.

F0, F1, F2, F3 — Inicialização Rara

Essas entradas mostram os arquivos que serão iniciados com o Windows através dos
arquivos INI do sistema.

No Registro  HKLM\Software\Microsoft\Windows
 NT\CurrentVersion\Winlogon\Userinit
 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping

 c:\windows\system.ini
No Disco  c:\windows\win.ini

É raramente utilizada hoje em dia, mas alguns drivers ainda utilizam

Observações
entradas desse tipo.

Detalhes

A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que
interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele
constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você
utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha
qualquer visual. Um exemplo de shell alternativo é o Litestep.

É possível que dois programas sejam utilizados como Shell. Provavelmente quando o
explorer.exe é listado junto com este outro ’shell’, este outro shell na verdade é um
trojan.

F0 - system.ini: Shell=Explorer.exe programa-ruim.exe

F2 - REG:system.ini: Shell=explorer.exe programa-ruim.exe

programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também,

tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais
mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que
o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A
diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma
vírgula.

F2 - REG:system.ini: UserInit=userinit.exe, programa-ruim.exe

E aí temos o Load e o Run do Win.ini:

F1 - win.ini: run=arquivo.exe
F3 - REG:win.ini: run=arquivo.exe

Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são
legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa
entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é
geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.

Observações

1. É necessário um cuidado extremo para lidar com essas entradas, pois geralmente
seu uso legítimo é feito por drivers e outros programas críticos ao bom
funcionamento do sistema
Como saber

Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do
arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos,
envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou
não, ou apenas use seu antivírus favorito.

N1, N2, N3, N4 — Configurações do Netscape

Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do
Netscape.

No Registro -
No Disco prefs.js
Cada entrada se refere a uma vesão diferente do navegador, mas
Observações
apresentam os mesmos dados.

Detalhes

A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as

N3 do Netscape 7 e finalmente as N4 do Mozilla.

N1 - Netscape 4: user_pref(”browser.startup.homepage”, “www.google.com”);

(C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com”);

(C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Observações

Como saber

Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.

Nesta Página
 O1 — Hosts
 O2, O3 — Programas do IE
 O4 — Inicialização do Sistema
 O5, O6, O7 — Restrições

O1 — Hosts

Essa entrada lista todos os redirecionamentos do arquivo HOSTS.

No Registro  [HKLM\System\CurrentControlSet\Services\Tcpip\Parameters]
 DatabasePath

 %WINDIR%\hosts [Windows 9x/ME]

 %WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP]
No Disco
Onde %windir% é a pasta do Windows. Essa é a localização padrão do
HOSTS. A chave do registro (acima) pode ser modificada para que ele
esteja em qualquer lugar.
Observações Alguns admnistradores usam arquivos HOSTS em redes internas.

Detalhes

Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo
hosts para saber como ele funciona.

O1 - Hosts: 0.0.0.0 www.google.com

Observações

1. Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de

um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs
reservados para redes internas.
2. Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1
vai mostrar onde o arquivo Hosts está localizado.

O1 - Hosts file is located at C:\Windows\Help\hosts

Como saber

Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar

diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja
infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e
apagar as entradas ou utilizar o Hoster.

02, O3 — Programas do IE

As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer,

enquanto as O3 listam barras de ferramentas adicionais.

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\
No Registro Browser Helper Objects
 HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

No Disco -
Observaçõe
Essas entradas funcionam através de CLSIDs
s

Detalhes
Os BHOs são usados principalmente por hijackers para trocar a página inicial e
monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição
visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca
diferente do qual ele está acostumado a usar.

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -

C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -

C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

Observações

1. Se em vez do nome você ver um (no name), a entrada não possui um nome
2. Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo
associado
3. Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não
encontrou o arquivo no disco
4. Ao consertar uma entrada o O2, a chave no registro é apagada e o arquivo é
removido. Essa é a única entrada do HijackThis em que o programa se encarrega
de apagar o arquivo mencionado na chave

Importante: As primeiras três observações acima valem para diversas outras entradas!
Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.

Como saber

Existem diversas listas especializadas em BHOs e Toolbars na Internet. Nós temos a

biblioteca de CLSIDs para listar BHOs e outras entradas que utilizam CLSIDs. Uma
boa referência é a lista da CastleCops, mas existem diversas outras: basta procurar na
Internet pela seqüencia entre as chaves ou pelo nome do arquivo.

