Beruflich Dokumente
Kultur Dokumente
A tela de Abertura
Ao abrir o HijackThis você será apresentado com a tela de “QuickStart”.
Nota: Se a tela acima não for apresentada, você marcou a última caixa para que ela não
seja mais mostrada ou você está usando uma versão antiga do HijackThis
Clique em ‘None of the above, just start the program’. Você verá a tela principal do
HijackThis.
Considerações Iniciais
O HijackThis é um programa que nos fornece informações do sistema. Através dessas
informações é possível verificar se há algum software maliciosos presente. Entretanto, o
HijackThis não lhe diz exatamente quais os problemas que estão ali, tão pouco lhe dá
instruções específicas para a remoção do mesmo. Com o uso do HijackThis pode ser
possível, pelo menos, obter mais informações sobre o problema que você tem,
facilitando a busca por informações para a sua resolução.
Aqui você encontrará informações sobre os dados que o HijackThis coleta e o que eles
significam. O que você precisa aprender é relacionar estes dados com as informações
técnicas de trojans e worms, para saber onde está o verdadeiro problema.
Usar o HijackThis não é simplesmente marcar todas as entradas ruins que estão
presentes. O HijackThis é somente a porta de entrada para uma análise completa do
estado de segurança de um sistema Windows.
Importante
IE será usado diversas vezes nesse documento para denominar o Internet Explorer.
Introdução
Afinal, o que é o HijackThis?
O HijackThis é completamente inútil contra vírus, embora ele seja capaz de detectar
alguns que criam chaves no registro para serem executados. Nesse caso será necessário
um antivírus ou uma ferramenta de remoção para limpar os arquivos infectados.
Se você marcar alguma entrada no HijackThis que é legítima, seja por engano ou
desconhecimento, o que pode acontecer?
Desabilitar programas
Retirar funcionalidades
Desconfigurar a rede
A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta
própria como ‘C:\HijackThis’. Desse modo ele criará backups de cada entrada marcada,
sendo apenas necessário recuperar o backup.
Ao selecionar uma entrada, você pode clicar no botão “Info on selected item” para que o
HijackThis lhe dê mais informações sobre a entrada selecionada. Você também pode
marcar certas entradas e então clicar no botão “Add checked to ignorelist” para que o
HijackThis ignore estas entradas no futuro e não mostre-as no log.
Note que o botão “Scan” se tornou o botão “Save Log”. Ao clicar no botão “Save Log”,
o HijackThis vai salvar um arquivo de log com as informações apresentadas mais a
informação dos processos que estão rodando. O HijackThis vai lhe pedir o nome e o
local do arquivo para salvar. É o mesmo que selecionar o botão “Do a system scan and
save a logfile” no menu principal, porém se você selecionar o botão no menu principal o
HijackThis automaticamente salva o log em um arquivo chamado “hijckthis.log” e aqui
ele lhe dá a opção para escolher o local onde você quer salvar o arquivo do log.
Quando você marcar determinadas entradas e clicar em Fix Checked o HijackThis vai
tomar diferentes providências, dependendo da entrada. Se você clicar em “Info on
selected item” o HijackThis lhe diz o que ele vai fazer — nós veremos cada tipo de
entrada em detalhe mais tarde.
O botão Config
Ao clicar no botão “Config”, você é apresentado com as configurações do HijackThis
em quatro abas: Main, Ignorelist, Backups, Misc Tools.
Main
Mark everything found for fixing after scan — Caso marcada, ela faz com
que todos os itens encontrados no HijackThis sejam marcados. Use esta opção
caso um log esteja muito infectado e seja mais fácil desmarcar algumas entradas
do que marcar todas as opções infectadas.
Make backups before fixing items — faz backups antes de consertar alguma
entrada. Muito útil, recomenda-se deixar marcado.
Confirm fixing & ignoring of items (safe mode) — se desmarcada, essa opção
retira as telas de confirmação quando você for ignorar ou consertar qualquer
entrada.
Ignore non-standard but safe domains in IE — uma pequnea ‘lista branca’
que filtra entradas R1/R0. Se desmarcada, todos os itens R1/R0 serão exibidos,
mesmo que contenham domínios populares e marcados como seguros. Essa
opção, quando marcada, ajuda o log a ficar menor e mais limpo.
