Hijackthis Tutorial

Draacola · 26-01-2007, 4:52

agora todos aprendem de vez como utilizar o programa.. ^^

Ao abrir o HijackThis você será apresentado com a tela de “QuickStart”.

Nota: Se a tela acima não for apresentada, você marcou a última caixa para que ela não seja mais mostrada ou você está usando uma versão antiga do HijackThis.
Clique em ‘None of the above, just start the program’. Você verá a tela principal do HijackThis.

Se você clicar em ‘Scan’, você verá as entradas detectadas pelo HijackThis. O “Scan” é basicamente um processo onde o HijackThis busca no registro várias informações sobre o sistema, como os ActiveX, BHOs e outros. Se você selecionar a opção “Do a system scan only” no menu principal ele automaticamente faz esse exame, não sendo necessário clicar em “Scan”.
Ao selecionar uma entrada, você pode clicar no botão “Info on selected item” para que o HijackThis lhe dê mais informações sobre a entrada selecionada. Você também pode marcar certas entradas e então clicar no botão “Add checked to ignorelist” para que o HijackThis ignore estas entradas no futuro e não mostre-as no log.
Note que o botão “Scan” se tornou o botão “Save Log”. Ao clicar no botão “Save Log”, o HijackThis vai salvar um arquivo de log com as informações apresentadas mais a informação dos processos que estão rodando. O HijackThis vai lhe pedir o nome e o local do arquivo para salvar. É o mesmo que selecionar o botão “Do a system scan and save a logfile” no menu principal, porém se você selecionar o botão no menu principal o HijackThis automaticamente salva o log em um arquivo chamado “hijckthis.log” e aqui ele lhe dá a opção para escolher o local onde você quer salvar o arquivo do log.
Quando você marcar determinadas entradas e clicar em Fix Checked o HijackThis vai tomar diferentes providências, dependendo da entrada. Se você clicar em “Info on selected item” o HijackThis lhe diz o que ele vai fazer — nós veremos cada tipo de entrada em detalhe mais tarde.
O botão “Info” apresenta informações genéricas do HijackThis, incluindo uma breve explicação de cada entrada e um changelog (arquivo que detalha as mudanças que um programa recebeu em cada versão).

Draacola · 26-01-2007, 4:53

O botão Config

Ao clicar no botão “Config”, a tela de configurações do HijackThis aparece, com quatro abas no topo: Main, Ignorelist, Backups, Misc Tools.

Main

Na aba Main podemos encontrar várias configurações do HijackThis.

Mark everything found for fixing after scan — Caso marcada, ela faz com que todos os itens encontrados no HijackThis sejam marcados. Use esta opção caso um log esteja muito infectado e seja mais fácil desmarcar algumas entradas do que marcar todas as opções infectadas.
Make backups before fixing items — faz backups antes de consertar alguma entrada. Muito útil, recomenda-se deixar marcado.
Confirm fixing & ignoring of items (safe mode) — se desmarcada, essa opção retira as telas de confirmação quando você for ignorar ou consertar qualquer entrada.
Ignore non-standard but safe domains in IE — uma pequnea ‘lista branca’ que filtra entradas R1/R0. Se desmarcada, todos os itens R1/R0 serão exibidos, mesmo que contenham domínios populares e marcados como seguros. Essa opção, quando marcada, ajuda o log a ficar menor e mais limpo.
Include list of running processes in logfiles — se desmarcada, o HijackThis não incluirá a lista de processos rodando no log. A lista de processos pode ser vista no Gerenciador de Tarefas no Windows NT/2000/XP por meio de ferramentas adicionais no Windows 9x/ME. É recomendado deixar esta opção marcada, já que informação nunca é demais.
Show Intro frame at startup — se desmarcada, esta opção retira a tela de inicialização, ou seja, desmarcar essa opção tem o mesmo efeito que marcar o “Don’t show this frame again when I start HijackThis” na tela de boas-vindas. Marcá-la ou não depende apenas de sua preferência.
Run HijackThis scan at startup and… — ao marcar esta opção, o HijackThis se inclui nas entradas de inicialização automática do Windows. Assim ele pode scanear o sistema logo ao iniciar, pegando entradas que se escondem automaticamente depois de um curto período de tempo e que não poderíam ser incluídas no log se ele for feito depois que o sistema estiver completamente inicializado. Essa opção geralmente não é muito útil, mas vale a pena mencioná-la mesmo assim.

As opções a seguir são os padrões que o HijackThis utiliza quando você conserta certos itens referentes ao Internet Explorer:

Default Start Page — a página inicial padrão que o HijackThis colocará no Internet Explorer após zerar as entradas da página inicial. Preferência do usuário.
Default Search Page — a página de busca padrão usada pelo Internet Explorer. Como essa entrada é normalmente modificada por hijackers, o HijackThis precisa de um valor para consertá-la. Você pode configurar o valor usado através dessa opção.
Default Search Assistant — ‘Assistente de Busca’ do Internet Explorer.
Default Search Customize — ‘Personalização de Busca’ do Internet Explorer.

Aba Ignorelist

Na aba ‘Ignorelist’ você pode encontrar os itens ignorados através do botão “Add checked to ignorelist”. É recomendado que você limpe essa lista usando o botão “Delete all” após instalar uma nova versão do HijackThis.
As entradas removidas aqui não serão excluídas, mas sim retiradas da lista de itens ignorados do HijackThis para que estas voltem a aparecer no log normalmente.
Aba Backups

Caso a opção “Make backups before fixing items” esteja marcada na aba “Main” (e ela está marcada por padrão), o HijackThis cria backups de todos os itens marcados. Nesta tela você pode apagar backups individuais usando o botão “Delete”, apagar todos os itens com o botão “Delete all” ou, caso queira alguma entrada de volta no seu lugar, usar o botão “Restore”. Use esta tela sempre que algum programa ou recurso do sistema parar de funcionar após o HijackThis ter sido usado.

Draacola · 26-01-2007, 4:54

Misc Tools

Uma das melhores coisas sobre o HijackThis é que ele possui um kit razoavelmente completo para a manutenção do sistema. Além de poder limpar áreas problemáticas do registro, ele possui diversas ferramentas adicionais que dispensam a necessidade de instalar ou baixar ferramentas adicionais.

Generate Startuplist Log

O primeiro botão que vemos nessa tela é o ‘Generate startuplist log’. Este botão gera um log do programa StartupList, também desenvolvido pelo mesmo Merijn que criou o HijackThis. O Startup List mostra todos os itens possíveis de inicialização de programas no Windows, incluindo diversas áreas que não são exibidas pelo HijackThis. Por outro lado, o Startup List não nos dá a opção para corrigir qualquer coisa encontrada. As duas caixas presentes ao lado do botão fazem com que o log do Startup List seja mais completo — é recomendado marcá-las sempre antes de fazer um log do Startup List.
Nota: O Startup List é uma ferramenta muito avançada. Por ser um programa adicional, a interpretação de logs startuplist não será incluída neste documento.
Open Process Manager

Depois vemos o botão “Open Process Manager”. Ao clicar, o “Itty Bitty Process Manager” será aberto. Este programa é muito útil principalmente nos Windows 9x e ME, pois o Gerenciador Tarefas deles é muito simples e não inclui os programas registrados como processos.
Embora exiba menos informações que o gerenciador de processos padrão do Windows, ele permite que mais de um processo seja selecionado (usando as teclas CTRL e SHIFT) e inclui a opção “Show DLLs”, que cria um novo painel onde é exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados são chamados de módulos e alguns trojans se injetam como módulos em processos de sistema para serem executados sem um processo visível na lista normal. Isso é muito raro, portanto a maioria dos DLLs listados são seguros.
O botão “Kill Process” finaliza o(s) processo(s) selecionado(s). O botão “Refresh” atualiza a lista de processos e o botão “Run” inicia um programa ou processo da mesma maneira que o botão “Nova Tarefa” do Gerenciador de Tarefas.
Ele também possui dois ícones ao lado da opção “Show DLLs” O primeiro (da esquerda para a direita) é o “Copy list do clipboard” que copia a lista de processos para que você possa “Colar” ela em qualquer lugar. O ícone do disquete salva a lista para um arquivo texto.

Open hosts file manager

Este é um pequeno programa para editar o arquivo HOSTS. Depois de selecioná-lo, utilize o botão “Open in Notepad” para abrir o arquivo no Bloco de Notas onde é muito mais fácil gerenciar o arquivo HOSTS. Como referencia, o botão “Delete line(s)” apaga a(s) linha(s) selecionada(s) e o botão Toggle Line(s) tira ou coloca um ‘#’ no início da linha. Leia o documento sobre o HOSTS para entender mais sobre isso.
Delete a file on reboot…

Provavelmente uma das ferramentas mais simples e úteis.
O Windows possui um recurso chamado PendingFileRenameOperations que pode executar operações com os arquivos (tais como apagar, renomear e mover) antes que o sistema seja completamente iniciado. Isso pode ser usado para apagar arquivos que o Windows sempre afirma estarem “em uso”. É útil para remover cavalos de tróia antes que eles sejam inicializados, sem dar chance para que eles tentem se proteger.
Após selecionar o botão, tudo que você precisa é selecionar o arquivo a ser apagado (ou copiar & colar o caminho completo do arquivo) e clicar em ‘Abrir’. Após isso, o HijackThis vai perguntar se você quer reiniciar o Windows. Na maioria das situações, você vai querer responder ‘Não’ para reiniciar manualmente mais tarde.
O Pocket KillBox possui mais opções baseadas nesse recurso do Windows, incluindo opções de troca de arquivos, que possuem mais chance de funcionar do que operações que só excluem os arquivos.
Delete an NT service

Vários trojans recentes se instalam através de serviços do Windows NT. Mesmo que um antivírus ou anti-spyware remova o arquivo iniciado pelo serviço, este ainda será listado nas ferramentas administrativas junto com os demais.
É com esta ferramenta que o HijackThis pode apagar um serviço para você. Você pode usar o nome completo de exibição do serviço ou o nome verdadeiro do serviço. Note que os ‘Serviços’ só estão disponíveis no Windows NT/2000/XP.
Para obter a lista de serviços no seu sistema, clique em Iniciar -> Executar, digite services.msc e clique em OK. Clique com o botão direito no serviço que você quer apagar e clique em “Propriedades”. Você pode usar tanto o “Nome para exibição” quanto o “Nome do serviço” no HijackThis para removê-lo da lista.
Nota: Tome extremo cuidado ao utilizar essa ferramenta! Não é possível recuperar os serviços depois que eles foram removidos!
Open ADS Spy…

Essa é uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data Streams (ADS). Ela está disponível separadamente no site de Merijn.