O4 — Inicialização do Sistema

A entrada O4 é uma das entradas mais importantes exibidas do HijackThis. Ela lista
diversas chaves do registro que são usadas para iniciar programas automaticamente
junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’ do
Windows que também pode ser usada para iniciar aplicativos e, portanto, trojans.

 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Once
 HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Once
No
 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Registro
 HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 HKCU\Software\Microsoft\Windows\CurrentVersion\Run

A pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no

No Disco
Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia
 dependendo da versão do sistema e do nome do usuário.
Observaçõe Os arquivos mencionados nessas entradas geralmente também estão
s presentes na lista de processos

Detalhes

No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma
chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global
Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Inicar
do menu iniciar.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de
programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de
programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O valor entre os colchetes significa o nome do dado do registro presente na chave

denominada no início da linha. No exemplo, existe o dado “nwiz” na chave Run do
HKLM (veja a lista de chaves usadas para saber o caminho completo até a chave).

Observações

1. O HijackThis não apaga o arquivo relacionado com a entrada

2. O HijackThis não verifica se o arquivo existe, portanto não haverá um (file
missing)

Como saber

Embora seja um pouco difícil saber quais entradas são falsas e quais são legítimas, isso
pode ser feito de algumas maneiras:

 Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo

 Verifique as propriedades do arquivo para saber mais sobre o mesmo
 Procure na Internet em listas como AnswersThatWork e CastleCops

Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode
verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo.
Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows
e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do
exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no
Windows 2000/XP e System no 9x/ME).

O5, O6, O7 — Restrições

A presença de uma dessas entradas demonstram que algumas restrições foram colocadas
no sistema.

 HKCU\Software\Policies\Microsoft\Internet Explorer\
No Registro
Restrictions
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System

 control.ini
No Disco
Observações -

Detalhes

Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas
no Painel de Controle. A presença de uma O6 inidica que algumas outras opções no
Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é
incapaz de executar o editor de registro do Windows.

O5 - control.ini: inetcpl.cpl=no

Observações

Como saber

Se você ou o administrador da sua rede não colocou essas restrições, marque as

entradas.

Nesta Página
 O8, O9 — Novas Opções
 O10 — LSP
 O11 — Grupos de Opções
 O12 — Plugins do IE
 O13 — Prefixos
 O14 — Configurações Padrão do IE

O8, O9 — Novas Opções

As entradas O8 e O9 indicam novas opções no Internet Explorer.

 HKCU\Software\Microsoft\Internet Explorer\MenuExt
No Registro  HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions

No Disco -
Observações -

Detalhes

A entrada O8 se trata de novas opções no menu de contexto (clique inverso), já a

entrada O9 aparecerá quando houver botões adicionais na barra de ferramentas ou no
menu Ferramentas do Internet Explorer.
O8 - Extra context menu item: &Google Search -
res://C:\WINDOWS\DOWNLOADED PROGRAM
FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O9 - Extra button: Messenger (HKLM)

O9 - Extra ‘Tools’ menuitem: Messenger (HKLM)

Observações

Como saber

Algumas entradas O9 são no mesmo formato das O2 e O3 (ou seja, incluem um CLSID
e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o
nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para
verificar, fica mais fácil.

O10 — LSP

Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma
entrada referente ao arquivo encontrado será exibida.

No Registro HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters
No Disco -
Observações Essa entrada não deve ser marcada no HijackThis!

Detalhes

As entradas O10 simbolizam arquivos desconhecidos pelo HijackThis. Outras entradas

O10 mostram que alguns arquivos referenciados no registro não estão presentes, o que
significa que a conexão com a Internet pode não estar funcionando.

O documento sobre LSPs detalha o funcionamento dessa chave.

O10 - Broken Internet access because of LSP provider ‘imon.dll’ is missing

Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento
sobre LSPs) e não marque essas entradas no HijackThis.

A presença de uma O10 não necessariamente significa que há algo errado.

Observações

O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um
arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras
entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes.

Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a
“corrente/escada LSP está quebrada”, quando na verdade tudo vai bem. Verifique você
mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença
a um programa seguro, você deve deixar tudo como está, pois o problema foi causado
por um bug no HijackThis.

Claro que, se a entrada pertence a um programa malicioso, você deve remover usando o
LSPFix mas jamais deve marcar essa entrada no HijackThis!

Como saber

Existe a lista de LSPs do Zupe e a Linha Defensiva também tem a biblioteca de LSPs.
Você precisa verificar nessas listas se os arquivos estão marcados como seguros ou não.

011 — Grupos de Opções

Essa entrada mostra grupos de opções adicionais no Internet Explorer.