Include list of running processes in logfiles — se desmarcada, o HijackThis
não incluirá a lista de processos rodando no log. A lista de processos pode ser
vista através do Gerenciador de Tarefas no Windows NT/2000/XP ou através de
ferramentas adicionais no Windows 9x/ME. É recomendado deixar essa opção
marcada, já que informação nunca é demais.
Show Intro frame at startup — se desmarcada, essa opção retira a tela de
inicialização, ou seja, desmarcar essa opção tem o mesmo efeito que marcar o
“Don’t show this frame again when I start HijackThis” na tela de boas-vindas.
Essa opção depende apenas de sua preferência.
Run HijackThis scan at startup and… — ao marcar essa opção, o HijackThis
se inclui nas entradas de inicialização automática do Windows. Assim ele pode
scanear o sistema logo ao iniciar, pegando entradas que se escondem
automaticamente depois de um curto período de tempo e assim não podem ser
percebidas um log for feito depois que o sistema estiver completamente
inicializado. Essa opção geralmente não é muito útil, mas vale a pena mencioná-
la mesmo assim.
As opções a seguir são os padrões que o HijackThis utiliza quando você conserta certos
itens.
Default Start Page — a página inicial padrão que o HijackThis colocará no
Internet Explorer após zerar as entradas da página inicial. Preferência do
usuário.
Default Search Page — a página de busca padrão usada pelo Internet Explorer.
Como essa entrada é normalmente modificada por hijackers, o HijackThis
precisa de um valor para consertá-la. Você pode configurar o valor usado através
dessa opção.
Default Search Assistant — ‘Assistente de Busca’ do Internet Explorer.
Default Search Customize — ‘Personalização de Busca’ do Internet Explorer.
Aba Ignorelist
Na aba ‘Ignorelist’ você pode encontrar os itens ignorados através do botão “Add
checked to ignorelist”. É recomendado que você limpe essa lista usando o botão “Delete
all” após instalar uma nova versão do HijackThis.
As entradas removidas aqui não serão excluídas, mas sim retiradas da lista de ítens
ignorados do HijackThis para que estes voltem a aparecer no log normalmente.
Aba Backups
Caso a opção “Make backups before fixing items” esteja marcada na aba “Main” (e ele
está marcada por padrão), o HijackThis cria backups de todos os ítens marcados. Nesta
tela você pode apagar backups individuais usando o botão “Delete”, apagar todos os
ítens com o botão “Delete all” ou, caso queira alguma entrada de volta no seu lugar,
usar o botão “Restore”. Use esta tela sempre que algum programa ou recurso do sistema
parar de funcionar após usar o HijackThis para consertar entradas.
Misc Tools
Uma das melhores coisas sobre o HijackThis é que ele possui um kit completo para a
manutenção de vários problemas no computador. Além de poder limpar diversas áreas
problemáticas do registro, ele possui diversas ferramentas adicionais que dispensam a
necessidade de instalar ou baixar ferramentas adicionais.
Note que o Startup List é uma ferramenta muito avançada. Por ser um programa
adicional, a intepretação de logs startuplist não será incluída neste documento.
Depois vemos o botão “Open Process Manager”. Ao clicar, o “Itty Bitty Process
Manager” será aberto.
Este programa é muito útil principalmente no Windows 9x/ME, pois estas versões do
Windows incluem um Gerenciador Tarefas muito simples que não inclui os programas
registrados como processos.
Ele também possui dois ícones ao lado da opção “Show DLLs” O primeiro (da esquerda
para a direita) é o “Copy list do clipboard” que copia a lista de processos para que você
possa “Colar” ela em qualquer lugar. O ícone do disquete salva a lista para um arquivo
texto.
Open hosts file manager
Após selecionar o botão, tudo que você precisa é selecionar o arquivo a ser apagado (ou
copiar & colar o caminho completo do arquivo) e clicar em ‘Abrir’. Após isso, o
HijackThis vai perguntar se você quer reiniciar o Windows. Na maioria das situações,
você vai querer responder ‘Não’ para reiniciar manualmente mais tarde.
O Pocket KillBox possui mais opções baseadas nesse recurso do Windows, incluindo
opções de troca de arquivos, que possuem mais chance de funcionar do que operações
que só excluem os arquivos.
Delete an NT service
Váriso trojans recentes se instalam através de serviços do Windows NT. Mesmo que um
antivírus ou antispyware remova o arquivo iniciado pelo serviço, este ainda será listado
nas ferramentas administrativas junto com os demais serviços.