Se opção do Quick scan for marcada, somente a pasta do Windows será examinada. A opção ‘Ignore safe system info streams’ ignora entradas ADS geralmente seguras, como a informação colocada na aba “Resumo” dos arquivos. Já a opção para calcular MD5 deve ser apenas utilizada se você quiser desenvolver ferramentas para a remoção de um certo tipo de malware.
Nem todos os ADS encontrados são maliciosos. Mesmo se a opção ‘Ignore safe system info streams’ estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como streams utilizadas por antivírus. Faça sempre uma pesquisa antes de apagar qualquer stream. Veja nosso documento sobre streams para saber mais.
Open Uninstall Manager

Muitos programas, após desinstalados, deixam entradas na lista do Adicionar/Remover Programas. Se isso não fosse o suficiente, vários trojans (principalmente hijackers) começaram a incluir entradas no Adicionar/Remover Programas para, supostamente, desinstalá-los do sistema.
A realidade é que geralmente estas entradas não funcionam e, após o usuário remover o problema manualmente , ficam aquelas entradas na lista. Com esta opção você pode retirá-los de lá.

Para apagar uma entrada é necessário selecionar a opção “Delete this entry” e então confirmar a ação clicando em Sim. A opção para ‘Editar comando’ edita o caminho para o programa executado pelo Windows para desinstalar o software selecionado — é recomendado que você não troque os comandos sem ter certeza absoluta do que está fazendo.
Advanced Settings

Depois da lista de ferramentas, o HijackThis lista duas opções avançadas:

Calculate MD5 of files if possible
Include environment variables in logfile

A primeira opção coloca o MD5 dos arquivos para incluir no relatório/log. Isso é apenas útil se você sabe o hash MD5 do arquivo que você quer remover ou está desenvolvendo uma ferramenta para a remoção dos arquivos.
A segunda opção inclui variáveis de ambiente, como a localização da pasta Windows e a localização do arquivo HOSTs — nada muito útil.
Check for Update online

O HijackThis pode verificar a existência de uma nova versão do HijackThis nos servidores da SpywareInfo — basta clicar neste botão. Se você utiliza um proxy para a conexão, você pode definí-lo na caixa de texto logo abaixo do botão.
Uninstall HijackThis & Exit

Para salvar todas as configurações definidas, o HijackThis cria diversas chaves no registro. Com este botão, o HijackThis apaga essas chaves. Note que o arquivo do HijackThis não é removido e nem os backups são removidos. A Ignore List, por outro lado, é removida.

Draacola · 26-01-2007, 4:55

O log do HijackThis

É importante que você leia todas as páginas anteriores antes das informações que seguem.
CLSIDs

Um CLSID é um programa registrado no Windows. Ele possui um identificador único (GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de GUID:
{8E718888-423F-11D2-876E-00A0C9082467}
Nota: Os GUIDs usam qualquer letra entre A-F e qualquer número, mas eles estão sempre nesse formato (8-4-4-4-12).
O Windows usa isso como “referência” no registro. Por exemplo, uma chave de um plugin para o Internet Explorer, ao invés de referenciar diretamente um arquivo que será carregado, ela referencia o GUID X. No registro dos CLSIDs — HKCR\CLSID — o GUID X está presente e informando qual o arquivo será executado e algumas opções para sua executação. O HijackThis apresenta os CLSIDs e os arquivos que eles referenciam automaticamente.
Como os GUIDs são únicos e os arquivos ao qual eles apontam muitas vezes é aleatório, você pode procurar informações da praga usando o GUID (se ela utiliza um). Desse modo você conseguirá saber sobre a entrada mesmo que o arquivo não tenha sido encontrado pelo HijackThis ou se o arquivo mudou devido a uma nova versão do programa que usa aquele GUID.
Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o arquivo real que será executado. Como muitas vezes o mesmo programa pode usar arquivos diferentes em versões distintas, mas usa o mesmo GUID, fica mais fácil, em algumas ocasiões, obter informações usando o GUID ao invés do arquivo. As entradas que tiverem seqüências como a exibida acima usam esse sistema de CLSIDs (Class IDs) do Windows.
O Início do log

O log do HijackThis possui diversos elementos. O primeiro deles é o cabeçalho, onde é incluída a versão do HijackThis, a data, a versão do sistema, a versão do Internet Explorer e as variáveis de ambiente, se a opção foi marcada na aba “Misc Tools”.
Logfile of HijackThis v1.99.1
Scan saved at 21:47:33, on 13/3/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Na primeira linha está a versão do HijackThis. É muito importante que você esteja usando a versão mais recente para evitar erros e ver todas as entradas descritas aqui.
A data apresentada no HijackThis respeita as configurações inseridas nas “Opções Regionais” do Painel de Controle, portanto em um sistema em inglês é bem provável que o mês/dia estejam invertidos.
Caso a opção para mostrar as variáveis de ambiente esteja selecionada, o cabeçalho incluirá as seguintes informações:
Windows folder: C:\WINNT [pasta do Windows]
System folder: C:\WINNT\SYSTEM32 [pasta do sistema]
Hosts file: C:\WINNT\System32\drivers\etc\hosts [localização do hosts]
Logo em seguida o HijackThis inclui uma lista dos processos em execução. Essa lista só será incluída se a opção ‘Include list of running process in logfiles’ estiver marcada na aba Main. Esta opção está marcada por padrão.
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
Você pode usar o gerenciador de processos dentro do HijackThis ou o Gerenciador de Tarefas do Windows 2000/XP para encerrar processos ruins. No Windows 9x/Me você deve usar o do HijackThis, já que o CTRL+ALT+DEL não apresenta todos os processos.
Para determinar se um processo é bom ou ruim, você deve usar o bom senso para determinar o que é suspeito e o que não é. Isso pode ser difícil e é por este motivo que recomendamos cautela com o HijackThis. Existem várias bibliotecas online com listas do que é bom e o que é ruim. Nós também temos uma lista de processos, mas geralmente você não deve se basear somente em listas porque muitas vezes você encontrará um processo que não está em lista alguma. Além disso, os adwares recentes infectam processos legítimos.
Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de scanner é extremamente útil para determinar quais processos são bons ou ruins, além de várias outras entradas no log, que veremos mais a frente.
Note que a lista de processos não é apresentada na tela principal do HijackThis, apenas no log. Ao invés de finalizar os processos é geralmente recomendado que você utilize o Modo de Segurança, onde a maioria dos processos ruins não são executados.
Por que é importante que os processos não estejam rodando?

Se você tentar remover um trojan enquanto ele estiver rodando como processo (na memória), você pode bater em duas paredes:

Não será possível apagar o arquivo (ele está sendo usado pelo Windows)
Ao apagar a chave dele no registro, ela será recriada instantaneamente

Nossa sugestão é sempre usar o Modo de Segurança e, caso os processos ainda estejam rodando no Modo de Segurança, finalize-os lá e então execute a correção ainda no Modo de Segurança.
Após o fim da lista de processos, começamos com as entradas do HijackThis.
As entradas no log do HijackThis

O log do HijackThis é divididos em vários grupos identificados unicamente pelos primeiros caracteres da linha, por exemplo:
O2 - …
O identificador é sempre seguido de um espaço e um traço. Por este motivo, é correto dizer que o identificador são todos os caracteres antes do primeiro traço.
Nas páginas a seguir você verá os identificadores e saberá o que cada um significa. Antes disso, porém, é recomendado você saiba como interpretar caminhos do registro.

Draacola · 26-01-2007, 4:57

R0, R1, R3 — Configurações do IE

Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas listam a página inicial, a página padrão de busca e outros.
No Registro

HKLM\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Search

Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará seus valores também.
No Disco-ObservaçõesO (obfuscated) ao lado de uma entrada significa que a mesma está em valor hexadecial e que o HijackThis a converteu para um formato legível.
Detalhes

Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é bom ou ruim. Se for ruim ou indesejado, você marca.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
Nesse caso, o Google é seguro, portanto não há problema. Também há as R3, SearchHook:
R3 - Default URLSearchHook is missing
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Um (file missing) ao lado do nome do arquivo significa que o HijackThis não encontrou o arquivo no disco.
Observações

Existe uma entrada que você deve ter cuidado. A que trata de proxies:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = https://
O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns utilizam proxies locais. Se o proxy estiver com um endereço interno da rede, como 192.168.0.1, é provável que a entrada seja legítima. Se a entrada for legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser recuperada através do backup do HijackThis).
O ProxyOverride significa que ele não será usado em URLs que começam com https (SSL).
Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.
Como saber

Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada iniciar com res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questão para ver se são maliciosos ou não.
Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente você saberá do que se trata.
Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema.
F0, F1, F2, F3 — Inicialização Rara

Essas entradas mostram os arquivos que serão iniciados com o Windows por meio dos arquivos INI do sistema.
No Registro

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

No Disco

c:\windows\system.ini
c:\windows\win.ini

ObservaçõesÉ raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo.
Detalhes

A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha qualquer visual. Um exemplo de shell alternativo é o Litestep.
É possível que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe é listado junto com este outro ’shell’, este outro shell na verdade é um trojan.
F0 - system.ini: Shell=Explorer.exe programa-ruim.exe
F2 - REG:system.ini: Shell=explorer.exe programa-ruim.exe
programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também, tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma vírgula.
F2 - REG:system.ini: UserInit=userinit.exe, programa-ruim.exe
E aí temos o Load e o Run do Win.ini:
F1 - win.ini: run=arquivo.exe
F3 - REG:win.ini: run=arquivo.exe
Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.
Observações

É necessário um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legítimo é feito por drivers e outros programas críticos ao bom funcionamento do sistema

Como saber

Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos, envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou não, ou apenas use seu antivírus favorito.
N1, N2, N3, N4 — Configurações do Netscape

Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do Netscape.
No Registro-No Discoprefs.jsObservaçõesCada entrada se refere a uma versão diferente do navegador, mas apresentam os mesmos dados.
Detalhes

A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla.
N1 - Netscape 4: user_pref(”browser.startup.homepage”, “www.google.com”); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Observações

-
Como saber

Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.