 HKLM\SOFTWARE\Microsoft\Internet
No Registro Explorer\AdvancedOptions

No Disco -
Observações -

Detalhes

Quando há um grupo novo de opções na aba “Avançado” das configurações do Internet

Explorer, uma entrada O11 será exibida.

O11 - Options group: [CommonName] CommonName

Marcando a entrada, o grupo de opções vai sumir.

Observações

Como saber

Somente o CommonName (do exemplo) utiliza essa entrada. Portanto só marque se

você ver a entrada do CommonName.

O12 — Plugins do IE

As entrdas O12 representam plugins do Internet Explorer.

 HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
No Registro
No Disco -
Observações -
Detalhes

Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um
BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF
diretamente no navegador.

Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Observações

1. Essa entrada é raramente utilizada para objetivos malicioso mas aparece com
entradas legítimas com freqüencia.

Como saber

A única maneira é através de uma busca na Internet. Os plugins da Onflow, que

possuem uma extensão .OFB, são maliciosos.

O13 — Prefixos

Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o
Internet Explorer.

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Def
No
aultPrefix
Registro
No Disco -
Observaçõ Existem diversos prefixos diferentes que serão denominados no início da
es entrada

Detalhes

Os prefixos de URL são adicionados em todas URLs que você visita sem definir o
protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o
protocolo, o Internet Explorer redireciona você automaticamente, adicionando um
HTTP:// ou FTP:// no endereço. Mas ao invés de HTTP:// ou FTP:// ele pode ser
configurado para adicionar qualquer coisa antes do endereço.

O13 - WWW. Prefix: http://ehttp.cc/?

Esse prefixo, por exemplo, faz com que todas URLs que começam com WWW sem o
HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar www.example.com,
você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as
suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba
quais os sites que você visita. Se você digitar http://www.example.com, entretanto,
nada vai acontecer.

Se você não consegue navegar pois tudo está sendo redirecionado, tente colocar o
HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados.
Observações

Como saber

Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve
marcar a entrada.

O14 — Configurações Padrão do IE

As entradas O14 mostram as configurações padrão do IE quando você selecionar as

opções padrão da Internet.

No Registro -
 C:\WINDOWS\inf\iereset.inf
No Disco
Observações -

Detalhes

O arquivo IERESET.INF guarda as configurações que serão usdas quando as

configurações do Internet Explorer forem resetadas.

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar
padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um
redirecionamento através do site da Microsoft.

Observações

Como saber

Faça como nas entradas R0.

Nesta Página
 O15 — Sites confiáveis
 O16 — ActiveX
 O17 — Configurações da rede

O15 — Sites confiáveis

A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet
Explorer.
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
No Registro Settings\ZoneMap\Ranges
 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Ranges
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults

No Disco -
Observações -

Detalhes

As entradas O15 mostram os sites presentes na lista de “Sites confiáveis” do Internet

Explorer. Diversos hijackers se adicionam nessa lista para poderem executar livremente
qualquer código.

O15 - Trusted Zone: http://www.linhadefensiva.org

O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou
entradas que tenham um (HKLM) ao lado do site como:

O15 - Trusted Zone: http://www.linhadefensiva.org (HKLM)

Nesse caso é preciso baixar o DelDomains, clicar com o botão direito no

DelDomains.inf e clicar em Instalar. Isso removerá todas as entradas presentes nos sites
confiáveis e nos sites restritos. Portanto se você tinha alguma entrada nos sites restritos,
é necessário adicioná-las novamente.

A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE
possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos,
Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma
entrada como a exibida abaixo:

O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone

(HKLM)

Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na
Zona de Sites Confiáveis!

Observações

1. O HijackThis possui bugs para remover algumas entradas O15. Use o

DelDomains para remover as entradas que o HijackThis não consegue remover
Como saber

As entradas iniciadas com ProtocolDefaults são sempre ruins, então marque-as.

Já as entradas que listam sites, você deve verificar os sites como faz com as R0.

O16 — ActiveX

As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer

(Downloaded Program Files).

 HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution

No Registro Units

No Disco -
Observações As entradas O16 fazem o uso de GUIDS/CLSIDS

Detalhes

Essas entradas mostram os programas ActiveX instalados pelo usuário.

O16 - DPF: {11120607-1001-1111-1000-110199901123} - C:\x.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) -
http://www.ipix.com/download/ipixx.cab

Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos
discadores pornográficos e GAIN. Por outro lado, eles também são usados por
programas legítimos, como antivírus online.

