HijackThis CompletoPor Altieres Rohr em 04/06/2005

A tela de Abertura

Ao abrir o HijackThis você será apresentado com a tela de “QuickStart”.

Nota: Se a tela acima não for apresentada, você marcou a última caixa para que ela não seja mais mostrada ou você está usando uma versão antiga do HijackThis

Clique em ‘None of the above, just start the program’. Você verá a tela principal do HijackThis.

Considerações Iniciais

O HijackThis é um programa que nos fornece informações do sistema. Através dessas informações é possível verificar se há algum software maliciosos presente. Entretanto, o HijackThis não lhe diz exatamente quais os problemas que estão ali, tão pouco lhe dá instruções específicas para a remoção do mesmo. Com o uso do HijackThis pode ser possível, pelo menos, obter mais informações sobre o problema que você tem, facilitando a busca por informações para a sua resolução.

Aqui você encontrará informações sobre os dados que o HijackThis coleta e o que eles significam. O que você precisa aprender é relacionar estes dados com as informações técnicas de trojans e worms, para saber onde está o verdadeiro problema.

Usar o HijackThis não é simplesmente marcar todas as entradas ruins que estão presentes. O HijackThis é somente a porta de entrada para uma análise completa do estado de segurança de um sistema Windows.

Importante

IE será usado diversas vezes nesse documento para denominar o Internet Explorer.

Introdução

Afinal, o que é o HijackThis?

O autor do programa se chama Merijn (Merlin em alemão) e define o HijackThis como “O Único Detector e Removedor Genérico de Hijackers”. Na prática, ele não detecta somente hijackers, mas também diversos trojans, spywares, adwares, worms e até mesmo, indiretamente, a presença de rootkits.

Neste documento você aprenderá todas as funcionalidades do HijackThis. Esse documento completo cobrirá também diversos aspectos do sistema, os quais são importantes para um entendimento das funcionalidades do programa.

O HijackThis não é um removedor de spywares como os demais. Ele simplesmente lista para você diversas áreas do sistema onde as pragas se instalam e lhe dá a opção de consertar o problema (marcando a entrada). Como as diversas áreas utilizadas por pragas digitais são também usadas por programas legítimos, resta ao usuário saber o que deve ser marcado e o que deve permanecer.

O HijackThis é completamente inútil contra vírus, embora ele seja capaz de detectar alguns que criam chaves no registro para serem executados. Nesse caso será necessário um antivírus ou uma ferramenta de remoção para limpar os arquivos infectados.

Danos causados pelo HijackThis

Se você marcar alguma entrada no HijackThis que é legítima, seja por engano ou desconhecimento, o que pode acontecer?

Desabilitar programas

Marcando certas entradas incorretas você pode desabilitar programas como antivírus, drivers, firewalls e diversos outros utilitários. Reinstalar os programas sempre resolve o problema.

Retirar funcionalidades

É possível, por exemplo, desabilitar barras de ferramentas ou programas de proteção do Internet Explorer, assim como retirar vários botões, menus e plugins do navegador.

Desconfigurar a rede

O HijackThis também pode zerar a configuração de rede, como servidores DNS e o domínio ao qual o computador pertence. Os proxies utilizados pelo Internet Explorer também são mostrados e, ao marcar a entrada, são zerados. Isso pode ocasionar perda de conectividade com a web e outros serviço. Nesse caso é necessário reconfigurar a rede.

Também é possível corromper as entradas da escada LSP do Winsock. Nesse caso é necessário desinstalar o TCP/IP em todos os adaptadores de rede e

reinstalar para que a escada seja reconstruída. Se você reinstalar o Windows (usando a opção “Reparar”), o problema não será resolvido. Existem outras maneiras de recuperar a escada — veja o documento sobre LSP.

A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta própria como ‘C:\HijackThis’. Desse modo ele criará backups de cada entrada marcada, sendo apenas necessário recuperar o backup.

A tela principal do HijackThis

Se você clicar em ‘Scan’, você verá as entradas detectadas pelo HijackThis. O “Scan” é basicamente um processo onde o HijackThis busca no registro várias informações sobre o sistema, como os ActiveX, BHOs e outros. Se no menu principal você tivesse selecionado a opção “Do a system scan only” você teria o mesmo resultado de ter feito isso do modo manual clicando em “Scan”.

Ao selecionar uma entrada, você pode clicar no botão “Info on selected item” para que o HijackThis lhe dê mais informações sobre a entrada selecionada. Você também pode marcar certas entradas e então clicar no botão “Add checked to ignorelist” para que o HijackThis ignore estas entradas no futuro e não mostre-as no log.

Note que o botão “Scan” se tornou o botão “Save Log”. Ao clicar no botão “Save Log”, o HijackThis vai salvar um arquivo de log com as informações apresentadas mais a informação dos processos que estão rodando. O HijackThis vai lhe pedir o nome e o local do arquivo para salvar. É o mesmo que selecionar o botão “Do a system scan and save a logfile” no menu principal, porém se você selecionar o botão no menu principal o HijackThis automaticamente salva o log em um arquivo chamado “hijckthis.log” e aqui ele lhe dá a opção para escolher o local onde você quer salvar o arquivo do log.

Quando você marcar determinadas entradas e clicar em Fix Checked o HijackThis vai tomar diferentes providências, dependendo da entrada. Se você clicar em “Info on selected item” o HijackThis lhe diz o que ele vai fazer — nós veremos cada tipo de entrada em detalhe mais tarde.