Draacola · 26-01-2007, 4:58

O1 — Hosts

Essa entrada lista todos os redirecionamentos do arquivo HOSTS.
No Registro

[HKLM\System\CurrentControlSet\Services\Tcpip\Param eters]
DatabasePath

No Disco

%WINDIR%\hosts [Windows 9x/ME]
%WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP]

Onde %windir% é a pasta do Windows. Essa é a localização padrão do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar.
ObservaçõesAlguns administradores usam arquivos HOSTS em redes internas.
Detalhes

Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona.
O1 - Hosts: 0.0.0.0 www.google.com
Observações

Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas.
Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1 vai mostrar onde o arquivo Hosts está localizado.

O1 - Hosts file is located at C:\Windows\Help\hosts
Como saber

Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster.
02, O3 — Programas do IE

As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais.
No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

No Disco-ObservaçõesEssas entradas funcionam através de CLSIDs
Detalhes

Os BHOs são usados principalmente por hijackers para trocar a página inicial e monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca diferente do qual ele está acostumado a usar.
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll
Observações

Se em vez do nome você ver um (no name), a entrada não possui um nome
Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo associado
Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não encontrou o arquivo no disco
Ao consertar uma entrada O2, a chave no registro é apagada e o arquivo é removido. Esta é a única entrada que o HijackThis se encarrega de apagar o arquivo mencionado (e a O4 Startup, que é um caso especial).

Importante: As primeiras três observações acima valem para diversas outras entradas! Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.
Como saber

Existem diversas listas especializadas em BHOs e Toolbars na Internet. Uma boa referência é a lista da CastleCops, mas existem diversas outras: basta procurar na Internet pela seqüencia entre as chaves (não inclua as chaves em si) ou pelo nome do arquivo.
O4 — Inicialização do Sistema

A entrada O4 é uma das entradas mais importantes exibidas pelo HijackThis. Ela lista diversas chaves do registro que são tipicamente usadas para iniciar programas junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’, que também pode ser usada para iniciar aplicativos e, portanto, trojans.
No Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

No DiscoA pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia dependendo da versão do sistema e do nome do usuário.ObservaçõesOs arquivos mencionados nessas entradas geralmente também estão presentes na lista de processos
Detalhes

No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Iniciar do menu iniciar.
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O valor entre os colchetes é o nome da propriedade do registro presente na chave denominada no início da linha. No exemplo, existe a propriedade “nwiz” na chave Run do HKLM (veja a lista de chaves usadas na tabela acima para saber o caminho completo até a chave).
Observações

O HijackThis não apaga o arquivo relacionado com a entrada, com exceção das O4 do tipo “Startup”. Como as entradas Startup são apenas os arquivos na pasta “Inicializar”, a única maneira de remover o arquivo da inicialização é apagando-o. Note no entanto que a maioria dos programas legítimos usa apenas um atalho (arquivo .lnk), como o Adobe Reader acima. Nesse caso o HijackThis apaga apenas o .lnk para retirar o arquivo da inicialização.
O HijackThis não verifica se o arquivo existe, portanto não haverá um (file missing)

Como saber

Embora seja um pouco difícil saber quais as entradas são falsas e quais são legítimas, isso pode ser feito de algumas maneiras:

Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo
Verifique as propriedades do arquivo para saber mais sobre o mesmo
Procure na Internet em listas como AnswersThatWork e CastleCops

Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo. Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME).
O5, O6, O7 — Restrições

A presença de uma dessas entradas demonstra que algumas restrições foram colocadas no sistema.
No Registro

HKCU\Software\Policies\Microsoft\Internet Explorer\
Restrictions
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\
System

No Disco

control.ini

Observações-
Detalhes

Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas no Painel de Controle. A presença de uma O6 indica que algumas outras opções no Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é incapaz de executar o editor de registro do Windows.
O5 - control.ini: inetcpl.cpl=no
Observações

-
Como saber

Se você ou o administrador da sua rede não colocou essas restrições, marque as entradas.

Draacola · 26-01-2007, 4:59

O8, O9 — Novas Opções

As entradas O8 e O9 indicam novas opções no Internet Explorer.
No Registro

HKCU\Software\Microsoft\Internet Explorer\MenuExt
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions

No Disco-Observações-
Detalhes

As entradas O8 se tratam de novas opções no menu de contexto (clique inverso), enquanto entradas O9 aparecerão quando houver botões adicionais na barra de ferramentas ou no menu Ferramentas do Internet Explorer.
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Messenger (HKLM)
Observações

-
Como saber

Algumas entradas O9 estão no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para verificar, fica mais fácil.
O10 — LSP

Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao arquivo encontrado será exibida.
No RegistroHKLM\SYSTEM\CurrentControlSet\Services\Win Sock2\ParametersNo Disco-ObservaçõesEssa entrada não deve ser marcada no HijackThis!
Detalhes

Entradas O10 são referentes aos Provedores de Serviço em Camada (Layered Service Providers) — LSP. Sempre que o HijackThis encontrar algum LSP que ele não conhece, uma entrada O10 irá aparecer no log. Se o HijackThis encontrar LSPs do New.net ou do webHancer, entradas específicas para essas infecções serão mostradas, porém não é recomendado marcá-las. A utilização de um programa de desinstalação é preferível.
Qualquer outra entradas O10 simboliza arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram que alguns arquivos referenciados no registro não estão presentes, o que significa que a conexão com a Internet pode não estar funcionando.
O documento sobre LSPs entra em mais detalhes sobre a utilização e funcionamento dos LSPs.
O10 - Broken Internet access because of LSP provider ‘imon.dll’ is missing
Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e não marque nada no HijackThis.
Nota: A presença de uma O10 não necessariamente significa que há algo errado, apenas que o HijackThis encontrou um arquivo que ele não conhece.
Observações

O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes.
Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a “corrente/escada LSP está quebrada”, como no exemplo acima, quando na verdade tudo vai bem. Verifique você mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença a um programa seguro, você deve deixar tudo como está, pois o “problema” é apenas um erro no HijackThis.
Se a entrada pertence a um programa malicioso, basta remover usando o LSPFix. Nenhuma entrada O10 deve ser marcada no HijackThis.
Como saber

Existe a lista de LSPs do Zupe. Você precisa verificar nessa lista se os arquivos estão marcados como seguros ou não.
011 — Grupos de Opções

Essa entrada mostra grupos de opções adicionais no Internet Explorer.
No Registro

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

No Disco-Observações-
Detalhes

Quando há um grupo novo de opções na aba “Avançado” das configurações do Internet Explorer, uma entrada O11 será exibida.
O11 - Options group: [CommonName] CommonName
Marcando a entrada, o grupo de opções vai sumir.
Observações

-
Como saber

Somente o CommonName (do exemplo) utiliza essa entrada. Portanto só marque se você ver a entrada do CommonName.
O12 — Plugins do IE

As entradas O12 representam plugins do Internet Explorer.
No Registro

HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins

No Disco-Observações-
Detalhes

Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador.
Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Observações

Essa entrada é raramente utilizada para objetivos malicioso, mas aparece com entradas legítimas com freqüência.

Como saber

A única maneira é fazendo uma busca na Internet. Os plugins da Onflow, que possuem uma extensão .OFB, são maliciosos.
O13 — Prefixos

Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o Internet Explorer.
No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix

No Disco-ObservaçõesExistem diversos prefixos diferentes que serão denominados no início da entrada
Detalhes

Os prefixos de URL são adicionados em todas as URLs que você visita sem definir o protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o protocolo, o Internet Explorer redireciona você automaticamente, adicionando um HTTP:// ou FTP:// no endereço. O navegador pode ser configurado para adicionar qualquer coisa antes do endereço.
O13 - WWW. Prefix: http://ehttp.cc/?
Esse prefixo, por exemplo, faz com que todas as URLs que começam com WWW sem o HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar www.example.com, você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba quais os sites que você visita. Se você digitar http://www.example.com, entretanto, nada vai acontecer.
Se você não consegue navegar devido aos redirecionamentos, tente colocar o HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados.
Observações

-
Como saber

Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve marcar a entrada.
O14 — Configurações Padrão do IE

As entradas O14 mostram as configurações do IE que serão ativadas quando você selecionar as opções padrão da Internet.
No Registro-No Disco

C:\WINDOWS\inf\iereset.inf

Observações-
Detalhes

O arquivo IERESET.INF guarda as configurações que serão usadas quando as configurações do Internet Explorer forem resetadas.
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um redirecionamento através do site da Microsoft.
Observações

-
Como saber

Faça como nas entradas R0.