Usando essa opção, o HijackThis pode apagar um serviço para você. Você pode usar o
nome completo de exibição do serviço ou o nome verdadeiro do serviço. Note que os
‘Serviços’ só estão disponíveis no Windows NT/2000/XP.
Tome extremo cuidado ao utilizar essa ferramenta! Não é possível recuperar os serviços
depois que eles foram removidos!
Nem todos os ADS encontrados são maliciosos. Mesmo se a opção ‘Ignore safe system
info streams’ estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como
streams utilizadas por antivírus. Faça sempre uma pesquisa antes de apagar qualquer
stream. Veja nosso documento sobre streams para saber mais.
Para apagar uma entrada é necessário selecionar a opção “Delete this entry” e então
confirmar a ação clicando em Sim. A opção para ‘Editar comando’ edita o caminho
para o programa executado pelo Windows para desinstalar o software selecionado — é
recomendado que você não troque os comandos sem ter certeza absoluta do que está
fazendo.
Advanced Settings
A primeira opção coloca o MD5 dos arquivos no arquivo de log. Isso é apenas útil se
você sabe o hash MD5 do arquivo ou está desenvolvendo uma ferramenta para a
remoção dos arquivos.
Usando essa opção, o HijackThis pode verificar a existência de uma nova versão do
HijackThis nos servidores da SpywareInfo. Se você utiliza um proxy para a conexão,
você pode definí-lo na caixa de texto logo abaixo do botão.
Nesta Página
O log do HijackThis
CLSIDs
O Início do log
As entradas no log do HijackThis
O log do HijackThis
Eu sei que você estava esperando por essa parte do documento, porém é necessário
conhecer todos os aspectos do HijackThis para ter idéia do que você realmente possui
em mãos. Se você pulou o documento até aqui, recomendo ler tudo desde o início.
CLSIDs
Antes de iniciar é importante que você saiba o que é um CLSID. Diversas entradas do
HijackThis apresentam um CLSID.
Um CLSID é um programa registrado no Windows. Ele possui um identificador único
(GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de
GUID:
{8E718888-423F-11D2-876E-00A0C9082467}
Note que pode ser qualquer letra entre A-F e qualquer número, mas eles estão sempre
nesse formato. O Windows usa isso como “referência” no registro. Por exemplo, a
chave A referencia que será executado o GUID X. Então é necessário que você vá até as
chaves dos CLSIDs — HKCR\CLSID — para procurar a seqüencia lá e veja qual o
arquivo que será executado. O HijackThis faz isso automaticamente para você.
Como os GUIDs são únicos e os arquivos ao qual eles apontam muitas vezes é
aleatório, você pode procurar informações da praga através do GUID. Desse modo você
conseguirá saber sobre a entrada mesmo que o arquivo não tenha sido encontrado pelo
HijackThis ou se o arquivo mudou devido a uma nova versão do programa que usa
aquele GUID.
Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o
arquivo real que será executado. Como muitas vezes o mesmo programa pode usar
arquivos diferentes em versões distintas mas usa o mesmo GUID, fica mais fácil obter
informações usando o GUID. As entradas que tiverem seqüencias como a exibida acima
usam esse sistema de CLSIDs (Class IDs) do Windows.
O Início do log
Na primeira linha, está a versão do HijackThis. É muito importante que você esteja
usando a última versão para evitar erros e poder ver todas as entradas descritas nesse
documento.
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
Para determinar se um processo é bom ou ruim, você deve usar o bom senso para
determinar o que é suspeito e o que não é. Isso parece ser difícil e é por este motivo que
recomendamos cautela com o HijackThis. Existem várias bibliotecas online com listas
do que é bom e o que é ruim. Nós também temos uma lista de processos, mas
geralmente você não deve se basear somente em listas porque muitas vezes você
encontrará um processo que não está em lista alguma. Além disso, os adwares recentes
infectam processos legítimos.
Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de
scanner é extremamente útil para determinar quais processos são bons ou ruins, além de
várias outras entradas no log, que veremos mais à frente.
Note que a lista de processos não é apresentada na tela principal do HijackThis, apenas
no log. Ao invés de finalizar os processos é geralmente recomendado que você utilize o
Modo de Segurança, onde a maioria dos processos ruins não são executados.
