Tutorial: analisando o log do HijackThis V. 1.0.9

Tutorial HijackThis Versão 1.0.10

Última atualização: 20-09-2008

Log das atualizações:

1.0.10 :: Corrigido o link com o log do HijackThis para análise; alterado o nome do Edson A. F. na lista de colaboradores
1.0.9 :: Modificações na parte dos procedimentos de análise e detalhamento da entrada O17
1.0.8 :: Pequena alteração na parte da análise do log e no procedimento do KillBox
1.0.7 :: Pequenas alterações e os ícones do tutorial agora estão hospedados no ImageShack®, já que o servidor do HijackThis encontra-se muitas vezes fora do ar
1.0.6 :: Pequenas modificações e adicionados os devidos créditos ao Claudio Pena e ao Eric Gagulich por terem criado os primeiros tutoriais que li sobre o HijackThis
1.0.5 :: Adicionados alguns ítens nos tipos de identificação, observações e pequenas modificações
1.0.4 :: Pequena alteração na entrada O20
1.0.3 :: Adicionada a informação sobre a entrada O15 e algumas pequenas correções
1.0.2 :: Algumas modificações na parte de entradas, arquivos desconhecidos, observações e no procedimento de remoção
1.0.1 :: Pequenas alterações e informações sobre as entradas O10 e O20
1.0 :: Primeira versão do tutorial

================================================== =====================

HijackThis 1.99.1: http://www.majorgeeks.com/download3155.html

TrendMicro HijackThis 2.02: http://www.majorgeeks.com/Trend_Micr...his_d5554.html

================================================== =====================

:: O que é o HijackThis? ::
É um programa desenvolvido por Merijn Bellekom que verifica os arquivos, serviços e componentes que estão rodando em sua máquina a fim de detectar a presença de spywares/malwares de forma genérica.

:: O que são aquelas letras e números antes de cada ítem analisado? ::
Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos ajudam a identificar em qual deles o ítem analisado se encaixa.

- R0,R1,R2,R3: Hook de buscadores de URL
- F0,F1,F2,F3: Inicialização rara, arquivos .ini
- N1, N2, N3, N4: Página inicial do navegador e buscador utilizado
- O1: Redirecionamentos do arquivo Hosts
- O2: BHOs (Browser Helper Objects)
- O3: Barras de ferramentas do navegador (toolbars)
- O4: Programas da inicialização
- O5: Configurações do Painel de Controle
- O6: Configurações Administrativas
- O7: Configurações do Regedit
- O8: Ítens do menu de contexto
- O9: Botões da barra de ferramentas
- O10: Hijackers de Winsock / LSP'S (Layered Service Providers)
- O11: Opções Avançadas do Internet Explorer
- O12: Plugins do Internet Explorer
- O13: Hijackers de DefaultPrefix
- O14: Hijackers para "Resetar as configurações da web"
- O15: Área Segura do Internet Exporer e padrões de protocolos
- O16: Módulos ActiveX
- O17: Hacks DNS
- O18: Hijackers de protocolo e protocolos extras
- O19: Hijackers da folha de estilo do usuário
- O20: Sub-chaves de AppInit_DLL/Winlogon Notify
- O21: Chave de registro do ShellServiceObjectDelayLoad
- O22: Valor de registro do SharedTaskScheduler
- O23: Serviços do Windows XP, NT e 2003

:: Como utilizar o HijackThis? ::
Ao abrir o programa pela primeira vez, aparecerá uma mensagem de aviso. Simplesmente clique em OK. Feito isso, a tela principal do programa será aberta. Para iniciar a verificação, clique em Do a system scan and save a log file. Após finalizar o scan, o programa exibe o bloco de notas com um relatório com todos os processos, serviços e componentes que estão sendo executados em seu PC.