O15 — Sites confiáveis

A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet Explorer.
No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\ProtocolDefaults

No Disco-Observações-
Detalhes

As entradas O15 mostram os sites presentes na lista de “Sites confiáveis” do Internet Explorer. Diversos hijackers se adicionam nessa lista para que possam executar livremente qualquer código no computador da vítima.
O15 - Trusted Zone: http://www.linhadefensiva.org
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um (HKLM) ao lado do site como:
O15 - Trusted Zone: http://www.linhadefensiva.org (HKLM)
Nesse caso é preciso baixar o DelDomains, clicar com o botão direito no DelDomains.inf e clicar em Instalar. Isso removerá todas as entradas presentes nos sites confiáveis e nos sites restritos. Portanto se você tinha alguma entrada nos sites restritos, é necessário adicioná-las novamente.
A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos, Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma entrada como a exibida abaixo:
O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone (HKLM)
Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiáveis!
Observações

O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains para remover as entradas que o HijackThis não consegue remover

Como saber

As entradas iniciadas com ProtocolDefaults são sempre ruins, então marque-as.
Já as entradas que listam sites, você deve verificar os sites como faz com as R0.
O16 — ActiveX

As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer (Downloaded Program Files).
No Registro

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

No Disco-ObservaçõesAs entradas O16 fazem o uso de GUIDs/CLSIDs
Detalhes

Essas entradas mostram os programas ActiveX instalados pelo usuário.
O16 - DPF: {11120607-1001-1111-1000-110199901123} - C:\x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab
Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornográficos e GAIN. Por outro lado, eles também são usados por programas legítimos, como antivírus online.
Observações

-
Como saber

O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins. Você pode usar a opção “Find” para procurar pelo CLSID no banco de dados do programa. Se ele estiver lá, é ruim.
Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela é provavelmente resultado da exploração de alguma falha no Internet Explorer e é, portanto, ruim.
Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem começa a usar o HijackThis (mas não seja enganado pelos sites falsos como akamai.downloadv3.com).
O17 — Configurações da rede

A entrada O17 lista diversas configurações de rede/Internet do Windows.
No RegistroO HijackThis exibe a chave de onde ele tirou a configuração em questãoNo Disco-ObservaçõesMarcar entradas O17 legítimas vão desconfigurar a rede!
Detalhes

Depois que o hijacker da C2Media começou a modificar as configurações de rede, o HijackThis adicionou a entrada O17 para exibir essas configurações. O HijackThis não consegue “consertar” as configurações da rede e apenas as apaga caso você marque e “corrija” a entrada.
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É importante lembrar que nem todos os computadores são reconfigurados automaticamente na ausência de um servidor de DNS.
A entrada O17 também exibe o nome de domínio ao qual o computador pertence, se estiver em um.
Observações

Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador da rede para saber como reconfigurá-la.
Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na Internet para efetuar a reconfiguração.

Como saber

Para servidores de DNS (como no exemplo), você precisa saber se os endereços pertencem ao seu provedor. O Brasil só utiliza endereços IP que iniciam com 200 e 201, portanto qualquer outro endereço provavelmente é ruim. Na dúvida, fale com seu provedor.
Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu provedor ou administrador de rede.
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br
Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu provedor ou administrador de rede se há um domínio configurado para o seu sistema e se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim.
Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis.

Draacola · 26-01-2007, 5:02

O18 — Protocolos e MIMEs

Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.
No Registro

HKLM\SOFTWARE\Classes\PROTOCOLS\
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

No Disco-ObservaçõesPara entender algumas entradas aqui você precisa saber o que são tipos MIME.
Detalhes

Os hijackers de protocolo podem controlar o modo pelo qual certas informações trafegam pelo computador.
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Já os hijackers de tipos MIME podem controlar as informações de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir anúncios publicitários indevidamente.
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\SYSTEM\XPLUGIN.DLL
Observações

Alguns programas instalam protocolos extras, então nem sempre essa entrada é ruim

Como saber

Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo. Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.
O19 — Folhas de Estilo

Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.
No Registro

[HKCU\Software\Microsoft\Internet Explorer\Styles]
User Stylesheets

No Disco-Observações-
Detalhes

As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado através de folhas de estilo e por isso alguns hijackers começaram a usar as folhas de estilo.
O19 - User style sheet: c:\WINDOWS\Java\my.css
Observações

Assim como nas demais entradas, o HijackThis não apaga o arquivo listado

Como saber

Se você não configurou uma folha de estilos no IE, marque.
O20 — Inicialização Problemática

A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.
No Registro

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

No Disco-ObservaçõesEssa entrada lista dois métodos raríssimos de inicialização que merecem extremo cuidado
Detalhes

A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.
O AppInit_DLLs é chamado quando qualquer programa é executado, ou seja, toda vez que você executa um programa, o AppInit é executado também. Muitas vezes a chave do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente é usado por infecções de CoolWebSearch.
O20 - AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll
O WinLogon Notify é executado quando você faz logon no Windows. É usado por infecções Look2Me e trojans HaxDoor.
O20 - Winlogon Notify: drct16 - drct16.dll
Observações

Não é recomendável usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor malicioso, ambos serão removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, é sempre recomendável editar a chave AppInit_DLLs manualmente no registro.
Se não for possível editar a chave AppInit, é necessário renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, não a pasta Windows).

Como saber

Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você pode também procurar informações na Internet.
Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete on Reboot ou Replace on Reboot.
O21, O22 — Inicialização pelo Shell

As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o Windows.
No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\SharedTaskScheduler

No Disco-ObservaçõesUtilizam CLSIDs
Detalhes

A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam inclusive no Modo de Segurança.
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Observações

Essas entradas funcionam em modo de segurança
Esses métodos de inicialização não são documentados pela Microsoft

Como saber

Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no arquivo, se houver dúvidas.
Adwares têm utilizado entradas O21 com freqüência.
O23 — Serviços NT

As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003.
No Registro

HKLM\SYSTEM\CurrentControlSet\Services

No Disco-ObservaçõesO HijackThis não lista drivers, apenas serviços
Detalhes

A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam essa entrada sabem se disfarçar de uma maneira bem inteligente.
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Entre os parênteses o HijackThis exibe o nome interno do serviço.
Observações

É importante parar o serviço relevante antes de marcar sua entrada. Clique em Iniciar -> Executar, digite services.msc e clique em OK. Lá você poderá desativar e parar o serviço que você vai marcar no HijackThis
Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo
Para apagar serviços, use o Delete an NT Service das ferramentas do HijackThis
O HijackThis não apaga o arquivo

Como saber

Existem duas listas principais para entradas O23:

Para remover os arquivos em entradas O23, recomenda-se o uso do Delete on Reboot, seja do HijackThis na seção Misc Tools ou com o KillBox.

Depois da Limpeza

Depois que você finalizou a limpeza marcando as entradas no HijackThis, é importante que você utilize anti-spywares como Ad-Aware para limpar os arquivos restantes. Antivírus online, como o Housecall, podem ser úteis também.
É importante também desativar e reativar a Restauração do Sistema. Ao desativá-la, você apagará todos os arquivos que ela salvou dos trojans que infectaram o seu sistema. Quando você reativar, ela estará limpa e pronta para funcionar, sem fazer com que o seu antivírus encontre trojans na pasta System Volume Information.
Eu Odeio Listas Brancas

O HijackThis possui uma opção via linha de comando chamada “Eu Odeio Listas Brancas”. O HijackThis esconde diversas entradas que ele sabe que são seguras usando uma “lista branca”. Isso diminui o tamanho do log e facilita a sua análise.
Se você abrir o HijackThis por meio de uma linha de comando (usando a opção Executar, por exemplo) e adicionar, ao final, o comando /ihatewhitelists , essas entradas protegidas pela “lista branca” serão exibidas. Todas as entradas a mais exibidas quando essa opção está ativa são seguras e não devem ser marcadas.
Essa opção só foi listada aqui para que o HijackThis Completo seja mesmo completo, mas não há qualquer razão para usá-la.
Conclusão

O HijackThis, por ser um programa poderoso, torna-se também complexo e perigoso. Tenha muito cuidado ao utilizar o HijackThis para apagar coisas que você não sabe. Se precisar de ajuda, você poderá tirar suas dúvidas em nosso fórum.
Para utilizar o HijackThis com toda a sua capacidade é necessário conhecimento sobre as últimas pragas que circulam pela Internet, saber como elas funcionam e como as mesmas fazem para permanecer no sistema. Sabendo isso, você pode usar o HijackThis para eliminar a infecção de forma simples e rápida.
O HijackThis não é, de qualquer forma, substituto para os anti-spywares. Ele é capaz de acabar com a infecção ativa no sistema, mas não é capaz de limpar as dezenas de arquivos que as pragas criam enquanto fazem o seu trabalho sujo.
Infelizmente, mesmo com esse tutorial, identificar as infecções pode ser um trabalho complicado. Continue estudando!

creditos: http://linhadefensiva.uol.com.br/doc...this-completo/

AxlTales · 26-01-2007, 10:03

Woot! Muito bom, Draacola. Agora eu posso fuçar os HijackThis mais um pouco.

Será que a moderação transforma este num Sticky?

Lucasg3 · 26-01-2007, 12:53

Esqueceu de colocar a fonte do tutorial. XD

http://linhadefensiva.uol.com.br/doc...this-completo/

ABRAÇOS...