Observações

Como saber

O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins.

Você pode usar a opção “Find” para procurar pelo CLSID no banco de dados do
programa. Se ele estiver lá, é ruim.

Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela é

provavelmente resultado da exploração de alguma falha no Internet Explorer e é,
portanto, ruim.

Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça
como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a
entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um
ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem
começa a usar o HijackThis (mas não seja enganado pelos sites falsos como
akamai.downloadv3.com).
O17 — Configurações da rede

A entrada O17 lista diversas configurações de rede/Internet do Windows.

No Registro O HijackThis exibe a chave de onde ele tirou a configuração em questão

No Disco -
Observações Marcar entradas O17 legítimas vão desconfigurar a rede!

Detalhes

Depois que o hijacker da C2Media começou a modificar as configurações de rede, o

HijackThis adicionou a entrada O17 para exibir essas configurações. O HijackThis não
consegue “consertar” as configurações da rede e apenas apaga as mesmas caso você
marque a entrada.

017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer =

69.57.146.14,69.57.147.175

Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É
importante lembrar que nem todos os computadores são reconfigurados
automaticamente na ausência de uma servidor de DNS.

A entrada O17 também exibe o nome de domínio ao qual o computador pertence, se

estiver em um.

Observações

1. Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor
ou com o administrador da rede para saber como reconfigurar a rede.
2. Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na
Internet para efetuar a reconfiguração.

Como saber

Para servidores de DNS (como no exemplo), você precisa saber se os endereços

pertencem ao seu provedor. O Brasil só utiliza endereços IP que iniciam com 200 e 201,
portanto qualquer outro endereço provavelmente é ruim. Na dúvida, fale com seu
provedor.

Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão
com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços
do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu
provedor ou administrador de rede.

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br

Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu
provedor ou administrador de rede se há um domínio configurado para o seu sistema e
se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o
lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim.
Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis.

Nesta Página
 O18 — Protocolos e MIMEs
 O19 — Folhas de Estilo
 O20 — Inicialização Problemática
 O21, O22 — Inicialização pelo Shell
 O23 — Serviços NT

O18 — Protocolos e MIMEs

Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.

 HKLM\SOFTWARE\Classes\PROTOCOLS\
 HKLM\SOFTWARE\Classes\CLSID
No Registro  HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

No Disco -
Para entender algumas entradas aqui você precisa saber o que são tipos
Observações
MIME.

Detalhes

Os hijackers de protocolo podem controlar o modo que certas informações trafegam

pelo computador.

O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Já os hijackers de tipos MIME podem controlar as informações de arquivos que

possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode
permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir
anúncios publicitários indevidamente.

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} -

C:\WINDOWS\SYSTEM\XPLUGIN.DLL

Observações

1. Alguns programas instalam protocolos extras, então nem sempre essa entrada é
ruim

Como saber

Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos
adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo.
Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.
O19 — Folhas de Estilo

Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.

 [HKCU\Software\Microsoft\Internet Explorer\Styles]
No Registro User Stylesheets

No Disco -
Observações -

Detalhes

As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes

visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no
Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja
executado através de folhas de estilo e por isso alguns hijackers começaram a usar as
folhas de estilo.

O19 - User style sheet: c:\WINDOWS\Java\my.css

Observações

1. Assim como nas demais entradas, o HijackThis não apaga o arquivo listado

Como saber

Se você não configurou uma folha de estilos no IE, marque.

O20 — Inicialização Problemática

A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.

 HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
No Registro  HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows

No Disco -
Essa entrada lista dois métodos raríssimos de inicialização que merecem
Observações
extremo cuidado

Detalhes

A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.

O AppInit_DLls é chamado quando qualquer programa é executado, ou seja, toda vez

que você executa um programa, o AppInit é executado também. Muitas vezes a chave
do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de
limpeza. Geralmente é usado por infecções de CoolWebSearch.
O20 - AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll

O WinLogon Notify é executado quando você faz logon no Windows. É usado por
infecções Look2Me e trojans HaxDoor.

O20 - Winlogon Notify: drct16 - drct16.dll

Observações

1. Não é recomendável usar o HijackThis para apagar a entrada O20 do

AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou
seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se
você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor
malicioso, ambos serão removidos e o software que usava o recurso
legitimamente pode ter problemas. Por esse motivo, é sempre recomendável
editar a chave AppInit_DLLs manualmente no registro.
2. Se não for possível editar a chave AppInit, é necessário renomear a chave
Windows para outro nome, limpar o valor, e renomear a chave Windows
novamente para Windows (a chave Windows no registro, não a pasta Windows).