Se você tentar remover um trojan enquanto ele estiver rodando como processo (na
memória), você pode bater em duas paredes:
1. Não será possível apagar o arquivo (ele está sendo usado pelo Windows)
2. Ao apagar a chave dele no registro, ela será recriada instantaneamente
Nossa sugestão é sempre usar o Modo de Segurança e, caso os processos ainda estejam
rodando no Modo de Segurança, finalize-os lá e então execute a correção ainda no
Modo de Segurança.
O2 - …
O identificador é sempre seguido de um espaço e um traço. Por este motivo, é correto
dizer que o identificador são todos os caracteres antes do primeiro traço.
Nas páginas a seguir você verá os identificadores e saberá o que cada um significa.
Antes disso, porém, é recomendado você saiba como interpretar caminhos do registro.
Nesta Página
R0, R1, R3 — Configurações do IE
F0, F1, F2, F3 — Inicialização Rara
N1, N2, N3, N4 — Configurações do Netscape
HKLM\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\SearchURL:
(Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
No Registro
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Search
Detalhes
Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é
bom ou ruim. Se for ruim ou indesejado, você marca.
Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo
é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Se ao lado do nome
do arquivo estiver um (file missing) significa que o HijackThis não encontrou o arquivo
no disco.
Observações
Existe uma entrada que você deve ter cuidado. A que trata de proxies:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = https://
O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns
utilizam proxies locais. Se o proxy estiver com um endereço do tipo 192.168.0.1 ou
outro endereço interno da rede, é provável que a entrada seja legítima. Se a entrada for
legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser
recuperada através do backup do HijackThis).
O ProxyOverride significa que ele não será usado em URLs que começam com https
(SSL).
Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não
são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.
Como saber
Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada tiver um
res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que
demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com
todos os recursos de scripting desabilitados) os sites em questão para ver se são
maliciosos ou não.
Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome
do arquivo. Geralmente você saberá do que se trata.
Essas entradas mostram os arquivos que serão iniciados com o Windows através dos
arquivos INI do sistema.
No Registro HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping
c:\windows\system.ini
No Disco c:\windows\win.ini
Detalhes
A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que
interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele
constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você
utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha
qualquer visual. Um exemplo de shell alternativo é o Litestep.
É possível que dois programas sejam utilizados como Shell. Provavelmente quando o
explorer.exe é listado junto com este outro ’shell’, este outro shell na verdade é um
trojan.
F1 - win.ini: run=arquivo.exe
F3 - REG:win.ini: run=arquivo.exe
Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são
legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa
entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é
geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.
Observações
1. É necessário um cuidado extremo para lidar com essas entradas, pois geralmente
seu uso legítimo é feito por drivers e outros programas críticos ao bom
funcionamento do sistema
Como saber
Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do
arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos,
envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou
não, ou apenas use seu antivírus favorito.
Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do
Netscape.
No Registro -
No Disco prefs.js
Cada entrada se refere a uma vesão diferente do navegador, mas
Observações
apresentam os mesmos dados.
Detalhes
Observações
Como saber
Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.
Nesta Página
O1 — Hosts
O2, O3 — Programas do IE
O4 — Inicialização do Sistema
O5, O6, O7 — Restrições
O1 — Hosts
No Registro [HKLM\System\CurrentControlSet\Services\Tcpip\Parameters]
DatabasePath
Detalhes
Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo
hosts para saber como ele funciona.
Observações
Como saber
02, O3 — Programas do IE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\
No Registro Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
No Disco -
Observaçõe
Essas entradas funcionam através de CLSIDs
s
Detalhes
Os BHOs são usados principalmente por hijackers para trocar a página inicial e
monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição
visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca
diferente do qual ele está acostumado a usar.
Observações
1. Se em vez do nome você ver um (no name), a entrada não possui um nome
2. Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo
associado
3. Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não
encontrou o arquivo no disco
4. Ao consertar uma entrada o O2, a chave no registro é apagada e o arquivo é
removido. Essa é a única entrada do HijackThis em que o programa se encarrega
de apagar o arquivo mencionado na chave
Importante: As primeiras três observações acima valem para diversas outras entradas!
Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.
Como saber
O4 — Inicialização do Sistema
A entrada O4 é uma das entradas mais importantes exibidas do HijackThis. Ela lista
diversas chaves do registro que são usadas para iniciar programas automaticamente
junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’ do
Windows que também pode ser usada para iniciar aplicativos e, portanto, trojans.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Once
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Once
No
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Registro
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Detalhes
No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma
chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global
Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Inicar
do menu iniciar.
