|
![]() |
||
Tutorial: analisando o log do HijackThis V. 1.0.10
|
||
. Nós temos 673.879 usuários, convidamos você fazer parte de nossa comunidade também! Se ainda não encontrou o que procura use nossa pesquisa. Esperamos que aprecie nosso trabalho.
![]() |
|
|
Opções do Tópico |
|
|
#1 (permalink) |
|
Zumbi
Registrado em: Mar 2005
Localização: Ariquemes - RO
Idade: 21
Mensagens: 5.435
Reputação: 40
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Tutorial HijackThis Versão 1.0.11
Última atualização: 04-02-2010 Log das atualizações: 1.0.11 :: Corrigido o link com o log do HijackThis; alterado a descrição de algumas entradas do log; adicionado uma alternativa à remoção de arquivos na inicialização 1.0.10 :: Corrigido o link com o log do HijackThis para análise; alterado o nome do Edson A. F. na lista de colaboradores 1.0.9 :: Modificações na parte dos procedimentos de análise e detalhamento da entrada O17 1.0.8 :: Pequena alteração na parte da análise do log e no procedimento do KillBox 1.0.7 :: Pequenas alterações e os ícones do tutorial agora estão hospedados no ImageShack®, já que o servidor do HijackThis encontra-se muitas vezes fora do ar 1.0.6 :: Pequenas modificações e adicionados os devidos créditos ao Claudio Pena e ao Eric Gagulich por terem criado os primeiros tutoriais que li sobre o HijackThis 1.0.5 :: Adicionados alguns ítens nos tipos de identificação, observações e pequenas modificações 1.0.4 :: Pequena alteração na entrada O20 1.0.3 :: Adicionada a informação sobre a entrada O15 e algumas pequenas correções 1.0.2 :: Algumas modificações na parte de entradas, arquivos desconhecidos, observações e no procedimento de remoção 1.0.1 :: Pequenas alterações e informações sobre as entradas O10 e O20 1.0 :: Primeira versão do tutorial ================================================== ===================== HijackThis 1.99.1: http://www.majorgeeks.com/download3155.html TrendMicro HijackThis 2.02: http://www.majorgeeks.com/Trend_Micr...his_d5554.html ================================================== ===================== :: O que é o HijackThis? :: É um programa desenvolvido por Merijn Bellekom que verifica os arquivos, serviços e componentes que estão rodando em sua máquina a fim de detectar a presença de spywares/malwares de forma genérica. :: O que são aquelas letras e números antes de cada ítem analisado? :: Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos ajudam a identificar em qual deles o ítem analisado se encaixa. - R0,R1,R2,R3: Página inicial do Internet Explorer (IE) /Páginas de busca - F0,F1,F2,F3: Programas carregados automaticamente - N1, N2, N3, N4: Página inicial do navegador e buscador utilizado - O1: Redirecionamentos do arquivo Hosts - O2: BHOs (Browser Helper Objects) - O3: Barras de ferramentas do IE (toolbars) - O4: Programas carregados automaticamente através do registro do sistema - O5: Configurações do IE, ícones não visíveis no Painel de Controle - O6: Opções do IE bloqueadas pelo administrador - O7: Acesso ao Regedit bloqueado pelo administrador - O8: Ítens extras do menu do botão direito do IE - O9: Ítens extras na barra de ferramentas principal do IE - O10: Hijackers de Winsock / LSP'S (Layered Service Providers) - O11: Opções extras na aba Opções Avançadas do IE - O12: Plugins do Internet Explorer - O13: Hijackers de DefaultPrefix - O14: Hijackers para "Resetar as configurações da web" - O15: Área Segura do Internet Exporer e padrões de protocolos - O16: Módulos ActiveX - O17: Hacks de DNS - O18: Hijackers de protocolo e protocolos extras - O19: Hijackers da folha de estilo do usuário - O20: Sub-chaves de AppInit_DLL/Winlogon Notify - O21: Chave de registro do ShellServiceObjectDelayLoad - O22: Valor de registro do SharedTaskScheduler - O23: Serviços do Windows XP, NT e 2003 :: Como utilizar o HijackThis? :: Ao abrir o programa pela primeira vez, aparecerá uma mensagem de aviso. Simplesmente clique em OK. Feito isso, a tela principal do programa será aberta. Para iniciar a verificação, clique em Do a system scan and save a log file. Após finalizar o scan, o programa exibirá o bloco de notas com um relatório com todos os processos, serviços e componentes que estão sendo executados em seu PC. :: Como analisar o log gerado? :: Com o log em mãos, vá até o site www.hijackthis.de - Lá você encontrará um campo de texto para colar o log. Copie e cole o log nesse campo e clique em Analyse. Feito isso será carregado uma página com o resultado da análise. Os ítens estão dividos da seguinte forma: Tipo (Kind) É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são identificados como: Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina Esse ítem refere-se ao Antivírus instalado em seu sistema São entradas identificadas como seguras segundo o banco de dados do HijackThis. No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto, veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo escrito como Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as informações se divergirem, faça uma busca pelo nome do arquivo através do Google ou mande o arquivo para análise no site VirusTotal São ítens desnecessários para o sistema que podem ser removidos São ítens que representam risco ao sistema e devem ser corrigidos/removidos. Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada. Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso ao sistema. Um bom exemplo é o famoso arquivo ptsnoop.exe que pode ser tanto um executável de certos modens ou um raro trojan. É altamente recomendável enviar o arquivo para o VirusTotal caso esteja em dúvida São ítens desconhecidos. Quando houver um ítem nesse estado que você desconheça, faça uma busca pelo arquivo através do Google. Há diversos sites como o WinTasks que mostram informações de determinados arquivos. É só procurar... Se não encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para análise no VirusTotalAvaliação dos visitantes (Visitor's assessment) São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao usuário conforme segue: Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito seguro" Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro" Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso" Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso" Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como "Muito danoso" É possível ver a posição de cada visitante clicando naqueles quadrinhos que ficam em cima das informações citadas. Ao clicar, será exibida na tela as informações dadas pelos visitantes. Você também pode dar a sua colaboração caso realmente conheça o arquivo/ítem em questão, preenchendo os campos com suas descrições detalhadas e identificando-a como seguro, danoso ou neutro. Mas por favor, só adicionem tais informações se tiverem a certeza do que estão fazendo a fim de que não atrapalhe nas verificações de outras pessoas. Após ter identificado os ítens danosos, marque-os e clique em Fix Checked. :: OBSERVAÇÕES :: Coloque o HijackThis em uma pasta à parte. Se você executá-lo diretamente do arquivo compactado (.zip), ele não fará um backup dos arquivos/entradas que você remover e conseqüentemente não conseguirá restaurá-los caso dê algum problema. Se você apagou algum arquivo/entrada importante, abra o HijackThis, vá em Open the Misc Tools Section, depois em Backups. Feito isso selecione as entradas que desejar restaurar e clique em Restore. Se houver algum arquivo (geralmente DLL's) ou executável danoso na análise do HijackThis, é recomendado utilizar o programa KillBox para que o arquivo seja apagado, já que o procedimento de correção do HijackThis exclui apenas as entradas relacionadas a eles. Se o arquivo não for excluído, o mesmo pode ser ativado em algum momento futuro, seja por descuido do usuário ou através de alguma outra chamada de procedimento. Nesses casos devem ser tomadas outras medidas antes de clicar em Fix Checked:- Baixe o programa KillBox. Feito isso execute-o. - Marque a opção Delete on reboot - Copie os caminhos que contém o programa danoso para o bloco de notas (Exemplo: O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe - o caminho do arquivo, no caso é C:\WINDOWS\system32\explore.exe). Caso não apareça o caminho completo do arquivo (Exemplo: O4 - Global Startup: msnmsg.exe) procure pelo mesmo no início do log do próprio HijackThis em Running processes. Feito isso, selecione tudo o que você colou no bloco de notas (Ctrol + A) e copie (Ctrol + C). Volte ao Killbox, vá em File -> Paste from clipboard e clique em All Files - Clique no X e escolha Não (para que o PC não seja reiniciado ainda) - Volte ao HijackThis e finalmente clique em Fix Checked (após ter marcado os ítens danosos) - Reinicie o PC, faça um outro scan com o HijackThis na opção Do a system scan and save a log file e analise novamente no site www.hijackthis.de a fim de garantir que seu PC esteja limpo - Após constatado nenhuma ameaça no PC, faça um scan com programas como Ad-Aware ou SpyBot para remover qualquer vestígio restante - Desative e ative novamente a restauração do sistema (caso a utilize) para criar um ponto livre de infecções. Para fazer isso, vá em Meu computador -> Propriedades. Na aba Restauração do sistema marque a opção Desativar a restauração do sistema em todas as unidades e clique em Aplicar. Feito isso desmarque essa mesma opção e dê OK. Outro meio de realizar esse procedimento de remoção é através do próprio HijackThis: - Na janela principal, clique em Open the Misc Tools Section - Clique em Delete a file on reboot... - Procure pelo arquivo e clique em Abrir - O sistema perguntará se deseja reiniciar. Clique em Reiniciar caso não esteja fazendo nenhuma outra coisa importante. Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las: O10: LSP'S (Layered Service Providers) Quando ocorre essa entrada no log, não se deve marcá-los no Hijackthis. Para consertar, deve-se usar programas como o LSPFix e o Winsock FIX para que a corrente/escada LSP não seja corrompida. O15: Área Segura do Internet Exporer e padrões de protocolos Aqui estão presentes todos os sites e protocolos definidos como confiáveis nas Opções de Internet do Internet Explorer. Como o HijackThis pode ter dificuldade em remover tais entradas, é recomendável utilizar um programa externo como o DelDomains. Baixe o arquivo, clique com o botão direito nele e vá em Instalar. Nota: o programa removerá todos os endereços, inclusive os que estão presentes na área de sites restritos. Portanto, copie os endereços que você conhece para que possa adicioná-los depois manualmente. O17: Hacks DNS Aqui ficam os servidores DNS configurados nas Configurações de Rede do Windows. Se você está localizado no Brasil, utilizando um provedor nacional e não possuir um proxy (se você não souber o que é isso provavelmente você não possui), os números indicados aqui devem começar obrigatoriamente por 200 ou 201. Podem estar presentes algum endereço IP de rede caso você utilize internet compartilhada, conexão via rádio ou um roteador. As pragas que modificam essas configurações são raras, portanto não se preocupe tanto. Se você corrigir essa entrada e a sua conexão parar de funcionar, entre em contato com o seu provedor para obter a configuração correta ou então anote os números ali presentes antes de corrigir por questão de segurança. O20: Sub-chaves de AppInit_DLL/Winlogon Notify A entrada AppInit_DLL, como o nome sugere, refere-se à inicialização dos aplicativos e seus respectivos arquivos DLL. Nessa chave valores legítimos podem ser encontrados junto com Hijacker's. É muito comum nessa entrada os famosos erros de Socket Error. Também não é recomendado marcar essa entrada no Hijackthis e sim editar a chave no registro, que fica localizada em: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Se a edição não for possível, renomeie a chave Windows para outro nome, limpe o valor da AppInit_DLL e renomeie novamente a chave para Windows. :: Botando a mão na massa! :: Vamos fazer uma análise de um log simples para vermos se você realmente aprendeu a analisar. Baixe esse arquivo: loghijackthis.txt Copie o conteúdo contido nele e analise através do site www.hijackthis.de Abra o bloco de notas e copie todos os ítens que você julgar desnecessário ou danoso ao sistema. Logo abaixo encontra-se o resultado correto com os procedimentos a serem tomados para solucionar esse problema. NÃO veja o resultado até que tenha analisado o log em questão por completo! :: RESULTADO :: Ítens identificados como nocivos na análise do HijackThis: Código:
Procedimentos: - Marcar no HijackThis todos os ítens nocivos: Código:
Código:
- Copiar todos os ítens que foram colocados no bloco de notas, voltar ao Killbox e ir em File -> Paste from clipboard. Feito isso, clicar em All Files - Clicar no X e escolher Não - Voltar ao HijackThis e clicar em Fix Checked - Reiniciar o PC, scanear com o HijackThis novamente e realizar uma nova análise - Após constatado nenhuma ameaça no PC, fazer um scan com programas como Ad-Aware ou SpyBot para remover os vestígios que restarem - Desativar e ativar novamente a restauração do sistema (caso a utilize) :: ATENÇÃO :: Se estiver em dúvida quanto à remoção de algum arquivo/entrada, NÃO HESITE EM PERGUNTAR! Não me responsabilizo por danos causados pelo uso indevido do programa! Sempre procure no Google caso esteja em dúvida em relação a algum ítem presente no log! :: AGRADECIMENTOS :: * Edson A. F. - por sempre me apoiar nos meus trabalhos * LUCAS*G3 - pelas dicas e informações adicionais * Claudio Pena - pelo ótimo tutorial de segurança que me deu uma boa idéia sobre o HijackThis e outros ítens * Eric Gagulich - pelo primeiro tutorial do HijackThis que li para aprender a utilizá-lo
__________________
FGDH User: #29697
Meu canal no YouTube: http://www.youtube.com/user/walteen Canal interessante sobre a NWO e derivados: http://www.youtube.com/user/verdadeoculta Última edição por walteen : 05-02-2010 às 1:14. |
|
|
|
|
#2 (permalink) | |
|
GeeK
Registrado em: Mar 2006
Localização: Mundo
Mensagens: 2.340
Reputação: 36
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Muito bom e oportuno walteen! E o elogio é gratuito!