26-01-2007, 4:52	#1 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	Hijackthis Tutorial agora todos aprendem de vez como utilizar o programa.. ^^ Ao abrir o HijackThis você será apresentado com a tela de “QuickStart”. Nota: Se a tela acima não for apresentada, você marcou a última caixa para que ela não seja mais mostrada ou você está usando uma versão antiga do HijackThis. Clique em ‘None of the above, just start the program’. Você verá a tela principal do HijackThis. Se você clicar em ‘Scan’, você verá as entradas detectadas pelo HijackThis. O “Scan” é basicamente um processo onde o HijackThis busca no registro várias informações sobre o sistema, como os ActiveX, BHOs e outros. Se você selecionar a opção “Do a system scan only” no menu principal ele automaticamente faz esse exame, não sendo necessário clicar em “Scan”. Ao selecionar uma entrada, você pode clicar no botão “Info on selected item” para que o HijackThis lhe dê mais informações sobre a entrada selecionada. Você também pode marcar certas entradas e então clicar no botão “Add checked to ignorelist” para que o HijackThis ignore estas entradas no futuro e não mostre-as no log. Note que o botão “Scan” se tornou o botão “Save Log”. Ao clicar no botão “Save Log”, o HijackThis vai salvar um arquivo de log com as informações apresentadas mais a informação dos processos que estão rodando. O HijackThis vai lhe pedir o nome e o local do arquivo para salvar. É o mesmo que selecionar o botão “Do a system scan and save a logfile” no menu principal, porém se você selecionar o botão no menu principal o HijackThis automaticamente salva o log em um arquivo chamado “hijckthis.log” e aqui ele lhe dá a opção para escolher o local onde você quer salvar o arquivo do log. Quando você marcar determinadas entradas e clicar em Fix Checked o HijackThis vai tomar diferentes providências, dependendo da entrada. Se você clicar em “Info on selected item” o HijackThis lhe diz o que ele vai fazer — nós veremos cada tipo de entrada em detalhe mais tarde. O botão “Info” apresenta informações genéricas do HijackThis, incluindo uma breve explicação de cada entrada e um changelog (arquivo que detalha as mudanças que um programa recebeu em cada versão). __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

26-01-2007, 4:53	#2 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	O botão Config Ao clicar no botão “Config”, a tela de configurações do HijackThis aparece, com quatro abas no topo: Main, Ignorelist, Backups, Misc Tools. Main Na aba Main podemos encontrar várias configurações do HijackThis. Mark everything found for fixing after scan — Caso marcada, ela faz com que todos os itens encontrados no HijackThis sejam marcados. Use esta opção caso um log esteja muito infectado e seja mais fácil desmarcar algumas entradas do que marcar todas as opções infectadas. Make backups before fixing items — faz backups antes de consertar alguma entrada. Muito útil, recomenda-se deixar marcado. Confirm fixing & ignoring of items (safe mode) — se desmarcada, essa opção retira as telas de confirmação quando você for ignorar ou consertar qualquer entrada. Ignore non-standard but safe domains in IE — uma pequnea ‘lista branca’ que filtra entradas R1/R0. Se desmarcada, todos os itens R1/R0 serão exibidos, mesmo que contenham domínios populares e marcados como seguros. Essa opção, quando marcada, ajuda o log a ficar menor e mais limpo. Include list of running processes in logfiles — se desmarcada, o HijackThis não incluirá a lista de processos rodando no log. A lista de processos pode ser vista no Gerenciador de Tarefas no Windows NT/2000/XP por meio de ferramentas adicionais no Windows 9x/ME. É recomendado deixar esta opção marcada, já que informação nunca é demais. Show Intro frame at startup — se desmarcada, esta opção retira a tela de inicialização, ou seja, desmarcar essa opção tem o mesmo efeito que marcar o “Don’t show this frame again when I start HijackThis” na tela de boas-vindas. Marcá-la ou não depende apenas de sua preferência. Run HijackThis scan at startup and… — ao marcar esta opção, o HijackThis se inclui nas entradas de inicialização automática do Windows. Assim ele pode scanear o sistema logo ao iniciar, pegando entradas que se escondem automaticamente depois de um curto período de tempo e que não poderíam ser incluídas no log se ele for feito depois que o sistema estiver completamente inicializado. Essa opção geralmente não é muito útil, mas vale a pena mencioná-la mesmo assim. As opções a seguir são os padrões que o HijackThis utiliza quando você conserta certos itens referentes ao Internet Explorer: Default Start Page — a página inicial padrão que o HijackThis colocará no Internet Explorer após zerar as entradas da página inicial. Preferência do usuário. Default Search Page — a página de busca padrão usada pelo Internet Explorer. Como essa entrada é normalmente modificada por hijackers, o HijackThis precisa de um valor para consertá-la. Você pode configurar o valor usado através dessa opção. Default Search Assistant — ‘Assistente de Busca’ do Internet Explorer. Default Search Customize — ‘Personalização de Busca’ do Internet Explorer. Aba Ignorelist Na aba ‘Ignorelist’ você pode encontrar os itens ignorados através do botão “Add checked to ignorelist”. É recomendado que você limpe essa lista usando o botão “Delete all” após instalar uma nova versão do HijackThis. As entradas removidas aqui não serão excluídas, mas sim retiradas da lista de itens ignorados do HijackThis para que estas voltem a aparecer no log normalmente. Aba Backups Caso a opção “Make backups before fixing items” esteja marcada na aba “Main” (e ela está marcada por padrão), o HijackThis cria backups de todos os itens marcados. Nesta tela você pode apagar backups individuais usando o botão “Delete”, apagar todos os itens com o botão “Delete all” ou, caso queira alguma entrada de volta no seu lugar, usar o botão “Restore”. Use esta tela sempre que algum programa ou recurso do sistema parar de funcionar após o HijackThis ter sido usado. __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

26-01-2007, 4:54	#3 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	Misc Tools Uma das melhores coisas sobre o HijackThis é que ele possui um kit razoavelmente completo para a manutenção do sistema. Além de poder limpar áreas problemáticas do registro, ele possui diversas ferramentas adicionais que dispensam a necessidade de instalar ou baixar ferramentas adicionais. Generate Startuplist Log Open Process Manager Open hosts file manager Delete a file on reboot Delete an NT service Open ADS Spy Open Uninstall Manager Advanced Settings Check for Update online Uninstall HijackThis & Exit Generate Startuplist Log O primeiro botão que vemos nessa tela é o ‘Generate startuplist log’. Este botão gera um log do programa StartupList, também desenvolvido pelo mesmo Merijn que criou o HijackThis. O Startup List mostra todos os itens possíveis de inicialização de programas no Windows, incluindo diversas áreas que não são exibidas pelo HijackThis. Por outro lado, o Startup List não nos dá a opção para corrigir qualquer coisa encontrada. As duas caixas presentes ao lado do botão fazem com que o log do Startup List seja mais completo — é recomendado marcá-las sempre antes de fazer um log do Startup List. Nota: O Startup List é uma ferramenta muito avançada. Por ser um programa adicional, a interpretação de logs startuplist não será incluída neste documento. Open Process Manager Depois vemos o botão “Open Process Manager”. Ao clicar, o “Itty Bitty Process Manager” será aberto. Este programa é muito útil principalmente nos Windows 9x e ME, pois o Gerenciador Tarefas deles é muito simples e não inclui os programas registrados como processos. Embora exiba menos informações que o gerenciador de processos padrão do Windows, ele permite que mais de um processo seja selecionado (usando as teclas CTRL e SHIFT) e inclui a opção “Show DLLs”, que cria um novo painel onde é exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados são chamados de módulos e alguns trojans se injetam como módulos em processos de sistema para serem executados sem um processo visível na lista normal. Isso é muito raro, portanto a maioria dos DLLs listados são seguros. O botão “Kill Process” finaliza o(s) processo(s) selecionado(s). O botão “Refresh” atualiza a lista de processos e o botão “Run” inicia um programa ou processo da mesma maneira que o botão “Nova Tarefa” do Gerenciador de Tarefas. Ele também possui dois ícones ao lado da opção “Show DLLs” O primeiro (da esquerda para a direita) é o “Copy list do clipboard” que copia a lista de processos para que você possa “Colar” ela em qualquer lugar. O ícone do disquete salva a lista para um arquivo texto. Open hosts file manager Este é um pequeno programa para editar o arquivo HOSTS. Depois de selecioná-lo, utilize o botão “Open in Notepad” para abrir o arquivo no Bloco de Notas onde é muito mais fácil gerenciar o arquivo HOSTS. Como referencia, o botão “Delete line(s)” apaga a(s) linha(s) selecionada(s) e o botão Toggle Line(s) tira ou coloca um ‘#’ no início da linha. Leia o documento sobre o HOSTS para entender mais sobre isso. Delete a file on reboot… Provavelmente uma das ferramentas mais simples e úteis. O Windows possui um recurso chamado PendingFileRenameOperations que pode executar operações com os arquivos (tais como apagar, renomear e mover) antes que o sistema seja completamente iniciado. Isso pode ser usado para apagar arquivos que o Windows sempre afirma estarem “em uso”. É útil para remover cavalos de tróia antes que eles sejam inicializados, sem dar chance para que eles tentem se proteger. Após selecionar o botão, tudo que você precisa é selecionar o arquivo a ser apagado (ou copiar & colar o caminho completo do arquivo) e clicar em ‘Abrir’. Após isso, o HijackThis vai perguntar se você quer reiniciar o Windows. Na maioria das situações, você vai querer responder ‘Não’ para reiniciar manualmente mais tarde. O Pocket KillBox possui mais opções baseadas nesse recurso do Windows, incluindo opções de troca de arquivos, que possuem mais chance de funcionar do que operações que só excluem os arquivos. Delete an NT service Vários trojans recentes se instalam através de serviços do Windows NT. Mesmo que um antivírus ou anti-spyware remova o arquivo iniciado pelo serviço, este ainda será listado nas ferramentas administrativas junto com os demais. É com esta ferramenta que o HijackThis pode apagar um serviço para você. Você pode usar o nome completo de exibição do serviço ou o nome verdadeiro do serviço. Note que os ‘Serviços’ só estão disponíveis no Windows NT/2000/XP. Para obter a lista de serviços no seu sistema, clique em Iniciar -> Executar, digite services.msc e clique em OK. Clique com o botão direito no serviço que você quer apagar e clique em “Propriedades”. Você pode usar tanto o “Nome para exibição” quanto o “Nome do serviço” no HijackThis para removê-lo da lista. Nota: Tome extremo cuidado ao utilizar essa ferramenta! Não é possível recuperar os serviços depois que eles foram removidos! Open ADS Spy… Essa é uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data Streams (ADS). Ela está disponível separadamente no site de Merijn. Se opção do Quick scan for marcada, somente a pasta do Windows será examinada. A opção ‘Ignore safe system info streams’ ignora entradas ADS geralmente seguras, como a informação colocada na aba “Resumo” dos arquivos. Já a opção para calcular MD5 deve ser apenas utilizada se você quiser desenvolver ferramentas para a remoção de um certo tipo de malware. Nem todos os ADS encontrados são maliciosos. Mesmo se a opção ‘Ignore safe system info streams’ estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como streams utilizadas por antivírus. Faça sempre uma pesquisa antes de apagar qualquer stream. Veja nosso documento sobre streams para saber mais. Open Uninstall Manager Muitos programas, após desinstalados, deixam entradas na lista do Adicionar/Remover Programas. Se isso não fosse o suficiente, vários trojans (principalmente hijackers) começaram a incluir entradas no Adicionar/Remover Programas para, supostamente, desinstalá-los do sistema. A realidade é que geralmente estas entradas não funcionam e, após o usuário remover o problema manualmente , ficam aquelas entradas na lista. Com esta opção você pode retirá-los de lá. Para apagar uma entrada é necessário selecionar a opção “Delete this entry” e então confirmar a ação clicando em Sim. A opção para ‘Editar comando’ edita o caminho para o programa executado pelo Windows para desinstalar o software selecionado — é recomendado que você não troque os comandos sem ter certeza absoluta do que está fazendo. Advanced Settings Depois da lista de ferramentas, o HijackThis lista duas opções avançadas: Calculate MD5 of files if possible Include environment variables in logfile A primeira opção coloca o MD5 dos arquivos para incluir no relatório/log. Isso é apenas útil se você sabe o hash MD5 do arquivo que você quer remover ou está desenvolvendo uma ferramenta para a remoção dos arquivos. A segunda opção inclui variáveis de ambiente, como a localização da pasta Windows e a localização do arquivo HOSTs — nada muito útil. Check for Update online O HijackThis pode verificar a existência de uma nova versão do HijackThis nos servidores da SpywareInfo — basta clicar neste botão. Se você utiliza um proxy para a conexão, você pode definí-lo na caixa de texto logo abaixo do botão. Uninstall HijackThis & Exit Para salvar todas as configurações definidas, o HijackThis cria diversas chaves no registro. Com este botão, o HijackThis apaga essas chaves. Note que o arquivo do HijackThis não é removido e nem os backups são removidos. A Ignore List, por outro lado, é removida. __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