O botão “Info” apresenta informações genéricas do HijackThis, incluindo uma breve explicação de cada entrada e um changelog (arquivo que detalha as mudanças que um programa recebe em cada versão).

O botão Config

Ao clicar no botão “Config”, você é apresentado com as configurações do HijackThis em quatro abas: Main, Ignorelist, Backups, Misc Tools.

Main

Na aba Main podemos encontrar várias configurações do HijackThis.

Mark everything found for fixing after scan — Caso marcada, ela faz com que todos os itens encontrados no HijackThis sejam marcados. Use esta opção caso um log esteja muito infectado e seja mais fácil desmarcar algumas entradas do que marcar todas as opções infectadas.

Make backups before fixing items — faz backups antes de consertar alguma entrada. Muito útil, recomenda-se deixar marcado.

Confirm fixing & ignoring of items (safe mode) — se desmarcada, essa opção retira as telas de confirmação quando você for ignorar ou consertar qualquer entrada.

Ignore non-standard but safe domains in IE — uma pequnea ‘lista branca’ que filtra entradas R1/R0. Se desmarcada, todos os itens R1/R0 serão exibidos, mesmo que contenham domínios populares e marcados como seguros. Essa opção, quando marcada, ajuda o log a ficar menor e mais limpo.

Include list of running processes in logfiles — se desmarcada, o HijackThis não incluirá a lista de processos rodando no log. A lista de processos pode ser vista através do Gerenciador de Tarefas no Windows NT/2000/XP ou através de ferramentas adicionais no Windows 9x/ME. É recomendado deixar essa opção marcada, já que informação nunca é demais.

Show Intro frame at startup — se desmarcada, essa opção retira a tela de inicialização, ou seja, desmarcar essa opção tem o mesmo efeito que marcar o“Don’t show this frame again when I start HijackThis” na tela de boas-vindas. Essa opção depende apenas de sua preferência.

Run HijackThis scan at startup and… — ao marcar essa opção, o HijackThis se inclui nas entradas de inicialização automática do Windows. Assim ele pode scanear o sistema logo ao iniciar, pegando entradas que se escondem automaticamente depois de um curto período de tempo e assim não podem ser percebidas um log for feito depois que o sistema estiver completamente inicializado. Essa opção geralmente não é muito útil, mas vale a pena mencioná-la mesmo assim.

As opções a seguir são os padrões que o HijackThis utiliza quando você conserta certos itens.

Default Start Page — a página inicial padrão que o HijackThis colocará no Internet Explorer após zerar as entradas da página inicial. Preferência do usuário.

Default Search Page — a página de busca padrão usada pelo Internet Explorer. Como essa entrada é normalmente modificada por hijackers, o HijackThis precisa de um valor para consertá-la. Você pode configurar o valor usado através dessa opção.

Default Search Assistant — ‘Assistente de Busca’ do Internet Explorer. Default Search Customize — ‘Personalização de Busca’ do Internet Explorer.

Aba Ignorelist

Na aba ‘Ignorelist’ você pode encontrar os itens ignorados através do botão “Add checked to ignorelist”. É recomendado que você limpe essa lista usando o botão “Delete all” após instalar uma nova versão do HijackThis.

As entradas removidas aqui não serão excluídas, mas sim retiradas da lista de ítens ignorados do HijackThis para que estes voltem a aparecer no log normalmente.

Aba Backups

Caso a opção “Make backups before fixing items” esteja marcada na aba “Main” (e ele está marcada por padrão), o HijackThis cria backups de todos os ítens marcados. Nesta tela você pode apagar backups individuais usando o botão “Delete”, apagar todos os ítens com o botão “Delete all” ou, caso queira alguma entrada de volta no seu lugar, usar o botão “Restore”. Use esta tela sempre que algum programa ou recurso do sistema parar de funcionar após usar o HijackThis para consertar entradas.

Misc Tools

Uma das melhores coisas sobre o HijackThis é que ele possui um kit completo para a manutenção de vários problemas no computador. Além de poder limpar diversas áreas problemáticas do registro, ele possui diversas ferramentas adicionais que dispensam a necessidade de instalar ou baixar ferramentas adicionais.

Generate Startuplist Log Open Process Manager Open hosts file manager Delete a file on reboot Delete an NT service Open ADS Spy Open Uninstall Manager Advanced Settings Check for Update online Uninstall HijackThis & Exit

Generate Startuplist Log

O primeiro botão que vemos nessa tela é o ‘Generate startuplist log’. Este botão gera um log do programa StartupList, também desenvolvido pelo mesmo Merijn que criou o HijackThis. O Startup List mostra todos os ítens possíveis de inicialização de programas no Windows, incluindo diversas áreas que não são exibidas pelo HijackThis. Por outro lado, o Startup List não nos dá a opção para corrigir qualquer coisa encontrada. As duas caixas presentes ao lado do botão fazem com que o log do Startup List seja mais completo — é recomendado marcá-las sempre antes de fazer um log do Startup List.

Note que o Startup List é uma ferramenta muito avançada. Por ser um programa adicional, a intepretação de logs startuplist não será incluída neste documento.

Open Process Manager

Depois vemos o botão “Open Process Manager”. Ao clicar, o “Itty Bitty Process Manager” será aberto.

Este programa é muito útil principalmente no Windows 9x/ME, pois estas versões do Windows incluem um Gerenciador Tarefas muito simples que não inclui os programas registrados como processos.