Como saber

Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo
para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você
pode também procurar informações na Internet.

Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete
on Reboot ou Replace on Reboot.

O21, O22 — Inicialização pelo Shell

As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o
Windows.

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
No Registro  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\SharedTaskScheduler

No Disco -
Observações Utilizam CLSIDs

Detalhes

A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é

o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam
inclusive no Modo de Segurança.

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -

C:\WINDOWS\System\auhook.dll
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-
7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Observações

1. Essas entradas funcionam em modo de segurança

2. Esses métodos de inicialização não são documentadas pela Microsoft

Como saber

Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no
arquivo, se houver dúvidas.

O caso mais recente de uso de uma dessas entradas é o HotOffers, que usa a O22 mas
não é exibido no HijackThis.

O23 — Serviços NT

As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003.

 HKLM\SYSTEM\CurrentControlSet\Services
No Registro
No Disco -
Observações O HijackThis não lista drivers, apenas serviços

Detalhes

A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem
um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam
essa entrada sabem se disfarçar de uma meneira bem inteligente.

O23 - Service: System Startup Service (SvcProc) - Unknown owner -

C:\WINDOWS\svcproc.exe

Entre os parênteses o HijackThis exibe o nome interno do serviço.

Observações

1. Antes de marcar uma entrada O23 é importante parar os serviços. Clique em

Iniciar » Executar, digite services.msc e clique em OK. Lá você poderá
desativar e parar o serviço que você vai marcar no HijackThis
2. Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo
3. Para apagar serviços use o Delete an NT Service das ferramentas do HijckThis
4. O HijackThis não apaga o arquivo

Como saber

Existem duas listas principais para entradas O23:

 1. AntiSpyware O23
2. CastleCops O23

Para remover os arquivos em entradas O23, recomenda-se a opção para apagar arquivos
ao reiniciar, podendo ser usado através do HijackThis na seção Misc Tools ou com o
KillBox

Nesta Página
 Depois da Limpeza
 Eu Odeio Listas Brancas
 Conclusão

Depois da Limpeza
Depois que você finalizou a limpeza marcando as entradas no HijackThis, é importante
que você utilize anti-spywares como Ad-Aware para limpar os arquivos restantes.
Antivírus online, como o Housecall podem ser úteis também.

É importante também desativar e reativar a Restauração do Sistema. Ao desativá-la,

você apagará todos os arquivos que ela salvou dos trojans que infectaram o seu sistema.
Quando você reativar, ela estará limpa e pronta para funcionar, sem fazer com que o seu
antivírus encontre trojans na pasta System Volume Information.

Eu Odeio Listas Brancas

O HijackThis possui uma opção via linha de comando chamada “Eu Odeio Listas
Brancas”. O HijackThis esconde diversas entradas que ele sabe que são seguras através
de uma “lista branca”. Isso diminui o tamanho do log e facilita a sua análise.

Mas se você executar o HijackThis com /ihatewhitelists através do Executar, essas

entradas serão exibidas. Todas as entradas exibidas através dessa opção são seguras e
não devem ser marcadas.

Essa opção só foi listada aqui para que o HijackThis Completo seja mesmo completo.
Mas isso não deve ser usado.

Conclusão
O HijackThis, por ser um programa poderoso, torna-se também complexo e perigoso.
Tenha muito cuidado ao utilizar o HijackThis para apagar coisas que você não sabe. Se
precisar de ajuda, você poderá tirar suas dúvidas através do nosso fórum.

Para utilizar o HijackThis com toda a sua capacidade, é necessário conhecimento sobre
as últimas pragas que circulam pela Internet e saber como elas funcionam e como as
mesmas fazem para permanecer no sistema para usar o HijackThis e eliminar sua
infecção.
O HijackThis não é, de qualquer forma, substituto para os anti-spywares. Ele é capaz de
acabar com a infecção ativa no sistema, mas não é capaz de limpar as dezenas de
arquivos que as pragas criam enquanto fazem o seu trabalho sujo.

Infelizmente, mesmo com esse tutorial, identificar as infecções pode ser um trabalho
complicado e eu tentei facilitar esse trabalho da melhor forma possível. Tome cuidado,
e boa sorte!

Fonte: Linha Defensiva

URL: http://linhadefensiva.uol.com.br/docs/hijackthis-completo/1/

Geração do PDF: Adão Braga - adaobraga@holistica.com.br