:: Como analisar o log gerado? ::
Com o log em mãos, vá até o site www.hijackthis.de - Lá você encontrará um campo de texto para colar o log. Copie e cole o log nesse campo e clique em Analyse. Feito isso será carregado uma página com o resultado da análise. Os ítens estão dividos da seguinte forma:

Tipo (Kind)
É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são identificados como:

Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina
Esse ítem refere-se ao Antivírus instalado em seu sistema
São entradas identificadas como seguras segundo o banco de dados do HijackThis. No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto, veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo escrito como Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as informações se divergirem, faça uma busca pelo nome do arquivo através do Google ou mande o arquivo para análise no site VirusTotal
São ítens desnecessários para o sistema que podem ser removidos
São ítens que representam risco ao sistema e devem ser corrigidos/removidos. Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada. Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso ao sistema. Um bom exemplo é o famoso arquivo ptsnoop.exe que pode ser tanto um executável de certos modens ou um raro trojan. É altamente recomendável enviar o arquivo para o VirusTotal caso esteja em dúvida
São ítens desconhecidos. Quando houver um ítem nesse estado que você desconheça, faça uma busca pelo arquivo através do Google. Há diversos sites como o WinTasks que mostram informações de determinados arquivos. É só procurar... Se não encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para análise no VirusTotal

Avaliação dos visitantes (Visitor's assessment)
São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao usuário conforme segue:

Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito seguro"
Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro"
Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso"
Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso"
Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como "Muito danoso"

É possível ver a posição de cada visitante clicando naqueles quadrinhos que ficam em cima das informações citadas. Ao clicar, será exibida na tela as informações dadas pelos visitantes. Você também pode dar a sua colaboração caso realmente conheça o arquivo/ítem em questão, preenchendo os campos com suas descrições detalhadas e identificando-a como seguro, danoso ou neutro. Mas por favor, só adicionem tais informações se tiverem a certeza do que estão fazendo a fim de que não atrapalhe nas verificações de outras pessoas.

Após ter identificado os ítens danosos, marque-os e clique em Fix Checked.

:: OBSERVAÇÕES ::

Coloque o HijackThis em uma pasta à parte. Se você executá-lo diretamente do arquivo compactado (.zip), ele não fará um backup dos arquivos/entradas que você remover e conseqüentemente não conseguirá restaurá-los caso dê algum problema.

Se você apagou algum arquivo/entrada importante, abra o HijackThis, vá em Open the Misc Tools Section, depois em Backups. Feito isso selecione as entradas que desejar restaurar e clique em Restore.

Se houver algum arquivo (geralmente DLL's) ou executável danoso na análise do HijackThis, é recomendado utilizar o programa KillBox para que o arquivo seja apagado, já que o procedimento de correção do HijackThis exclui apenas as entradas relacionadas a eles. Se o arquivo não for excluído, o mesmo pode ser ativado em algum momento futuro, seja por descuido do usuário ou através de alguma outra chamada de procedimento. Nesses casos devem ser tomadas outras medidas antes de clicar em Fix Checked:

- Baixe o programa KillBox. Feito isso execute-o.
- Marque a opção Delete on reboot
- Copie os caminhos que contém o programa danoso para o bloco de notas (Exemplo: O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe - o caminho do arquivo, no caso é C:\WINDOWS\system32\explore.exe). Caso não apareça o caminho completo do arquivo (Exemplo: O4 - Global Startup: msnmsg.exe) procure pelo mesmo no início do log do próprio HijackThis em Running processes. Feito isso, selecione tudo o que você colou no bloco de notas (Ctrol + A) e copie (Ctrol + C). Volte ao Killbox, vá em File -> Paste from clipboard e clique em All Files
- Clique no X e escolha Não (para que o PC não seja reiniciado ainda)
- Volte ao HijackThis e finalmente clique em Fix Checked (após ter marcado os ítens danosos)
- Reinicie o PC, faça um outro scan com o HijackThis na opção Do a system scan and save a log file e analise novamente no site www.hijackthis.de a fim de garantir que seu PC esteja limpo
- Após constatado nenhuma ameaça no PC, faça um scan com programas como Ad-Aware ou SpyBot para remover qualquer vestígio restante
- Desative e ative novamente a restauração do sistema (caso a utilize) para criar um ponto livre de infecções. Para fazer isso, vá em Meu computador -> Propriedades. Na aba Restauração do sistema marque a opção Desativar a restauração do sistema em todas as unidades e clique em Aplicar. Feito isso desmarque essa mesma opção e dê OK.

Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las:

O10: LSP'S (Layered Service Providers)

Quando ocorre essa entrada no log, não se deve marcá-los no Hijackthis. Para consertar, deve-se usar programas como o LSPFix e o Winsock FIX para que a corrente/escada LSP não seja corrompida.

O15: Área Segura do Internet Exporer e padrões de protocolos

Aqui estão presentes todos os sites e protocolos definidos como confiáveis nas Opções de Internet do Internet Explorer. Como o HijackThis pode ter dificuldade em remover tais entradas, é recomendável utilizar um programa externo como o DelDomains. Baixe o arquivo, clique com o botão direito nele e vá em Instalar.

Nota: o programa removerá todos os endereços, inclusive os que estão presentes na área de sites restritos. Portanto, copie os endereços que você conhece para que possa adicioná-los depois manualmente.

O17: Hacks DNS

Aqui ficam os servidores DNS configurados nas Configurações de Rede do Windows. Se você está localizado no Brasil, utilizando um provedor nacional e não possuir um proxy (se você não souber o que é isso provavelmente você não possui), os números indicados aqui devem começar obrigatoriamente por 200 ou 201. Podem estar presentes algum endereço IP de rede caso você utilize internet compartilhada, conexão via rádio ou um roteador.

As pragas que modificam essas configurações são raras, portanto não se preocupe tanto. Se você corrigir essa entrada e a sua conexão parar de funcionar, entre em contato com o seu provedor para obter a configuração correta ou então anote os números ali presentes antes de corrigir por questão de segurança.

O20: Sub-chaves de AppInit_DLL/Winlogon Notify

A entrada AppInit_DLL, como o nome sugere, refere-se à inicialização dos aplicativos e seus respectivos arquivos DLL. Nessa chave valores legítimos podem ser encontrados junto com Hijacker's. É muito comum nessa entrada os famosos erros de Socket Error. Também não é recomendado marcar essa entrada no Hijackthis e sim editar a chave no registro, que fica localizada em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Se a edição não for possível, renomeie a chave Windows para outro nome, limpe o valor da AppInit_DLL e renomeie novamente a chave para Windows.

:: Botando a mão na massa! ::
Vamos fazer uma análise de um log simples para vermos se você realmente aprendeu a analisar. Baixe esse arquivo: loghijackthis.txt

Copie o conteúdo contido nele e analise através do site www.hijackthis.de
Abra o bloco de notas e copie todos os ítens que você julgar desnecessário ou danoso ao sistema. Logo abaixo encontra-se o resultado correto com os procedimentos a serem tomados para solucionar esse problema. NÃO veja o resultado até que tenha analisado o log em questão por completo!


:: RESULTADO ::

Ítens identificados como nocivos na análise do HijackThis:

Note que há alguns executáveis danosos no log em questão. Por esse motivo, deve ser utilizado o programa Killbox para removê-los completamente.