Observações
Como saber
Embora seja um pouco difícil saber quais entradas são falsas e quais são legítimas, isso
pode ser feito de algumas maneiras:
Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode
verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo.
Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows
e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do
exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no
Windows 2000/XP e System no 9x/ME).
A presença de uma dessas entradas demonstram que algumas restrições foram colocadas
no sistema.
HKCU\Software\Policies\Microsoft\Internet Explorer\
No Registro
Restrictions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System
control.ini
No Disco
Observações -
Detalhes
Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas
no Painel de Controle. A presença de uma O6 inidica que algumas outras opções no
Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é
incapaz de executar o editor de registro do Windows.
O5 - control.ini: inetcpl.cpl=no
Observações
Como saber
Nesta Página
O8, O9 — Novas Opções
O10 — LSP
O11 — Grupos de Opções
O12 — Plugins do IE
O13 — Prefixos
O14 — Configurações Padrão do IE
HKCU\Software\Microsoft\Internet Explorer\MenuExt
No Registro HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
No Disco -
Observações -
Detalhes
Observações
Como saber
Algumas entradas O9 são no mesmo formato das O2 e O3 (ou seja, incluem um CLSID
e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o
nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para
verificar, fica mais fácil.
O10 — LSP
Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma
entrada referente ao arquivo encontrado será exibida.
No Registro HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters
No Disco -
Observações Essa entrada não deve ser marcada no HijackThis!
Detalhes
Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento
sobre LSPs) e não marque essas entradas no HijackThis.
Observações
O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um
arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras
entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes.
Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a
“corrente/escada LSP está quebrada”, quando na verdade tudo vai bem. Verifique você
mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença
a um programa seguro, você deve deixar tudo como está, pois o problema foi causado
por um bug no HijackThis.
Claro que, se a entrada pertence a um programa malicioso, você deve remover usando o
LSPFix mas jamais deve marcar essa entrada no HijackThis!
Como saber
Existe a lista de LSPs do Zupe e a Linha Defensiva também tem a biblioteca de LSPs.
Você precisa verificar nessas listas se os arquivos estão marcados como seguros ou não.
HKLM\SOFTWARE\Microsoft\Internet
No Registro Explorer\AdvancedOptions
No Disco -
Observações -
Detalhes
Observações
Como saber
O12 — Plugins do IE
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
No Registro
No Disco -
Observações -
Detalhes
Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um
BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF
diretamente no navegador.
Observações
1. Essa entrada é raramente utilizada para objetivos malicioso mas aparece com
entradas legítimas com freqüencia.
Como saber
O13 — Prefixos
Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o
Internet Explorer.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Def
No
aultPrefix
Registro
No Disco -
Observaçõ Existem diversos prefixos diferentes que serão denominados no início da
es entrada
Detalhes
Os prefixos de URL são adicionados em todas URLs que você visita sem definir o
protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o
protocolo, o Internet Explorer redireciona você automaticamente, adicionando um
HTTP:// ou FTP:// no endereço. Mas ao invés de HTTP:// ou FTP:// ele pode ser
configurado para adicionar qualquer coisa antes do endereço.
Esse prefixo, por exemplo, faz com que todas URLs que começam com WWW sem o
HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar www.example.com,
você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as
suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba
quais os sites que você visita. Se você digitar http://www.example.com, entretanto,
nada vai acontecer.
Se você não consegue navegar pois tudo está sendo redirecionado, tente colocar o
HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados.
Observações
Como saber
Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve
marcar a entrada.
No Registro -
C:\WINDOWS\inf\iereset.inf
No Disco
Observações -
Detalhes
No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar
padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um
redirecionamento através do site da Microsoft.
Observações
Como saber
Nesta Página
O15 — Sites confiáveis
O16 — ActiveX
O17 — Configurações da rede
A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet
Explorer.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
No Registro Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults
No Disco -
Observações -
Detalhes
O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou
entradas que tenham um (HKLM) ao lado do site como:
A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE
possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos,
Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma
entrada como a exibida abaixo:
Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na
Zona de Sites Confiáveis!
Observações
Já as entradas que listam sites, você deve verificar os sites como faz com as R0.
O16 — ActiveX
No Disco -
Observações As entradas O16 fazem o uso de GUIDS/CLSIDS
Detalhes
Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos
discadores pornográficos e GAIN. Por outro lado, eles também são usados por
programas legítimos, como antivírus online.