![]()
__________________
[ ]`s ________ _ _______ Citação:
Bertolt Brecht
Última edição por Edson A. F. : 11-02-2007 às 1:48. |
|
|
|
|
|
#3 (permalink) | ||
|
GeeK
Registrado em: Nov 2006
Localização: Porto Alegre/RS
Idade: 21
Mensagens: 2.561
Reputação: 24
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Primeiramente o elogio: Belo trabalho!
Só um comentário sobre algumas entradas: Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las. Citação:
Para consertar, deve-se usar programas como o LSPFix e o Winsock FIX. Caso seje corrompido a corrente/escada LSP, a conexão com a Internet poderá ser perdida. Citação:
Também não é recomendado marcar essa entrada no Hijackthis e sim editar a chave no Registro e/ou usar o !Killbox.
__________________
http://www.linhadefensiva.org/secao/fraudes/ http://www.linhadefensiva.org/encaminhe-suspeito/ Última edição por Lucasg3 : 06-08-2007 às 0:11. Motivo: Formatação |
||
|
|
|
|
#4 (permalink) |
|
Zumbi
Registrado em: Mar 2005
Localização: Ariquemes - RO
Idade: 21
Mensagens: 5.435
Reputação: 40
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Grande Edson... valeu por sempre me apoiar.
![]() Lucas, obrigado pelas dicas! Já foram adicionadas ao tutorial ![]() []'sss
__________________
FGDH User: #29697
Meu canal no YouTube: http://www.youtube.com/user/walteen Canal interessante sobre a NWO e derivados: http://www.youtube.com/user/verdadeoculta |
|
|
|
|
#5 (permalink) |
|
Newbie
|
Poxa amigo, passei o dia inteirinho hj com um tutorial na mão tentando fazer oq vc explicou taum simples aki... Muitissimo obrigada... Bjosssss
__________________
Mônik
|
|
|
|
|
#6 (permalink) | |
|
Zumbi
Registrado em: Mar 2005
Localização: Ariquemes - RO
Idade: 21
Mensagens: 5.435
Reputação: 40
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Citação:
Sempre que precisar estarei a disposição ![]() Bjos!
__________________
FGDH User: #29697
Meu canal no YouTube: http://www.youtube.com/user/walteen Canal interessante sobre a NWO e derivados: http://www.youtube.com/user/verdadeoculta |
|
|
|
|
|
#7 (permalink) |
|
Gerente
Registrado em: Oct 2001
Localização: Vl dos Buracos
Idade: 34
Mensagens: 29.231
Reputação: 127
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Interessante, mui bom mesmo.
Vou repassar esse tuto aos meus primos que vivem se infectando hehe Valeu walteen
__________________
A64 Venice 3200+ | MSI K8N Neo4-F | Corsair ValueSelect 1GB Aposentadoria em andamento.Linux User # 490939 Viu algo errado? Flame? Não responda, reporte
|
|
|
|
|
#8 (permalink) |
|
Zumbi
Registrado em: Mar 2005
Localização: Ariquemes - RO
Idade: 21
Mensagens: 5.435
Reputação: 40
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Obrigado A Marcos! Fico feliz que tenha gostado e sido útil em algo
![]() []'sss
__________________
FGDH User: #29697
Meu canal no YouTube: http://www.youtube.com/user/walteen Canal interessante sobre a NWO e derivados: http://www.youtube.com/user/verdadeoculta |
|
|
|
|
#9 (permalink) |
|
Newbie
Registrado em: Feb 2007
Mensagens: 4
Reputação: 0
![]() |
Boa tarde walteen
agradeço por ter verificado meu log, consegui tirar oq estava atrapalhando. e vlw pelas dicas ai no forum foram de bastante interesse emto importantes. abraço |
|
|
|
|
#10 (permalink) |
|
Highlander
Registrado em: May 2004
Mensagens: 11.297
Reputação: 84
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Realmente um belo trabalho, tanto na pesquisa quanto na exposição de forma clara e detalhada.