Procedimentos:

- Marcar no HijackThis todos os ítens nocivos:
- Copiar o caminho dos arquivos dos ítens abaixo (indicado em negrito) para o bloco de notas:
- Abrir o programa Killbox e marcar a opção Delete on reboot
- Copiar todos os ítens que foram colocados no bloco de notas, voltar ao Killbox e ir em File -> Paste from clipboard. Feito isso, clicar em All Files
- Clicar no X e escolher Não
- Voltar ao HijackThis e clicar em Fix Checked
- Reiniciar o PC, scanear com o HijackThis novamente e realizar uma nova análise
- Após constatado nenhuma ameaça no PC, fazer um scan com programas como Ad-Aware ou SpyBot para remover os vestígios que restarem
- Desativar e ativar novamente a restauração do sistema (caso a utilize)

:: ATENÇÃO ::
Se estiver em dúvida quanto à remoção de algum arquivo/entrada, NÃO HESITE EM PERGUNTAR! Não me responsabilizo por danos causados pelo uso indevido do programa!

:: AGRADECIMENTOS ::

* Edson A. F. - por sempre me apoiar nos meus trabalhos
* LUCAS*G3 - pelas dicas e informações adicionais
* Claudio Pena - pelo ótimo tutorial de segurança que me deu uma boa idéia sobre o HijackThis e outros ítens
* Eric Gagulich - pelo primeiro tutorial do HijackThis que li para aprender a utilizá-lo Muito bom e oportuno walteen! E o elogio é gratuito! Primeiramente o elogio: Belo trabalho!

Só um comentário sobre algumas entradas:

Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las.

Quando ocorre essa entrada no log, não se deve marcá-los no Hijackthis.
Para consertar, deve-se usar programas como o LSPFix e o Winsock FIX.
Caso seje corrompido a corrente/escada LSP, a conexão com a Internet poderá ser perdida.

Valores legítimos são encontrados junto com Hijacker's. É muito comum nessa entrada, os famosos erros de Socket Error.
Também não é recomendado marcar essa entrada no Hijackthis e sim editar a chave no Registro e/ou usar o !Killbox. Grande Edson... valeu por sempre me apoiar.

Lucas, obrigado pelas dicas! Já foram adicionadas ao tutorial

[]'sss Poxa amigo, passei o dia inteirinho hj com um tutorial na mão tentando fazer oq vc explicou taum simples aki... Muitissimo obrigada... Bjosssss De nada! Fico muito feliz que meu trabalho esteja ajudando as pessoas a solucionarem seus problemas...

Sempre que precisar estarei a disposição

Bjos! Interessante, mui bom mesmo.
Vou repassar esse tuto aos meus primos que vivem se infectando hehe
Valeu walteen Obrigado A Marcos! Fico feliz que tenha gostado e sido útil em algo

[]'sss Boa tarde walteen

agradeço por ter verificado meu log, consegui tirar oq estava atrapalhando.
e vlw pelas dicas ai no forum foram de bastante interesse emto importantes.

abraço Realmente um belo trabalho, tanto na pesquisa quanto na exposição de forma clara e detalhada.
Parabéns. Excelente trabalho, Walteen!
Acabei de passar o link desse tópico prá um colega meu que está com um spyware dos "brabos".
Esse tópico virou referência prá mim!

Abs Parabéns, excelente trabalho,

Favoritos>Adicionar Favoritos> Tutorial HijackThis

hehehehehehehe.... Obrigado a todos pelos comentários! Fico muito feliz que tenham gostado e eu tenha contribuído de alguma forma... Qualquer dúvida, crítica ou sugestão é só postar....

Abraços! Atenção!!! Não postem Log´s aqui.
Usem o tópico que consta no "Pregão"
Gracias Valeu pelo tutorial,

usei o programa uma vez e fiquei muito perdido!! valeu pelo tópico....vou tentar os proced. continue assim...valeuu!! kra exelente tuto, teria evitado danos ao meu sistema se tivesse lido esse topico antes. valeu msm! É isso ae ... são tutos como estes que fazem deste fórum o melhos do país ... valeu mesmo ... (apesar de não usar o windows, minha namorada ainda usa ) muito bom o topico. ^^ aew cara eu tô com o virus do msn aqui maluco, to ficando doido com isso ja velho, como eu faço pra remover..por favor