Observações
Como saber
Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça
como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a
entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um
ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem
começa a usar o HijackThis (mas não seja enganado pelos sites falsos como
akamai.downloadv3.com).
O17 — Configurações da rede
Detalhes
Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É
importante lembrar que nem todos os computadores são reconfigurados
automaticamente na ausência de uma servidor de DNS.
Observações
1. Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor
ou com o administrador da rede para saber como reconfigurar a rede.
2. Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na
Internet para efetuar a reconfiguração.
Como saber
Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão
com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços
do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu
provedor ou administrador de rede.
Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu
provedor ou administrador de rede se há um domínio configurado para o seu sistema e
se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o
lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim.
Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis.
Nesta Página
O18 — Protocolos e MIMEs
O19 — Folhas de Estilo
O20 — Inicialização Problemática
O21, O22 — Inicialização pelo Shell
O23 — Serviços NT
Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.
HKLM\SOFTWARE\Classes\PROTOCOLS\
HKLM\SOFTWARE\Classes\CLSID
No Registro HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
No Disco -
Para entender algumas entradas aqui você precisa saber o que são tipos
Observações
MIME.
Detalhes
Observações
1. Alguns programas instalam protocolos extras, então nem sempre essa entrada é
ruim
Como saber
Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos
adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo.
Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.
O19 — Folhas de Estilo
[HKCU\Software\Microsoft\Internet Explorer\Styles]
No Registro User Stylesheets
No Disco -
Observações -
Detalhes
Observações
1. Assim como nas demais entradas, o HijackThis não apaga o arquivo listado
Como saber
A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
No Registro HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows
No Disco -
Essa entrada lista dois métodos raríssimos de inicialização que merecem
Observações
extremo cuidado
Detalhes
A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.
O WinLogon Notify é executado quando você faz logon no Windows. É usado por
infecções Look2Me e trojans HaxDoor.
Observações
Como saber
Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo
para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você
pode também procurar informações na Internet.
Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete
on Reboot ou Replace on Reboot.
As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o
Windows.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
No Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\SharedTaskScheduler
No Disco -
Observações Utilizam CLSIDs
Detalhes
Observações
Como saber
Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no
arquivo, se houver dúvidas.
O caso mais recente de uso de uma dessas entradas é o HotOffers, que usa a O22 mas
não é exibido no HijackThis.
O23 — Serviços NT
HKLM\SYSTEM\CurrentControlSet\Services
No Registro
No Disco -
Observações O HijackThis não lista drivers, apenas serviços
Detalhes
A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem
um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam
essa entrada sabem se disfarçar de uma meneira bem inteligente.
Observações
Como saber
Para remover os arquivos em entradas O23, recomenda-se a opção para apagar arquivos
ao reiniciar, podendo ser usado através do HijackThis na seção Misc Tools ou com o
KillBox
Nesta Página
Depois da Limpeza
Eu Odeio Listas Brancas
Conclusão
Depois da Limpeza
Depois que você finalizou a limpeza marcando as entradas no HijackThis, é importante
que você utilize anti-spywares como Ad-Aware para limpar os arquivos restantes.
Antivírus online, como o Housecall podem ser úteis também.
Essa opção só foi listada aqui para que o HijackThis Completo seja mesmo completo.
Mas isso não deve ser usado.
Conclusão
O HijackThis, por ser um programa poderoso, torna-se também complexo e perigoso.
Tenha muito cuidado ao utilizar o HijackThis para apagar coisas que você não sabe. Se
precisar de ajuda, você poderá tirar suas dúvidas através do nosso fórum.
Para utilizar o HijackThis com toda a sua capacidade, é necessário conhecimento sobre
as últimas pragas que circulam pela Internet e saber como elas funcionam e como as
mesmas fazem para permanecer no sistema para usar o HijackThis e eliminar sua
infecção.
O HijackThis não é, de qualquer forma, substituto para os anti-spywares. Ele é capaz de
acabar com a infecção ativa no sistema, mas não é capaz de limpar as dezenas de
arquivos que as pragas criam enquanto fazem o seu trabalho sujo.
Infelizmente, mesmo com esse tutorial, identificar as infecções pode ser um trabalho
complicado e eu tentei facilitar esse trabalho da melhor forma possível. Tome cuidado,
e boa sorte!
URL: http://linhadefensiva.uol.com.br/docs/hijackthis-completo/1/