26-01-2007, 4:55	#4 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	O log do HijackThis É importante que você leia todas as páginas anteriores antes das informações que seguem. CLSIDs Um CLSID é um programa registrado no Windows. Ele possui um identificador único (GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de GUID: {8E718888-423F-11D2-876E-00A0C9082467} Nota: Os GUIDs usam qualquer letra entre A-F e qualquer número, mas eles estão sempre nesse formato (8-4-4-4-12). O Windows usa isso como “referência” no registro. Por exemplo, uma chave de um plugin para o Internet Explorer, ao invés de referenciar diretamente um arquivo que será carregado, ela referencia o GUID X. No registro dos CLSIDs — HKCR\CLSID — o GUID X está presente e informando qual o arquivo será executado e algumas opções para sua executação. O HijackThis apresenta os CLSIDs e os arquivos que eles referenciam automaticamente. Como os GUIDs são únicos e os arquivos ao qual eles apontam muitas vezes é aleatório, você pode procurar informações da praga usando o GUID (se ela utiliza um). Desse modo você conseguirá saber sobre a entrada mesmo que o arquivo não tenha sido encontrado pelo HijackThis ou se o arquivo mudou devido a uma nova versão do programa que usa aquele GUID. Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o arquivo real que será executado. Como muitas vezes o mesmo programa pode usar arquivos diferentes em versões distintas, mas usa o mesmo GUID, fica mais fácil, em algumas ocasiões, obter informações usando o GUID ao invés do arquivo. As entradas que tiverem seqüências como a exibida acima usam esse sistema de CLSIDs (Class IDs) do Windows. O Início do log O log do HijackThis possui diversos elementos. O primeiro deles é o cabeçalho, onde é incluída a versão do HijackThis, a data, a versão do sistema, a versão do Internet Explorer e as variáveis de ambiente, se a opção foi marcada na aba “Misc Tools”. Logfile of HijackThis v1.99.1 Scan saved at 21:47:33, on 13/3/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Na primeira linha está a versão do HijackThis. É muito importante que você esteja usando a versão mais recente para evitar erros e ver todas as entradas descritas aqui. A data apresentada no HijackThis respeita as configurações inseridas nas “Opções Regionais” do Painel de Controle, portanto em um sistema em inglês é bem provável que o mês/dia estejam invertidos. Caso a opção para mostrar as variáveis de ambiente esteja selecionada, o cabeçalho incluirá as seguintes informações: Windows folder: C:\WINNT [pasta do Windows] System folder: C:\WINNT\SYSTEM32 [pasta do sistema] Hosts file: C:\WINNT\System32\drivers\etc\hosts [localização do hosts] Logo em seguida o HijackThis inclui uma lista dos processos em execução. Essa lista só será incluída se a opção ‘Include list of running process in logfiles’ estiver marcada na aba Main. Esta opção está marcada por padrão. Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe Você pode usar o gerenciador de processos dentro do HijackThis ou o Gerenciador de Tarefas do Windows 2000/XP para encerrar processos ruins. No Windows 9x/Me você deve usar o do HijackThis, já que o CTRL+ALT+DEL não apresenta todos os processos. Para determinar se um processo é bom ou ruim, você deve usar o bom senso para determinar o que é suspeito e o que não é. Isso pode ser difícil e é por este motivo que recomendamos cautela com o HijackThis. Existem várias bibliotecas online com listas do que é bom e o que é ruim. Nós também temos uma lista de processos, mas geralmente você não deve se basear somente em listas porque muitas vezes você encontrará um processo que não está em lista alguma. Além disso, os adwares recentes infectam processos legítimos. Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de scanner é extremamente útil para determinar quais processos são bons ou ruins, além de várias outras entradas no log, que veremos mais a frente. Note que a lista de processos não é apresentada na tela principal do HijackThis, apenas no log. Ao invés de finalizar os processos é geralmente recomendado que você utilize o Modo de Segurança, onde a maioria dos processos ruins não são executados. Por que é importante que os processos não estejam rodando? Se você tentar remover um trojan enquanto ele estiver rodando como processo (na memória), você pode bater em duas paredes: Não será possível apagar o arquivo (ele está sendo usado pelo Windows) Ao apagar a chave dele no registro, ela será recriada instantaneamente Nossa sugestão é sempre usar o Modo de Segurança e, caso os processos ainda estejam rodando no Modo de Segurança, finalize-os lá e então execute a correção ainda no Modo de Segurança. Após o fim da lista de processos, começamos com as entradas do HijackThis. As entradas no log do HijackThis O log do HijackThis é divididos em vários grupos identificados unicamente pelos primeiros caracteres da linha, por exemplo: O2 - … O identificador é sempre seguido de um espaço e um traço. Por este motivo, é correto dizer que o identificador são todos os caracteres antes do primeiro traço. Nas páginas a seguir você verá os identificadores e saberá o que cada um significa. Antes disso, porém, é recomendado você saiba como interpretar caminhos do registro. __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

26-01-2007, 4:57	#5 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	R0, R1, R3 — Configurações do IE Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas listam a página inicial, a página padrão de busca e outros. No Registro HKLM\Software\Microsoft\Internet Explorer\Main HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search HKLM\Software\Microsoft\Internet Explorer\Search Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará seus valores também. No Disco-ObservaçõesO (obfuscated) ao lado de uma entrada significa que a mesma está em valor hexadecial e que o HijackThis a converteu para um formato legível. Detalhes Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é bom ou ruim. Se for ruim ou indesejado, você marca. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ Nesse caso, o Google é seguro, portanto não há problema. Também há as R3, SearchHook: R3 - Default URLSearchHook is missing R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Um (file missing) ao lado do nome do arquivo significa que o HijackThis não encontrou o arquivo no disco. Observações Existe uma entrada que você deve ter cuidado. A que trata de proxies: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = https:// O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns utilizam proxies locais. Se o proxy estiver com um endereço interno da rede, como 192.168.0.1, é provável que a entrada seja legítima. Se a entrada for legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser recuperada através do backup do HijackThis). O ProxyOverride significa que ele não será usado em URLs que começam com https (SSL). Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo. Como saber Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada iniciar com res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questão para ver se são maliciosos ou não. Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente você saberá do que se trata. Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema. F0, F1, F2, F3 — Inicialização Rara Essas entradas mostram os arquivos que serão iniciados com o Windows por meio dos arquivos INI do sistema. No Registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping No Disco c:\windows\system.ini c:\windows\win.ini ObservaçõesÉ raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo. Detalhes A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha qualquer visual. Um exemplo de shell alternativo é o Litestep. É possível que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe é listado junto com este outro ’shell’, este outro shell na verdade é um trojan. F0 - system.ini: Shell=Explorer.exe programa-ruim.exe F2 - REG:system.ini: Shell=explorer.exe programa-ruim.exe programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também, tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma vírgula. F2 - REG:system.ini: UserInit=userinit.exe, programa-ruim.exe E aí temos o Load e o Run do Win.ini: F1 - win.ini: run=arquivo.exe F3 - REG:win.ini: run=arquivo.exe Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela. Observações É necessário um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legítimo é feito por drivers e outros programas críticos ao bom funcionamento do sistema Como saber Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos, envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou não, ou apenas use seu antivírus favorito. N1, N2, N3, N4 — Configurações do Netscape Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do Netscape. No Registro-No Discoprefs.jsObservaçõesCada entrada se refere a uma versão diferente do navegador, mas apresentam os mesmos dados. Detalhes A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla. N1 - Netscape 4: user_pref(”browser.startup.homepage”, “www.google.com”); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) Observações - Como saber Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0. __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