Embora exiba menos informações que o gerenciador de processo padrão do Windows, ele permite que mais de um processo seja selecionado (usando as teclas CTRL e SHIFT) para a finalização e inclui a opção “Show DLLs”, que cria um novo painel onde é exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados são chamados de módulos e alguns trojans se injetam como módulos em processos de sistema para serem executados sem um processo visível na lista normal. Isso é muito raro, portanto a maioria dos DLLs listados são seguros.

O botão “Kill Process” finaliza o(s) processo(s) selecionado(s). O botão “Refresh” atualiza a lista de processos e o botão “Run” inicia um programa ou processo da mesma maneira que o botão “Nova Tarefa” do Gerenciador de Tarefas.

Ele também possui dois ícones ao lado da opção “Show DLLs” O primeiro (da esquerda para a direita) é o “Copy list do clipboard” que copia a lista de processos para que você possa “Colar” ela em qualquer lugar. O ícone do disquete salva a lista para um arquivo texto.

Open hosts file manager

Este é um pequeno programa para editar o arquivo HOSTS. Depois de selecioná-lo, utilize o botão “Open in Notepad” para abrir o arquivo no Bloco de Notas onde é muito mais fácil gerenciar o arquivo HOSTS. Como referencia, o botão “Delete line(s)” apaga a(s) linha(s) selecionada(s) e o botão Toggle Line(s) tira ou coloca um ‘#’ no início da linha. Leia o documento sobre o HOSTS para entender mais sobre isso.

Delete a file on reboot…

Provavelmente uma das ferramentas mais simples e úteis.

O Windows possui um recurso chamado PendingFileRenameOperations que pode executar operações com os arquivos (tais como apagar, renomear e mover) antes que o sistema seja completamente iniciado. Isso pode ser usado para apagar arquivos que estão na memória antes que eles sejam inicializados, assim removendo-os com sucesso.

Após selecionar o botão, tudo que você precisa é selecionar o arquivo a ser apagado (ou copiar & colar o caminho completo do arquivo) e clicar em ‘Abrir’. Após isso, o HijackThis vai perguntar se você quer reiniciar o Windows. Na maioria das situações, você vai querer responder ‘Não’ para reiniciar manualmente mais tarde.

O Pocket KillBox possui mais opções baseadas nesse recurso do Windows, incluindo opções de troca de arquivos, que possuem mais chance de funcionar do que operações que só excluem os arquivos.

Delete an NT service

Váriso trojans recentes se instalam através de serviços do Windows NT. Mesmo que um antivírus ou antispyware remova o arquivo iniciado pelo serviço, este ainda será listado nas ferramentas administrativas junto com os demais serviços.

Usando essa opção, o HijackThis pode apagar um serviço para você. Você pode usar o nome completo de exibição do serviço ou o nome verdadeiro do serviço. Note que os ‘Serviços’ só estão disponíveis no Windows NT/2000/XP.

Para obter a lista de serviços no seu sistema, clique em Iniciar»Executar, digite services.msc e clique em OK. Clique com o botão direito no serviço que você quer apagar e clique em “Propriedades”. Você pode usar tanto o “Nome para exibição” quanto o “Nome do serviço” no HijackThis para removê-lo da lista.

Tome extremo cuidado ao utilizar essa ferramenta! Não é possível recuperar os serviços depois que eles foram removidos!

Open ADS Spy…

Essa é uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data Streams (ADS). Ela está disponível separadamente no site de Merijn.

Se opção do Quick scan for marcada, somente a pasta do Windows será examinada. A opção ‘Ignore safe system info streams’ ignora entradas ADS geralmente seguras, como a informação colocada na aba “Resumo” dos arquivos. Já a opção para calcular MD5 deve ser apenas utilizada se você quiser desenvolver ferramentas para a remoção de um certo tipo de malware.

Nem todos os ADS encontrados são maliciosos. Mesmo se a opção ‘Ignore safe system info streams’ estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como streams utilizadas por antivírus. Faça sempre uma pesquisa antes de apagar qualquer stream. Veja nosso documento sobre streams para saber mais.

Open Uninstall Manager

Muitos programas, após desinstalados, deixam entradas na lista do Adicionar/Remover Programas. Se isso não fosse o suficiente, vários trojans (principalmente hijackers) começaram a incluir entradas no Adicionar/Remover Programas para, supostamente, desinstalá-los do sistema.

A realidade é que geralmente estas entradas não funcionam e, após o usuário manualmente remover o problema, ficam aquelas entradas na lista. Com esta opção você pode retirar os programas daquela lista.

Para apagar uma entrada é necessário selecionar a opção “Delete this entry” e então confirmar a ação clicando em Sim. A opção para ‘Editar comando’ edita o caminho

para o programa executado pelo Windows para desinstalar o software selecionado — é recomendado que você não troque os comandos sem ter certeza absoluta do que está fazendo.

Advanced Settings

Depois da lista de ferramentas, o HijackThis lista duas opções avançadas:

Calculate MD5 of files if possible Include environment variables in logfile

A primeira opção coloca o MD5 dos arquivos no arquivo de log. Isso é apenas útil se você sabe o hash MD5 do arquivo ou está desenvolvendo uma ferramenta para a remoção dos arquivos.

A segunda opção inclui variáveis de ambiente, como a localização da pasta Windows e a localização do arquivo HOSTs — nada muito útil.

Check for Update online

Usando essa opção, o HijackThis pode verificar a existência de uma nova versão do HijackThis nos servidores da SpywareInfo. Se você utiliza um proxy para a conexão, você pode definí-lo na caixa de texto logo abaixo do botão.

Uninstall HijackThis & Exit

Para salvar todas as configurações definidas, o HijackThis cria diversas chaves no registro. Com este botão, o HijackThis apaga essas chaves. Note que o arquivo do HijackThis não é removido e nem os backups são removidos depois de selecionar este botão. A Ignore List, por outro lado, é removida.

Nesta Página

O log do HijackThis CLSIDs O Início do log As entradas no log do HijackThis

O log do HijackThis

Eu sei que você estava esperando por essa parte do documento, porém é necessário conhecer todos os aspectos do HijackThis para ter idéia do que você realmente possui em mãos. Se você pulou o documento até aqui, recomendo ler tudo desde o início.

CLSIDs

Antes de iniciar é importante que você saiba o que é um CLSID. Diversas entradas do HijackThis apresentam um CLSID.

Um CLSID é um programa registrado no Windows. Ele possui um identificador único (GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de GUID:{8E718888-423F-11D2-876E-00A0C9082467}

Note que pode ser qualquer letra entre A-F e qualquer número, mas eles estão sempre nesse formato. O Windows usa isso como “referência” no registro. Por exemplo, a chave A referencia que será executado o GUID X. Então é necessário que você vá até as chaves dos CLSIDs — HKCR\CLSID — para procurar a seqüencia lá e veja qual o arquivo que será executado. O HijackThis faz isso automaticamente para você.

Como os GUIDs são únicos e os arquivos ao qual eles apontam muitas vezes é aleatório, você pode procurar informações da praga através do GUID. Desse modo você conseguirá saber sobre a entrada mesmo que o arquivo não tenha sido encontrado pelo HijackThis ou se o arquivo mudou devido a uma nova versão do programa que usa aquele GUID.

Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o arquivo real que será executado. Como muitas vezes o mesmo programa pode usar arquivos diferentes em versões distintas mas usa o mesmo GUID, fica mais fácil obter informações usando o GUID. As entradas que tiverem seqüencias como a exibida acima usam esse sistema de CLSIDs (Class IDs) do Windows.

O Início do log

O log do HijackThis possui diversos elementos. O primeiro deles é o cabeçalho, onde é incluída a versão do HijackThis, a data, a versão do sistema, a versão do Internet Explorer e as variáveis de ambiente, se a opção foi marcada na aba “Misc Tools”.

Logfile of HijackThis v1.99.1Scan saved at 21:47:33, on 13/3/2005Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Na primeira linha, está a versão do HijackThis. É muito importante que você esteja usando a última versão para evitar erros e poder ver todas as entradas descritas nesse documento.

A data apresentada no HijackThis respeita as configurações inseridas nas “Opções Regionais” do Painel de Controle, portanto em um sistema em inglês é bem provável que o mês/dia estejam invertidos.

Caso a opção de mostrar as variáveis de ambiente esteja selecionada, o cabeçalho incluirá as seguintes informações:

Windows folder: C:\WINNT [pasta do Windows]System folder: C:\WINNT\SYSTEM32 [pasta do sistema]Hosts file: C:\WINNT\System32\drivers\etc\hosts [localização do hosts]

Depois disso, o HijackThis apresentará uma lista dos processos rodando. Essa lista só será incluída se a opção ‘Include list of running process in logfiles’ estiver marcada na aba Main, e esta opção está marcada por padrão.

Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exe

Você pode usar o gerenciador de procesos dentro do HijackThis ou o Gerenciador de Tarefas do Windows 2000/XP para encerrar processos ruins. No Windows 9x/Me você deve usar o do HijackThis, já que o CTRL+ALT+DEL não apresenta todos os processos.

Para determinar se um processo é bom ou ruim, você deve usar o bom senso para determinar o que é suspeito e o que não é. Isso parece ser difícil e é por este motivo que recomendamos cautela com o HijackThis. Existem várias bibliotecas online com listas do que é bom e o que é ruim. Nós também temos uma lista de processos, mas geralmente você não deve se basear somente em listas porque muitas vezes você encontrará um processo que não está em lista alguma. Além disso, os adwares recentes infectam processos legítimos.

Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de scanner é extremamente útil para determinar quais processos são bons ou ruins, além de várias outras entradas no log, que veremos mais à frente.

Note que a lista de processos não é apresentada na tela principal do HijackThis, apenas no log. Ao invés de finalizar os processos é geralmente recomendado que você utilize o Modo de Segurança, onde a maioria dos processos ruins não são executados.

Porque é importante que os processos não estejam rodando?

Se você tentar remover um trojan enquanto ele estiver rodando como processo (na memória), você pode bater em duas paredes:

1. Não será possível apagar o arquivo (ele está sendo usado pelo Windows) 2. Ao apagar a chave dele no registro, ela será recriada instantaneamente

Nossa sugestão é sempre usar o Modo de Segurança e, caso os processos ainda estejam rodando no Modo de Segurança, finalize-os lá e então execute a correção ainda no Modo de Segurança.

Após o fim da lista de processos, começamos com as entradas do HijackThis.

As entradas no log do HijackThis

O log do HijackThis é dividos em vários grupos identificados unicamente pelos primeiros caracteres da linha, por exemplo:

O2 - …

O identificador é sempre seguido de um espaço e um traço. Por este motivo, é correto dizer que o identificador são todos os caracteres antes do primeiro traço.

Nas páginas a seguir você verá os identificadores e saberá o que cada um significa. Antes disso, porém, é recomendado você saiba como interpretar caminhos do registro.

Nesta Página

R0, R1, R3 — Configurações do IE F0, F1, F2, F3 — Inicialização Rara N1, N2, N3, N4 — Configurações do Netscape

R0, R1, R3 — Configurações do IE

Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas listam a página inicial, a página padrão de busca e outros.

No Registro

HKLM\Software\Microsoft\Internet Explorer\Main HKCU\Software\Microsoft\Internet Explorer\SearchURL:

(Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search HKLM\Software\Microsoft\Internet Explorer\Search

Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará seus valores também.

No Disco -

ObservaçõesQuando houver (obfuscated) ao lado de uma entrada, isso significa que a mesma está em valor hexadecial e que o HijackThis converteu ela para o valor legível.

Detalhes

Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é bom ou ruim. Se for ruim ou indesejado, você marca.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

Nesse caso, o Google é seguro, portanto não há problema. Também há as R3, SearchHook:

R3 - Default URLSearchHook is missingR3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL

Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Se ao lado do nome do arquivo estiver um (file missing) significa que o HijackThis não encontrou o arquivo no disco.

Observações

Existe uma entrada que você deve ter cuidado. A que trata de proxies:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = https://

O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns utilizam proxies locais. Se o proxy estiver com um endereço do tipo 192.168.0.1 ou outro endereço interno da rede, é provável que a entrada seja legítima. Se a entrada for legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser recuperada através do backup do HijackThis).

O ProxyOverride significa que ele não será usado em URLs que começam com https (SSL).

Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.

Como saber

Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada tiver um res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questão para ver se são maliciosos ou não.

Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente você saberá do que se trata.

Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema.

F0, F1, F2, F3 — Inicialização Rara

Essas entradas mostram os arquivos que serão iniciados com o Windows através dos arquivos INI do sistema.

No Registro HKLM\Software\Microsoft\Windows

NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\IniFileMapping

No Disco c:\windows\system.ini c:\windows\win.ini

ObservaçõesÉ raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo.

Detalhes

A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha qualquer visual. Um exemplo de shell alternativo é o Litestep.

É possível que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe é listado junto com este outro ’shell’, este outro shell na verdade é um trojan.

F0 - system.ini: Shell=Explorer.exe programa-ruim.exeF2 - REG:system.ini: Shell=explorer.exe programa-ruim.exe

programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também, tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma vírgula.

F2 - REG:system.ini: UserInit=userinit.exe, programa-ruim.exe

E aí temos o Load e o Run do Win.ini:

F1 - win.ini: run=arquivo.exeF3 - REG:win.ini: run=arquivo.exe

Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.

Observações

1. É necessário um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legítimo é feito por drivers e outros programas críticos ao bom funcionamento do sistema

Como saber

Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos, envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou não, ou apenas use seu antivírus favorito.

N1, N2, N3, N4 — Configurações do Netscape

Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do Netscape.

No Registro -No Disco prefs.js

ObservaçõesCada entrada se refere a uma vesão diferente do navegador, mas apresentam os mesmos dados.

Detalhes

A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla.

N1 - Netscape 4: user_pref(”browser.startup.homepage”, “www.google.com”); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Observações

-

Como saber

Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.

Nesta Página

O1 — Hosts O2, O3 — Programas do IE O4 — Inicialização do Sistema O5, O6, O7 — Restrições

O1 — Hosts

Essa entrada lista todos os redirecionamentos do arquivo HOSTS.

No Registro [HKLM\System\CurrentControlSet\Services\Tcpip\Parameters]

DatabasePath

No Disco

%WINDIR%\hosts [Windows 9x/ME] %WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP]

Onde %windir% é a pasta do Windows. Essa é a localização padrão do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar.

ObservaçõesAlguns admnistradores usam arquivos HOSTS em redes internas.

Detalhes

Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona.

O1 - Hosts: 0.0.0.0 www.google.com

Observações

1. Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas.

2. Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1 vai mostrar onde o arquivo Hosts está localizado.

O1 - Hosts file is located at C:\Windows\Help\hosts

Como saber

Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster.

02, O3 — Programas do IE

As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

No Disco -Observaçõe

sEssas entradas funcionam através de CLSIDs

Detalhes

Os BHOs são usados principalmente por hijackers para trocar a página inicial e monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca diferente do qual ele está acostumado a usar.

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

Observações

1. Se em vez do nome você ver um (no name), a entrada não possui um nome 2. Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo

associado 3. Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não

encontrou o arquivo no disco 4. Ao consertar uma entrada o O2, a chave no registro é apagada e o arquivo é

removido. Essa é a única entrada do HijackThis em que o programa se encarrega de apagar o arquivo mencionado na chave

Importante: As primeiras três observações acima valem para diversas outras entradas! Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.

Como saber

Existem diversas listas especializadas em BHOs e Toolbars na Internet. Nós temos a biblioteca de CLSIDs para listar BHOs e outras entradas que utilizam CLSIDs. Uma boa referência é a lista da CastleCops, mas existem diversas outras: basta procurar na Internet pela seqüencia entre as chaves ou pelo nome do arquivo.

O4 — Inicialização do Sistema

A entrada O4 é uma das entradas mais importantes exibidas do HijackThis. Ela lista diversas chaves do registro que são usadas para iniciar programas automaticamente junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’ do Windows que também pode ser usada para iniciar aplicativos e, portanto, trojans.

No Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

No DiscoA pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia

dependendo da versão do sistema e do nome do usuário.Observaçõe

sOs arquivos mencionados nessas entradas geralmente também estão presentes na lista de processos

Detalhes

No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Inicar do menu iniciar.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O valor entre os colchetes significa o nome do dado do registro presente na chave denominada no início da linha. No exemplo, existe o dado “nwiz” na chave Run do HKLM (veja a lista de chaves usadas para saber o caminho completo até a chave).

Observações

1. O HijackThis não apaga o arquivo relacionado com a entrada 2. O HijackThis não verifica se o arquivo existe, portanto não haverá um (file

missing)

Como saber

Embora seja um pouco difícil saber quais entradas são falsas e quais são legítimas, isso pode ser feito de algumas maneiras:

Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo Verifique as propriedades do arquivo para saber mais sobre o mesmo Procure na Internet em listas como AnswersThatWork e CastleCops

Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo. Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME).

O5, O6, O7 — Restrições

A presença de uma dessas entradas demonstram que algumas restrições foram colocadas no sistema.

No Registro HKCU\Software\Policies\Microsoft\Internet Explorer\

Restrictions

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

No Disco control.ini

Observações -

Detalhes

Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas no Painel de Controle. A presença de uma O6 inidica que algumas outras opções no Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é incapaz de executar o editor de registro do Windows.

O5 - control.ini: inetcpl.cpl=no

Observações

-

Como saber

Se você ou o administrador da sua rede não colocou essas restrições, marque as entradas.

Nesta Página

O8, O9 — Novas Opções O10 — LSP O11 — Grupos de Opções O12 — Plugins do IE O13 — Prefixos O14 — Configurações Padrão do IE

O8, O9 — Novas Opções

As entradas O8 e O9 indicam novas opções no Internet Explorer.

No Registro HKCU\Software\Microsoft\Internet Explorer\MenuExt HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions

No Disco -Observações -

Detalhes

A entrada O8 se trata de novas opções no menu de contexto (clique inverso), já a entrada O9 aparecerá quando houver botões adicionais na barra de ferramentas ou no menu Ferramentas do Internet Explorer.

O8 - Extra context menu item: &Google Search -res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O9 - Extra button: Messenger (HKLM)O9 - Extra ‘Tools’ menuitem: Messenger (HKLM)

Observações

-

Como saber

Algumas entradas O9 são no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para verificar, fica mais fácil.

O10 — LSP

Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao arquivo encontrado será exibida.

No Registro HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\ParametersNo Disco -

ObservaçõesEssa entrada não deve ser marcada no HijackThis!

Detalhes

As entradas O10 simbolizam arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram que alguns arquivos referenciados no registro não estão presentes, o que significa que a conexão com a Internet pode não estar funcionando.

O documento sobre LSPs detalha o funcionamento dessa chave.

O10 - Broken Internet access because of LSP provider ‘imon.dll’ is missing

Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e não marque essas entradas no HijackThis.

A presença de uma O10 não necessariamente significa que há algo errado.

Observações

O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes.

Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a “corrente/escada LSP está quebrada”, quando na verdade tudo vai bem. Verifique você

mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença a um programa seguro, você deve deixar tudo como está, pois o problema foi causado por um bug no HijackThis.

Claro que, se a entrada pertence a um programa malicioso, você deve remover usando o LSPFix mas jamais deve marcar essa entrada no HijackThis!

Como saber

Existe a lista de LSPs do Zupe e a Linha Defensiva também tem a biblioteca de LSPs. Você precisa verificar nessas listas se os arquivos estão marcados como seguros ou não.

011 — Grupos de Opções

Essa entrada mostra grupos de opções adicionais no Internet Explorer.

No Registro HKLM\SOFTWARE\Microsoft\Internet

Explorer\AdvancedOptions

No Disco -Observações -

Detalhes

Quando há um grupo novo de opções na aba “Avançado” das configurações do Internet Explorer, uma entrada O11 será exibida.

O11 - Options group: [CommonName] CommonName

Marcando a entrada, o grupo de opções vai sumir.

Observações

-

Como saber

Somente o CommonName (do exemplo) utiliza essa entrada. Portanto só marque se você ver a entrada do CommonName.

O12 — Plugins do IE

As entrdas O12 representam plugins do Internet Explorer.

No Registro HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins

No Disco -Observações -

Detalhes

Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador.

Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Observações

1. Essa entrada é raramente utilizada para objetivos malicioso mas aparece com entradas legítimas com freqüencia.

Como saber

A única maneira é através de uma busca na Internet. Os plugins da Onflow, que possuem uma extensão .OFB, são maliciosos.

O13 — Prefixos

Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o Internet Explorer.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

No Disco -Observaçõ

esExistem diversos prefixos diferentes que serão denominados no início da entrada

Detalhes

Os prefixos de URL são adicionados em todas URLs que você visita sem definir o protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o protocolo, o Internet Explorer redireciona você automaticamente, adicionando um HTTP:// ou FTP:// no endereço. Mas ao invés de HTTP:// ou FTP:// ele pode ser configurado para adicionar qualquer coisa antes do endereço.

O13 - WWW. Prefix: http://ehttp.cc/?

Esse prefixo, por exemplo, faz com que todas URLs que começam com WWW sem o HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar www.example.com, você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba quais os sites que você visita. Se você digitar http://www.example.com, entretanto, nada vai acontecer.

Se você não consegue navegar pois tudo está sendo redirecionado, tente colocar o HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados.

Observações

-

Como saber

Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve marcar a entrada.

O14 — Configurações Padrão do IE

As entradas O14 mostram as configurações padrão do IE quando você selecionar as opções padrão da Internet.

No Registro -

No Disco C:\WINDOWS\inf\iereset.inf

Observações -

Detalhes

O arquivo IERESET.INF guarda as configurações que serão usdas quando as configurações do Internet Explorer forem resetadas.

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um redirecionamento através do site da Microsoft.

Observações

-

Como saber

Faça como nas entradas R0.

Nesta Página

O15 — Sites confiáveis O16 — ActiveX O17 — Configurações da rede

O15 — Sites confiáveis

A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet Explorer.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

No Disco -Observações -

Detalhes

As entradas O15 mostram os sites presentes na lista de “Sites confiáveis” do Internet Explorer. Diversos hijackers se adicionam nessa lista para poderem executar livremente qualquer código.

O15 - Trusted Zone: http://www.linhadefensiva.orgO15 - Trusted IP range: 206.161.125.149O15 - Trusted IP range: 206.161.125.149 (HKLM)

O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um (HKLM) ao lado do site como:

O15 - Trusted Zone: http://www.linhadefensiva.org (HKLM)

Nesse caso é preciso baixar o DelDomains, clicar com o botão direito no DelDomains.inf e clicar em Instalar. Isso removerá todas as entradas presentes nos sites confiáveis e nos sites restritos. Portanto se você tinha alguma entrada nos sites restritos, é necessário adicioná-las novamente.

A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos, Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma entrada como a exibida abaixo:

O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone (HKLM)

Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiáveis!

Observações

1. O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains para remover as entradas que o HijackThis não consegue remover

Como saber

As entradas iniciadas com ProtocolDefaults são sempre ruins, então marque-as.

Já as entradas que listam sites, você deve verificar os sites como faz com as R0.

O16 — ActiveX

As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer (Downloaded Program Files).

No Registro HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution

Units

No Disco -ObservaçõesAs entradas O16 fazem o uso de GUIDS/CLSIDS

Detalhes

Essas entradas mostram os programas ActiveX instalados pelo usuário.

O16 - DPF: {11120607-1001-1111-1000-110199901123} - C:\x.cabO16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) -http://www.ipix.com/download/ipixx.cab

Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornográficos e GAIN. Por outro lado, eles também são usados por programas legítimos, como antivírus online.

Observações

-

Como saber

O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins. Você pode usar a opção “Find” para procurar pelo CLSID no banco de dados do programa. Se ele estiver lá, é ruim.

Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela é provavelmente resultado da exploração de alguma falha no Internet Explorer e é, portanto, ruim.

Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem começa a usar o HijackThis (mas não seja enganado pelos sites falsos como akamai.downloadv3.com).

O17 — Configurações da rede

A entrada O17 lista diversas configurações de rede/Internet do Windows.

No Registro O HijackThis exibe a chave de onde ele tirou a configuração em questãoNo Disco -

ObservaçõesMarcar entradas O17 legítimas vão desconfigurar a rede!

Detalhes

Depois que o hijacker da C2Media começou a modificar as configurações de rede, o HijackThis adicionou a entrada O17 para exibir essas configurações. O HijackThis não consegue “consertar” as configurações da rede e apenas apaga as mesmas caso você marque a entrada.

017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É importante lembrar que nem todos os computadores são reconfigurados automaticamente na ausência de uma servidor de DNS.

A entrada O17 também exibe o nome de domínio ao qual o computador pertence, se estiver em um.

Observações

1. Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador da rede para saber como reconfigurar a rede.

2. Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na Internet para efetuar a reconfiguração.

Como saber

Para servidores de DNS (como no exemplo), você precisa saber se os endereços pertencem ao seu provedor. O Brasil só utiliza endereços IP que iniciam com 200 e 201, portanto qualquer outro endereço provavelmente é ruim. Na dúvida, fale com seu provedor.

Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu provedor ou administrador de rede.

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br

Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu provedor ou administrador de rede se há um domínio configurado para o seu sistema e se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim.

Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis.

Nesta Página

O18 — Protocolos e MIMEs O19 — Folhas de Estilo O20 — Inicialização Problemática O21, O22 — Inicialização pelo Shell O23 — Serviços NT

O18 — Protocolos e MIMEs

Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.

No Registro

HKLM\SOFTWARE\Classes\PROTOCOLS\ HKLM\SOFTWARE\Classes\CLSID HKLM\SOFTWARE\Classes\PROTOCOLS\Handler HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

No Disco -

ObservaçõesPara entender algumas entradas aqui você precisa saber o que são tipos MIME.

Detalhes

Os hijackers de protocolo podem controlar o modo que certas informações trafegam pelo computador.

O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Já os hijackers de tipos MIME podem controlar as informações de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir anúncios publicitários indevidamente.

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} -C:\WINDOWS\SYSTEM\XPLUGIN.DLL

Observações

1. Alguns programas instalam protocolos extras, então nem sempre essa entrada é ruim

Como saber

Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo. Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.

O19 — Folhas de Estilo

Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.

No Registro [HKCU\Software\Microsoft\Internet Explorer\Styles]

User Stylesheets

No Disco -Observações -

Detalhes

As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado através de folhas de estilo e por isso alguns hijackers começaram a usar as folhas de estilo.

O19 - User style sheet: c:\WINDOWS\Java\my.css

Observações

1. Assim como nas demais entradas, o HijackThis não apaga o arquivo listado

Como saber

Se você não configurou uma folha de estilos no IE, marque.

O20 — Inicialização Problemática

A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.

No Registro

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

No Disco -

ObservaçõesEssa entrada lista dois métodos raríssimos de inicialização que merecem extremo cuidado

Detalhes

A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.

O AppInit_DLls é chamado quando qualquer programa é executado, ou seja, toda vez que você executa um programa, o AppInit é executado também. Muitas vezes a chave do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente é usado por infecções de CoolWebSearch.

O20 - AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll

O WinLogon Notify é executado quando você faz logon no Windows. É usado por infecções Look2Me e trojans HaxDoor.

O20 - Winlogon Notify: drct16 - drct16.dll

Observações

1. Não é recomendável usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor malicioso, ambos serão removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, é sempre recomendável editar a chave AppInit_DLLs manualmente no registro.

2. Se não for possível editar a chave AppInit, é necessário renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, não a pasta Windows).

Como saber

Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você pode também procurar informações na Internet.

Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete on Reboot ou Replace on Reboot.

O21, O22 — Inicialização pelo Shell

As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o Windows.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

No Disco -ObservaçõesUtilizam CLSIDs

Detalhes

A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam inclusive no Modo de Segurança.

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -C:\WINDOWS\System\auhook.dll

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Observações

1. Essas entradas funcionam em modo de segurança 2. Esses métodos de inicialização não são documentadas pela Microsoft

Como saber

Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no arquivo, se houver dúvidas.

O caso mais recente de uso de uma dessas entradas é o HotOffers, que usa a O22 mas não é exibido no HijackThis.

O23 — Serviços NT

As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003.

No Registro HKLM\SYSTEM\CurrentControlSet\Services

No Disco -ObservaçõesO HijackThis não lista drivers, apenas serviços

Detalhes

A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam essa entrada sabem se disfarçar de uma meneira bem inteligente.

O23 - Service: System Startup Service (SvcProc) - Unknown owner -C:\WINDOWS\svcproc.exe

Entre os parênteses o HijackThis exibe o nome interno do serviço.

Observações

1. Antes de marcar uma entrada O23 é importante parar os serviços. Clique em Iniciar » Executar, digite services.msc e clique em OK. Lá você poderá desativar e parar o serviço que você vai marcar no HijackThis

2. Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo 3. Para apagar serviços use o Delete an NT Service das ferramentas do HijckThis 4. O HijackThis não apaga o arquivo

Como saber

Existem duas listas principais para entradas O23:

1. AntiSpyware O232. CastleCops O23

Para remover os arquivos em entradas O23, recomenda-se a opção para apagar arquivos ao reiniciar, podendo ser usado através do HijackThis na seção Misc Tools ou com o KillBox

Nesta Página

Depois da Limpeza Eu Odeio Listas Brancas Conclusão

Depois da Limpeza

Depois que você finalizou a limpeza marcando as entradas no HijackThis, é importante que você utilize anti-spywares como Ad-Aware para limpar os arquivos restantes. Antivírus online, como o Housecall podem ser úteis também.

É importante também desativar e reativar a Restauração do Sistema. Ao desativá-la, você apagará todos os arquivos que ela salvou dos trojans que infectaram o seu sistema. Quando você reativar, ela estará limpa e pronta para funcionar, sem fazer com que o seu antivírus encontre trojans na pasta System Volume Information.

Eu Odeio Listas Brancas

O HijackThis possui uma opção via linha de comando chamada “Eu Odeio Listas Brancas”. O HijackThis esconde diversas entradas que ele sabe que são seguras através de uma “lista branca”. Isso diminui o tamanho do log e facilita a sua análise.

Mas se você executar o HijackThis com /ihatewhitelists através do Executar, essas entradas serão exibidas. Todas as entradas exibidas através dessa opção são seguras e não devem ser marcadas.

Essa opção só foi listada aqui para que o HijackThis Completo seja mesmo completo. Mas isso não deve ser usado.

Conclusão

O HijackThis, por ser um programa poderoso, torna-se também complexo e perigoso. Tenha muito cuidado ao utilizar o HijackThis para apagar coisas que você não sabe. Se precisar de ajuda, você poderá tirar suas dúvidas através do nosso fórum.

Para utilizar o HijackThis com toda a sua capacidade, é necessário conhecimento sobre as últimas pragas que circulam pela Internet e saber como elas funcionam e como as mesmas fazem para permanecer no sistema para usar o HijackThis e eliminar sua infecção.

O HijackThis não é, de qualquer forma, substituto para os anti-spywares. Ele é capaz de acabar com a infecção ativa no sistema, mas não é capaz de limpar as dezenas de arquivos que as pragas criam enquanto fazem o seu trabalho sujo.

Infelizmente, mesmo com esse tutorial, identificar as infecções pode ser um trabalho complicado e eu tentei facilitar esse trabalho da melhor forma possível. Tome cuidado, e boa sorte!

Fonte: Linha Defensiva

URL: http://linhadefensiva.uol.com.br/docs/hijackthis-completo/1/

Geração do PDF: Adão Braga - adaobraga@holistica.com.br