Parabéns. ![]()
__________________
|
|
|
|
|
#11 (permalink) | |
|
Highlander
Registrado em: Apr 2002
Mensagens: 17.032
Reputação: 188
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Excelente trabalho, Walteen!
Acabei de passar o link desse tópico prá um colega meu que está com um spyware dos "brabos". Esse tópico virou referência prá mim! Abs
__________________
Citação:
|
|
|
|
|
|
#12 (permalink) |
|
Banned
Registrado em: Nov 2005
Localização: Belo Horizonte - MG
Mensagens: 975
Reputação: 0
![]() |
Parabéns, excelente trabalho,
Favoritos>Adicionar Favoritos> Tutorial HijackThis hehehehehehehe.... |
|
|
|
|
#13 (permalink) |
|
Zumbi
Registrado em: Mar 2005
Localização: Ariquemes - RO
Idade: 21
Mensagens: 5.435
Reputação: 40
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Obrigado a todos pelos comentários! Fico muito feliz que tenham gostado e eu tenha contribuído de alguma forma... Qualquer dúvida, crítica ou sugestão é só postar....
Abraços! ![]()
__________________
FGDH User: #29697
Meu canal no YouTube: http://www.youtube.com/user/walteen Canal interessante sobre a NWO e derivados: http://www.youtube.com/user/verdadeoculta |
|
|
|
|
#14 (permalink) |
|
Gerente
Registrado em: Oct 2001
Localização: Vl dos Buracos
Idade: 34
Mensagens: 29.231
Reputação: 127
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
__________________
A64 Venice 3200+ | MSI K8N Neo4-F | Corsair ValueSelect 1GB Aposentadoria em andamento.Linux User # 490939 Viu algo errado? Flame? Não responda, reporte
|
|
|
|
|
#15 (permalink) |
|
Novo Membro
Registrado em: Feb 2007
Mensagens: 76
Reputação: 7
![]() |
Valeu pelo tutorial,
usei o programa uma vez e fiquei muito perdido!! ![]()
__________________
![]() Usuário :Red Hat 9 ![]() Fedora 5 ![]() Ubuntu 8.04
|
|
|
|
|
#16 (permalink) |
|
Membro Senior
Registrado em: Jan 2007
Mensagens: 166
Reputação: 7
![]() |
valeu pelo tópico....vou tentar os proced. continue assim...valeuu!!
__________________
KVLO DE TROIA celeron d 315 2.26 1 gb DDR 400 generica + 512 Kingston 400 GF fx 5500 256 mb 256 bits DVDW LG |
|
|
|
|
#17 (permalink) |
|
Banned
Registrado em: Mar 2007
Localização: paraná
Idade: 27
Mensagens: 484
Reputação: 0
![]() |
kra exelente tuto, teria evitado danos ao meu sistema se tivesse lido esse topico antes. valeu msm!
Última edição por sUpeRNov@ : 20-08-2007 às 9:38. |
|
|
|
|
#18 (permalink) |
|
GeeK
|
É isso ae ... são tutos como estes que fazem deste fórum o melhos do país ... valeu mesmo ... (apesar de não usar o windows, minha namorada ainda usa
)
__________________
______________________________________________ "Simple' is defined from a technical standpoint, not a usability standpoint. It is better to be technically elegant with a higher learning curve, than to be easy to use, and technically crap." by Aaron Griffin Linux User: # 432048 |
|
|
|
|
#19 (permalink) |
|
Veterano
Registrado em: Jan 2005
Localização: São Paulo
Mensagens: 1.270
Reputação: 13
![]() |
muito bom o topico. ^^
__________________
O Passado é História, o Futuro é um Mistério, Mas o Hoje é uma Dadiva. Por Isso Que se Chama PRESENTE.![]() CPU: Atlhon XP 2,4 Ghz, RAM: 1,5GB, P.Mãe:Asus a7v8x-X, Hds: 500GB Segaete, Hds: 80GB Maxtor, Video: GForce FX5500 , Dvd-Rw Samsung ![]() |
|
|
|
|
#20 (permalink) |
|
Newbie
Registrado em: May 2007
Mensagens: 2
Reputação: 0
![]() |
aew cara eu tô com o virus do msn aqui maluco, to ficando doido com isso ja velho, como eu faço pra remover..por favor
|
|
|
![]() |
| Opções do Tópico | |
|
|