		FórumGdH > Software, Segurança e Mac (Apple) > Windows
Hijackthis Tutorial

26-01-2007, 4:58	#6 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	O1 — Hosts Essa entrada lista todos os redirecionamentos do arquivo HOSTS. No Registro [HKLM\System\CurrentControlSet\Services\Tcpip\Param eters] DatabasePath No Disco %WINDIR%\hosts [Windows 9x/ME] %WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP] Onde %windir% é a pasta do Windows. Essa é a localização padrão do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar. ObservaçõesAlguns administradores usam arquivos HOSTS em redes internas. Detalhes Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona. O1 - Hosts: 0.0.0.0 www.google.com Observações Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas. Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1 vai mostrar onde o arquivo Hosts está localizado. O1 - Hosts file is located at C:\Windows\Help\hosts Como saber Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster. 02, O3 — Programas do IE As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais. No Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ Browser Helper Objects HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar No Disco-ObservaçõesEssas entradas funcionam através de CLSIDs Detalhes Os BHOs são usados principalmente por hijackers para trocar a página inicial e monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca diferente do qual ele está acostumado a usar. O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll Observações Se em vez do nome você ver um (no name), a entrada não possui um nome Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo associado Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não encontrou o arquivo no disco Ao consertar uma entrada O2, a chave no registro é apagada e o arquivo é removido. Esta é a única entrada que o HijackThis se encarrega de apagar o arquivo mencionado (e a O4 Startup, que é um caso especial). Importante: As primeiras três observações acima valem para diversas outras entradas! Se você ver (no name), (no file) ou (file missing) você já sabe o que significa. Como saber Existem diversas listas especializadas em BHOs e Toolbars na Internet. Uma boa referência é a lista da CastleCops, mas existem diversas outras: basta procurar na Internet pela seqüencia entre as chaves (não inclua as chaves em si) ou pelo nome do arquivo. O4 — Inicialização do Sistema A entrada O4 é uma das entradas mais importantes exibidas pelo HijackThis. Ela lista diversas chaves do registro que são tipicamente usadas para iniciar programas junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’, que também pode ser usada para iniciar aplicativos e, portanto, trojans. No Registro HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run No DiscoA pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia dependendo da versão do sistema e do nome do usuário.ObservaçõesOs arquivos mencionados nessas entradas geralmente também estão presentes na lista de processos Detalhes No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Iniciar do menu iniciar. O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O valor entre os colchetes é o nome da propriedade do registro presente na chave denominada no início da linha. No exemplo, existe a propriedade “nwiz” na chave Run do HKLM (veja a lista de chaves usadas na tabela acima para saber o caminho completo até a chave). Observações O HijackThis não apaga o arquivo relacionado com a entrada, com exceção das O4 do tipo “Startup”. Como as entradas Startup são apenas os arquivos na pasta “Inicializar”, a única maneira de remover o arquivo da inicialização é apagando-o. Note no entanto que a maioria dos programas legítimos usa apenas um atalho (arquivo .lnk), como o Adobe Reader acima. Nesse caso o HijackThis apaga apenas o .lnk para retirar o arquivo da inicialização. O HijackThis não verifica se o arquivo existe, portanto não haverá um (file missing) Como saber Embora seja um pouco difícil saber quais as entradas são falsas e quais são legítimas, isso pode ser feito de algumas maneiras: Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo Verifique as propriedades do arquivo para saber mais sobre o mesmo Procure na Internet em listas como AnswersThatWork e CastleCops Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo. Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME). O5, O6, O7 — Restrições A presença de uma dessas entradas demonstra que algumas restrições foram colocadas no sistema. No Registro HKCU\Software\Policies\Microsoft\Internet Explorer\ Restrictions HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ System No Disco control.ini Observações- Detalhes Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas no Painel de Controle. A presença de uma O6 indica que algumas outras opções no Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é incapaz de executar o editor de registro do Windows. O5 - control.ini: inetcpl.cpl=no Observações - Como saber Se você ou o administrador da sua rede não colocou essas restrições, marque as entradas. __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

26-01-2007, 4:59	#7 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	O8, O9 — Novas Opções As entradas O8 e O9 indicam novas opções no Internet Explorer. No Registro HKCU\Software\Microsoft\Internet Explorer\MenuExt HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions No Disco-Observações- Detalhes As entradas O8 se tratam de novas opções no menu de contexto (clique inverso), enquanto entradas O9 aparecerão quando houver botões adicionais na barra de ferramentas ou no menu Ferramentas do Internet Explorer. O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O9 - Extra button: Messenger (HKLM) O9 - Extra ‘Tools’ menuitem: Messenger (HKLM) Observações - Como saber Algumas entradas O9 estão no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para verificar, fica mais fácil. O10 — LSP Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao arquivo encontrado será exibida. No RegistroHKLM\SYSTEM\CurrentControlSet\Services\Win Sock2\ParametersNo Disco-ObservaçõesEssa entrada não deve ser marcada no HijackThis! Detalhes Entradas O10 são referentes aos Provedores de Serviço em Camada (Layered Service Providers) — LSP. Sempre que o HijackThis encontrar algum LSP que ele não conhece, uma entrada O10 irá aparecer no log. Se o HijackThis encontrar LSPs do New.net ou do webHancer, entradas específicas para essas infecções serão mostradas, porém não é recomendado marcá-las. A utilização de um programa de desinstalação é preferível. Qualquer outra entradas O10 simboliza arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram que alguns arquivos referenciados no registro não estão presentes, o que significa que a conexão com a Internet pode não estar funcionando. O documento sobre LSPs entra em mais detalhes sobre a utilização e funcionamento dos LSPs. O10 - Broken Internet access because of LSP provider ‘imon.dll’ is missing Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e não marque nada no HijackThis. Nota: A presença de uma O10 não necessariamente significa que há algo errado, apenas que o HijackThis encontrou um arquivo que ele não conhece. Observações O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes. Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a “corrente/escada LSP está quebrada”, como no exemplo acima, quando na verdade tudo vai bem. Verifique você mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença a um programa seguro, você deve deixar tudo como está, pois o “problema” é apenas um erro no HijackThis. Se a entrada pertence a um programa malicioso, basta remover usando o LSPFix. Nenhuma entrada O10 deve ser marcada no HijackThis. Como saber Existe a lista de LSPs do Zupe. Você precisa verificar nessa lista se os arquivos estão marcados como seguros ou não. 011 — Grupos de Opções Essa entrada mostra grupos de opções adicionais no Internet Explorer. No Registro HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions No Disco-Observações- Detalhes Quando há um grupo novo de opções na aba “Avançado” das configurações do Internet Explorer, uma entrada O11 será exibida. O11 - Options group: [CommonName] CommonName Marcando a entrada, o grupo de opções vai sumir. Observações - Como saber Somente o CommonName (do exemplo) utiliza essa entrada. Portanto só marque se você ver a entrada do CommonName. O12 — Plugins do IE As entradas O12 representam plugins do Internet Explorer. No Registro HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins No Disco-Observações- Detalhes Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador. Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Observações Essa entrada é raramente utilizada para objetivos malicioso, mas aparece com entradas legítimas com freqüência. Como saber A única maneira é fazendo uma busca na Internet. Os plugins da Onflow, que possuem uma extensão .OFB, são maliciosos. O13 — Prefixos Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o Internet Explorer. No Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix No Disco-ObservaçõesExistem diversos prefixos diferentes que serão denominados no início da entrada Detalhes Os prefixos de URL são adicionados em todas as URLs que você visita sem definir o protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o protocolo, o Internet Explorer redireciona você automaticamente, adicionando um HTTP:// ou FTP:// no endereço. O navegador pode ser configurado para adicionar qualquer coisa antes do endereço. O13 - WWW. Prefix: http://ehttp.cc/? Esse prefixo, por exemplo, faz com que todas as URLs que começam com WWW sem o HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar www.example.com, você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba quais os sites que você visita. Se você digitar http://www.example.com, entretanto, nada vai acontecer. Se você não consegue navegar devido aos redirecionamentos, tente colocar o HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados. Observações - Como saber Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve marcar a entrada. O14 — Configurações Padrão do IE As entradas O14 mostram as configurações do IE que serão ativadas quando você selecionar as opções padrão da Internet. No Registro-No Disco C:\WINDOWS\inf\iereset.inf Observações- Detalhes O arquivo IERESET.INF guarda as configurações que serão usadas quando as configurações do Internet Explorer forem resetadas. O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um redirecionamento através do site da Microsoft. Observações - Como saber Faça como nas entradas R0. O15 — Sites confiáveis A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet Explorer. No Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\ProtocolDefaults No Disco-Observações- Detalhes As entradas O15 mostram os sites presentes na lista de “Sites confiáveis” do Internet Explorer. Diversos hijackers se adicionam nessa lista para que possam executar livremente qualquer código no computador da vítima. O15 - Trusted Zone: http://www.linhadefensiva.org O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um (HKLM) ao lado do site como: O15 - Trusted Zone: http://www.linhadefensiva.org (HKLM) Nesse caso é preciso baixar o DelDomains, clicar com o botão direito no DelDomains.inf e clicar em Instalar. Isso removerá todas as entradas presentes nos sites confiáveis e nos sites restritos. Portanto se você tinha alguma entrada nos sites restritos, é necessário adicioná-las novamente. A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos, Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma entrada como a exibida abaixo: O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone (HKLM) Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiáveis! Observações O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains para remover as entradas que o HijackThis não consegue remover Como saber As entradas iniciadas com ProtocolDefaults são sempre ruins, então marque-as. Já as entradas que listam sites, você deve verificar os sites como faz com as R0. O16 — ActiveX As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer (Downloaded Program Files). No Registro HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units No Disco-ObservaçõesAs entradas O16 fazem o uso de GUIDs/CLSIDs Detalhes Essas entradas mostram os programas ActiveX instalados pelo usuário. O16 - DPF: {11120607-1001-1111-1000-110199901123} - C:\x.cab O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornográficos e GAIN. Por outro lado, eles também são usados por programas legítimos, como antivírus online. Observações - Como saber O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins. Você pode usar a opção “Find” para procurar pelo CLSID no banco de dados do programa. Se ele estiver lá, é ruim. Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela é provavelmente resultado da exploração de alguma falha no Internet Explorer e é, portanto, ruim. Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem começa a usar o HijackThis (mas não seja enganado pelos sites falsos como akamai.downloadv3.com). O17 — Configurações da rede A entrada O17 lista diversas configurações de rede/Internet do Windows. No RegistroO HijackThis exibe a chave de onde ele tirou a configuração em questãoNo Disco-ObservaçõesMarcar entradas O17 legítimas vão desconfigurar a rede! Detalhes Depois que o hijacker da C2Media começou a modificar as configurações de rede, o HijackThis adicionou a entrada O17 para exibir essas configurações. O HijackThis não consegue “consertar” as configurações da rede e apenas as apaga caso você marque e “corrija” a entrada. 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É importante lembrar que nem todos os computadores são reconfigurados automaticamente na ausência de um servidor de DNS. A entrada O17 também exibe o nome de domínio ao qual o computador pertence, se estiver em um. Observações Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador da rede para saber como reconfigurá-la. Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na Internet para efetuar a reconfiguração. Como saber Para servidores de DNS (como no exemplo), você precisa saber se os endereços pertencem ao seu provedor. O Brasil só utiliza endereços IP que iniciam com 200 e 201, portanto qualquer outro endereço provavelmente é ruim. Na dúvida, fale com seu provedor. Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu provedor ou administrador de rede. O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu provedor ou administrador de rede se há um domínio configurado para o seu sistema e se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim. Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis. __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/

26-01-2007, 5:02	#8 (permalink)
Draacola Membro Senior Registrado em: Dec 2006 Mensagens: 374 Reputação: 8	O18 — Protocolos e MIMEs Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME. No Registro HKLM\SOFTWARE\Classes\PROTOCOLS\ HKLM\SOFTWARE\Classes\CLSID HKLM\SOFTWARE\Classes\PROTOCOLS\Handler HKLM\SOFTWARE\Classes\PROTOCOLS\Filter No Disco-ObservaçõesPara entender algumas entradas aqui você precisa saber o que são tipos MIME. Detalhes Os hijackers de protocolo podem controlar o modo pelo qual certas informações trafegam pelo computador. O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} Já os hijackers de tipos MIME podem controlar as informações de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir anúncios publicitários indevidamente. O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\SYSTEM\XPLUGIN.DLL Observações Alguns programas instalam protocolos extras, então nem sempre essa entrada é ruim Como saber Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo. Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim. O19 — Folhas de Estilo Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE. No Registro [HKCU\Software\Microsoft\Internet Explorer\Styles] User Stylesheets No Disco-Observações- Detalhes As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado através de folhas de estilo e por isso alguns hijackers começaram a usar as folhas de estilo. O19 - User style sheet: c:\WINDOWS\Java\my.css Observações Assim como nas demais entradas, o HijackThis não apaga o arquivo listado Como saber Se você não configurou uma folha de estilos no IE, marque. O20 — Inicialização Problemática A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas. No Registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows No Disco-ObservaçõesEssa entrada lista dois métodos raríssimos de inicialização que merecem extremo cuidado Detalhes A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify. O AppInit_DLLs é chamado quando qualquer programa é executado, ou seja, toda vez que você executa um programa, o AppInit é executado também. Muitas vezes a chave do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente é usado por infecções de CoolWebSearch. O20 - AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll O WinLogon Notify é executado quando você faz logon no Windows. É usado por infecções Look2Me e trojans HaxDoor. O20 - Winlogon Notify: drct16 - drct16.dll Observações Não é recomendável usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor malicioso, ambos serão removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, é sempre recomendável editar a chave AppInit_DLLs manualmente no registro. Se não for possível editar a chave AppInit, é necessário renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, não a pasta Windows). Como saber Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você pode também procurar informações na Internet. Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete on Reboot ou Replace on Reboot. O21, O22 — Inicialização pelo Shell As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o Windows. No Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\SharedTaskScheduler No Disco-ObservaçõesUtilizam CLSIDs Detalhes A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam inclusive no Modo de Segurança. O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll Observações Essas entradas funcionam em modo de segurança Esses métodos de inicialização não são documentados pela Microsoft Como saber Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no arquivo, se houver dúvidas. Adwares têm utilizado entradas O21 com freqüência. O23 — Serviços NT As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003. No Registro HKLM\SYSTEM\CurrentControlSet\Services No Disco-ObservaçõesO HijackThis não lista drivers, apenas serviços Detalhes A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam essa entrada sabem se disfarçar de uma maneira bem inteligente. O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe Entre os parênteses o HijackThis exibe o nome interno do serviço. Observações É importante parar o serviço relevante antes de marcar sua entrada. Clique em Iniciar -> Executar, digite services.msc e clique em OK. Lá você poderá desativar e parar o serviço que você vai marcar no HijackThis Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo Para apagar serviços, use o Delete an NT Service das ferramentas do HijackThis O HijackThis não apaga o arquivo Como saber Existem duas listas principais para entradas O23: AntiSpyware O23 CastleCops O23 Para remover os arquivos em entradas O23, recomenda-se o uso do Delete on Reboot, seja do HijackThis na seção Misc Tools ou com o KillBox. Depois da Limpeza Depois que você finalizou a limpeza marcando as entradas no HijackThis, é importante que você utilize anti-spywares como Ad-Aware para limpar os arquivos restantes. Antivírus online, como o Housecall, podem ser úteis também. É importante também desativar e reativar a Restauração do Sistema. Ao desativá-la, você apagará todos os arquivos que ela salvou dos trojans que infectaram o seu sistema. Quando você reativar, ela estará limpa e pronta para funcionar, sem fazer com que o seu antivírus encontre trojans na pasta System Volume Information. Eu Odeio Listas Brancas O HijackThis possui uma opção via linha de comando chamada “Eu Odeio Listas Brancas”. O HijackThis esconde diversas entradas que ele sabe que são seguras usando uma “lista branca”. Isso diminui o tamanho do log e facilita a sua análise. Se você abrir o HijackThis por meio de uma linha de comando (usando a opção Executar, por exemplo) e adicionar, ao final, o comando /ihatewhitelists , essas entradas protegidas pela “lista branca” serão exibidas. Todas as entradas a mais exibidas quando essa opção está ativa são seguras e não devem ser marcadas. Essa opção só foi listada aqui para que o HijackThis Completo seja mesmo completo, mas não há qualquer razão para usá-la. Conclusão O HijackThis, por ser um programa poderoso, torna-se também complexo e perigoso. Tenha muito cuidado ao utilizar o HijackThis para apagar coisas que você não sabe. Se precisar de ajuda, você poderá tirar suas dúvidas em nosso fórum. Para utilizar o HijackThis com toda a sua capacidade é necessário conhecimento sobre as últimas pragas que circulam pela Internet, saber como elas funcionam e como as mesmas fazem para permanecer no sistema. Sabendo isso, você pode usar o HijackThis para eliminar a infecção de forma simples e rápida. O HijackThis não é, de qualquer forma, substituto para os anti-spywares. Ele é capaz de acabar com a infecção ativa no sistema, mas não é capaz de limpar as dezenas de arquivos que as pragas criam enquanto fazem o seu trabalho sujo. Infelizmente, mesmo com esse tutorial, identificar as infecções pode ser um trabalho complicado. Continue estudando! creditos: http://linhadefensiva.uol.com.br/doc...this-completo/ __________________ Meus Tutoriais http://www.guiadohardware.net/comuni...izando/691234/ http://www.guiadohardware.net/comuni...s-tela/687864/ Última edição por Draacola : 01-02-2007 às 4:51.

26-01-2007, 10:03	#9 (permalink)
AxlTales Newbie Registrado em: Jan 2007 Mensagens: 40 Reputação: 0	Woot! Muito bom, Draacola. Agora eu posso fuçar os HijackThis mais um pouco. Será que a moderação transforma este num Sticky?

26-01-2007, 12:53	#10 (permalink)
Lucasg3 GeeK Registrado em: Nov 2006 Localização: Porto Alegre/RS Idade: 21 Mensagens: 2.561 Reputação: 24	Esqueceu de colocar a fonte do tutorial. XD http://linhadefensiva.uol.com.br/doc...this-completo/ ABRAÇOS... __________________ http://www.linhadefensiva.org/secao/fraudes/ http://www.linhadefensiva.org/encaminhe-suspeito/

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail