- Linha Defensiva - http://www.linhadefensiva.

org -
HijackThis Completo
Posted By Altieres Rohr On 04/06/2005 @ 01h41 In Ferramentas | Comments Disabled
Consideraes Iniciais
O HijackThis um programa que nos fornece informaes do sistema. Essas informaes nos permitem
verificar se h algum software maliciosos presente. Entretanto, o HijackThis no lhe diz exatamente quais os
problemas que esto ali, to pouco lhe d instrues especficas para a remoo de qualquer praga. Com o uso
do HijackThis pode ser possvel, pelo menos, obter mais informaes sobre o problema que voc tem,
facilitando a busca por informaes para a sua resoluo.
Aqui voc encontrar informaes sobre os dados que o HijackThis coleta e o que eles significam. O que voc
precisa aprender relacionar estes dados com as informaes tcnicas de trojans e worms, para saber onde
est o verdadeiro problema.
Usar o HijackThis no simplesmente marcar todas as entradas ruins que esto presentes. O HijackThis
somente a porta de entrada para uma anlise completa do estado de segurana de um sistema Windows.
Importante
IE ser usado diversas vezes nesse documento para denominar o Internet Explorer
[1]
.
Introduo
Afinal, o que o HijackThis?
O autor do programa se chama Merijn (Merlin em alemo) e define o HijackThis como O nico Detector e
Removedor Genrico de Hijackers. Na prtica, ele no detecta somente hijackers, mas tambm diversos
trojans, spywares, adwares, worms e at mesmo, indiretamente, a presena de rootkits.
Neste documento voc aprender todas as funcionalidades do HijackThis. Esse documento completo cobrir
tambm diversos aspectos do sistema, os quais so importantes para um entendimento das funcionalidades do
programa.
O HijackThis no um removedor de spywares como os demais. Ele simplesmente lista para voc diversas
reas do sistema onde as pragas se instalam e lhe d a opo de consertar o problema (marcando a entrada).
Como as diversas reas utilizadas por pragas digitais so tambm usadas por programas legtimos, resta ao
usurio saber o que deve ser marcado e o que deve permanecer.
O HijackThis completamente intil contra vrus clssicos que infectam arquivos, embora ele seja capaz de
detectar alguns que criam chaves no registro para serem executados. Nesse caso ser necessrio um antivrus
ou uma ferramenta de remoo para limpar os arquivos infectados.
Danos causados pelo HijackThis
Se voc marcar alguma entrada no HijackThis que legtima, seja por engano ou desconhecimento, o que pode
acontecer?
Desabilitar programas
Marcando certas entradas incorretas voc pode desabilitar programas como antivrus, drivers, firewalls e
diversos outros utilitrios. Reinstalar os programas sempre resolve o problema.
Retirar funcionalidades
possvel, por exemplo, desabilitar barras de ferramentas ou programas de proteo do Internet Explorer,
assim como retirar vrios botes, menus e plugins do navegador.
Desconfigurar a rede
O HijackThis tambm pode zerar a configurao de rede, como servidores DNS e o domnio ao qual o
computador pertence. Os proxies utilizados pelo Internet Explorer tambm so mostrados e, ao marcar a
entrada, so zerados. Isso pode ocasionar perda de conectividade com a web e outros servios. Nesse
caso necessrio reconfigurar a rede.
Tambm possvel corromper as entradas da escada LSP do Winsock
[2]
. Nesse caso necessrio
desinstalar o TCP/IP em todos os adaptadores de rede e reinstalar para que a escada seja reconstruda.
Se voc reinstalar o Windows (usando a opo Reparar), o problema no ser resolvido. Existem outras
maneiras de recuperar a escada veja o documento sobre LSP
[2]
. Esse problema raro de acontecer,
pois o HijackThis possui um sistema de proteo para que ele no remova entradas onde h risco do
LSP quebrar.
Nota: A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta prpria, como
C:\HijackThis. Desse modo ele criar backups de cada entrada marcada, sendo apenas necessrio recuperar o
backup. Isso no ser possvel se o HijackThis estiver executando a partir de um ZIP.
A tela de Abertura
Ao abrir o HijackThis voc ser apresentado com a tela de QuickStart.
Nota: Se a tela acima no for apresentada, voc marcou a ltima caixa para que ela no seja mais mostrada ou
voc est usando uma verso antiga do HijackThis.
Clique em None of the above, just start the program. Voc ver a tela principal do HijackThis.
A tela principal do HijackThis
Se voc clicar em Scan, voc ver as entradas detectadas pelo HijackThis. O Scan basicamente um
processo onde o HijackThis busca no registro vrias informaes sobre o sistema, como os ActiveX
[3]
, BHOs
[4]
e outros. Se voc selecionar a opo Do a system scan only no menu principal ele automaticamente faz esse
exame, no sendo necessrio clicar em Scan.
Ao selecionar uma entrada, voc pode clicar no boto Info on selected item para que o HijackThis lhe d mais
informaes sobre a entrada selecionada. Voc tambm pode marcar certas entradas e ento clicar no boto
Add checked to ignorelist para que o HijackThis ignore estas entradas no futuro e no mostre-as no log.
Note que o boto Scan se tornou o boto Save Log. Ao clicar no boto Save Log, o HijackThis vai salvar um
arquivo de log com as informaes apresentadas mais a informao dos processos que esto rodando. O
HijackThis vai lhe pedir o nome e o local do arquivo para salvar. o mesmo que selecionar o boto Do a system
scan and save a logfile no menu principal, porm se voc selecionar o boto no menu principal o HijackThis
automaticamente salva o log em um arquivo chamado hijckthis.log e aqui ele lhe d a opo para escolher o
local onde voc quer salvar o arquivo do log.
Quando voc marcar determinadas entradas e clicar em Fix Checked o HijackThis vai tomar diferentes
providncias, dependendo da entrada. Se voc clicar em Info on selected item o HijackThis lhe diz o que ele vai
fazer ns veremos cada tipo de entrada em detalhe mais tarde.
O boto Info apresenta informaes genricas do HijackThis, incluindo uma breve explicao de cada entrada e
um changelog (arquivo que detalha as mudanas que um programa recebeu em cada verso).
O boto Config
Ao clicar no boto Config, a tela de configuraes do HijackThis aparece, com quatro abas no topo: Main,
Ignorelist, Backups, Misc Tools.
Main
Na aba Main podemos encontrar vrias configuraes do HijackThis.
Mark everything found for fixing after scan Caso marcada, ela faz com que todos os itens
encontrados no HijackThis sejam marcados. Use esta opo caso um log esteja muito infectado e seja
mais fcil desmarcar algumas entradas do que marcar todas as opes infectadas.
Make backups before fixing items faz backups antes de consertar alguma entrada. Muito til,
recomenda-se deixar marcado.
Confirm fixing & ignoring of items (safe mode) se desmarcada, essa opo retira as telas de
confirmao quando voc for ignorar ou consertar qualquer entrada.
Ignore non-standard but safe domains in IE uma pequnea lista branca que filtra entradas R1/R0. Se
desmarcada, todos os itens R1/R0 sero exibidos, mesmo que contenham domnios populares e
marcados como seguros. Essa opo, quando marcada, ajuda o log a ficar menor e mais limpo.
Include list of running processes in logfiles se desmarcada, o HijackThis no incluir a lista de
processos rodando no log. A lista de processos pode ser vista no Gerenciador de Tarefas
[5]
no Windows
NT/2000/XP por meio de ferramentas adicionais no Windows 9x/ME. recomendado deixar esta opo
marcada, j que informao nunca demais.
Show Intro frame at startup se desmarcada, esta opo retira a tela de inicializao, ou seja,
desmarcar essa opo tem o mesmo efeito que marcar o Dont show this frame again when I start
HijackThis na tela de boas-vindas. Marc-la ou no depende apenas de sua preferncia.
Run HijackThis scan at startup and ao marcar esta opo, o HijackThis se inclui nas entradas de
inicializao automtica do Windows. Assim ele pode scanear o sistema logo ao iniciar, pegando
entradas que se escondem automaticamente depois de um curto perodo de tempo e que no poderam
ser includas no log se ele for feito depois que o sistema estiver completamente inicializado. Essa opo
geralmente no muito til, mas vale a pena mencion-la mesmo assim.
As opes a seguir so os padres que o HijackThis utiliza quando voc conserta certos itens referentes ao
Internet Explorer:
Default Start Page a pgina inicial padro que o HijackThis colocar no Internet Explorer aps zerar as
entradas da pgina inicial. Preferncia do usurio.
Default Search Page a pgina de busca padro usada pelo Internet Explorer. Como essa entrada
normalmente modificada por hijackers, o HijackThis precisa de um valor para consert-la. Voc pode
configurar o valor usado atravs dessa opo.
Default Search Assistant Assistente de Busca do Internet Explorer.
Default Search Customize Personalizao de Busca do Internet Explorer.
Aba Ignorelist
Na aba Ignorelist voc pode encontrar os itens ignorados atravs do boto Add checked to ignorelist.
recomendado que voc limpe essa lista usando o boto Delete all aps instalar uma nova verso do
HijackThis.
As entradas removidas aqui no sero excludas, mas sim retiradas da lista de itens ignorados do HijackThis
para que estas voltem a aparecer no log normalmente.
Aba Backups
Caso a opo Make backups before fixing items esteja marcada na aba Main (e ela est marcada por padro),
o HijackThis cria backups de todos os itens marcados. Nesta tela voc pode apagar backups individuais usando
o boto Delete, apagar todos os itens com o boto Delete all ou, caso queira alguma entrada de volta no seu
lugar, usar o boto Restore. Use esta tela sempre que algum programa ou recurso do sistema parar de
funcionar aps o HijackThis ter sido usado.
Misc Tools
Uma das melhores coisas sobre o HijackThis que ele possui um kit razoavelmente completo para a
manuteno do sistema. Alm de poder limpar reas problemticas do registro, ele possui diversas ferramentas
adicionais que dispensam a necessidade de instalar ou baixar ferramentas adicionais.
Generate Startuplist Log
[6]
Open Process Manager
[7]
Open hosts file manager
[8]
Delete a file on reboot
[9]
Delete an NT service
[10]
Open ADS Spy
[11]
Open Uninstall Manager
[12]
Advanced Settings
[13]
Check for Update online
[14]
Uninstall HijackThis & Exit
[15]
Generate Startuplist Log
O primeiro boto que vemos nessa tela o Generate startuplist log. Este boto gera um log do programa
StartupList, tambm desenvolvido pelo mesmo Merijn que criou o HijackThis. O Startup List mostra todos os itens
possveis de inicializao de programas no Windows, incluindo diversas reas que no so exibidas pelo
HijackThis. Por outro lado, o Startup List no nos d a opo para corrigir qualquer coisa encontrada. As duas
caixas presentes ao lado do boto fazem com que o log do Startup List seja mais completo recomendado
marc-las sempre antes de fazer um log do Startup List.
Nota: O Startup List uma ferramenta muito avanada. Por ser um programa adicional, a interpretao de logs
startuplist no ser includa neste documento.
Open Process Manager
Depois vemos o boto Open Process Manager. Ao clicar, o Itty Bitty Process Manager ser aberto.
Este programa muito til principalmente nos Windows 9x e ME, pois o Gerenciador Tarefas deles muito
simples e no inclui os programas registrados como processos.
Embora exiba menos informaes que o gerenciador de processos padro do Windows, ele permite que mais
de um processo seja selecionado (usando as teclas CTRL e SHIFT) e inclui a opo Show DLLs, que cria um
novo painel onde exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados so
chamados de mdulos e alguns trojans se injetam como mdulos em processos de sistema para serem
executados sem um processo visvel na lista normal. Isso muito raro, portanto a maioria dos DLLs listados so
seguros.
O boto Kill Process finaliza o(s) processo(s) selecionado(s). O boto Refresh atualiza a lista de processos e
o boto Run inicia um programa ou processo da mesma maneira que o boto Nova Tarefa do Gerenciador de
Tarefas.
Ele tambm possui dois cones ao lado da opo Show DLLs O primeiro (da esquerda para a direita) o Copy
list do clipboard que copia a lista de processos para que voc possa Colar ela em qualquer lugar. O cone do
disquete salva a lista para um arquivo texto.
Open hosts file manager
Este um pequeno programa para editar o arquivo HOSTS
[16]
. Depois de selecion-lo, utilize o boto Open in
Notepad para abrir o arquivo no Bloco de Notas onde muito mais fcil gerenciar o arquivo HOSTS. Como
referencia, o boto Delete line(s) apaga a(s) linha(s) selecionada(s) e o boto Toggle Line(s) tira ou coloca um
# no incio da linha. Leia o documento sobre o HOSTS
[16]
para entender mais sobre isso.
Delete a file on reboot
Provavelmente uma das ferramentas mais simples e teis.
O Windows possui um recurso chamado PendingFileRenameOperations que pode executar operaes com os
arquivos (tais como apagar, renomear e mover) antes que o sistema seja completamente iniciado. Isso pode ser
usado para apagar arquivos que o Windows sempre afirma estarem em uso. til para remover cavalos de
tria antes que eles sejam inicializados, sem dar chance para que eles tentem se proteger.
Aps selecionar o boto, tudo que voc precisa selecionar o arquivo a ser apagado (ou copiar & colar o
caminho completo do arquivo) e clicar em Abrir. Aps isso, o HijackThis vai perguntar se voc quer reiniciar o
Windows. Na maioria das situaes, voc vai querer responder No para reiniciar manualmente mais tarde.
O Pocket KillBox
[17]
possui mais opes baseadas nesse recurso do Windows, incluindo opes de troca de
arquivos, que possuem mais chance de funcionar do que operaes que s excluem os arquivos.
Delete an NT service
Vrios trojans recentes se instalam atravs de servios do Windows NT
[18]
. Mesmo que um antivrus ou anti-
spyware remova o arquivo iniciado pelo servio, este ainda ser listado nas ferramentas administrativas junto
com os demais.
com esta ferramenta que o HijackThis pode apagar um servio para voc. Voc pode usar o nome completo de
exibio do servio ou o nome verdadeiro do servio. Note que os Servios s esto disponveis no Windows
NT/2000/XP.
Para obter a lista de servios no seu sistema, clique em Iniciar -> Executar, digite services.msc e clique em OK.
Clique com o boto direito no servio que voc quer apagar e clique em Propriedades. Voc pode usar tanto o
Nome para exibio quanto o Nome do servio no HijackThis para remov-lo da lista.
Nota: Tome extremo cuidado ao utilizar essa ferramenta! No possvel recuperar os servios depois que eles
foram removidos!
Open ADS Spy
Essa uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data Streams
[19]
(ADS). Ela
est disponvel separadamente no site de Merijn
[20]
.
Se opo do Quick scan for marcada, somente a pasta do Windows ser examinada. A opo Ignore safe
system info streams ignora entradas ADS geralmente seguras, como a informao colocada na aba Resumo
dos arquivos. J a opo para calcular MD5 deve ser apenas utilizada se voc quiser desenvolver ferramentas
para a remoo de um certo tipo de malware.
Nem todos os ADS encontrados so maliciosos. Mesmo se a opo Ignore safe system info streams estiver
marcada, o ADS Spy ainda pode encontrar streams seguras, como streams utilizadas por antivrus. Faa sempre
uma pesquisa antes de apagar qualquer stream. Veja nosso documento sobre streams
[19]
para saber mais.
Open Uninstall Manager
Muitos programas, aps desinstalados, deixam entradas na lista do Adicionar/Remover Programas. Se isso no
fosse o suficiente, vrios trojans (principalmente hijackers) comearam a incluir entradas no Adicionar/Remover
Programas para, supostamente, desinstal-los do sistema.
A realidade que geralmente estas entradas no funcionam e, aps o usurio remover o problema
manualmente , ficam aquelas entradas na lista. Com esta opo voc pode retir-los de l.
Para apagar uma entrada necessrio selecionar a opo Delete this entry e ento confirmar a ao clicando
em Sim. A opo para Editar comando edita o caminho para o programa executado pelo Windows para
desinstalar o software selecionado recomendado que voc no troque os comandos sem ter certeza
absoluta do que est fazendo.
Advanced Settings
Depois da lista de ferramentas, o HijackThis lista duas opes avanadas:
Calculate MD5 of files if possible
Include environment variables in logfile
A primeira opo coloca o MD5 dos arquivos para incluir no relatrio/log. Isso apenas til se voc sabe o hash
[21]
MD5 do arquivo que voc quer remover ou est desenvolvendo uma ferramenta para a remoo dos arquivos.
A segunda opo inclui variveis de ambiente, como a localizao da pasta Windows e a localizao do arquivo
HOSTs nada muito til.
Check for Update online
O HijackThis pode verificar a existncia de uma nova verso do HijackThis nos servidores da SpywareInfo
[22]

basta clicar neste boto. Se voc utiliza um proxy para a conexo, voc pode defin-lo na caixa de texto logo abaixo
do boto.
Uninstall HijackThis & Exit
Para salvar todas as configuraes definidas, o HijackThis cria diversas chaves no registro. Com este boto, o
HijackThis apaga essas chaves. Note que o arquivo do HijackThis no removido e nem os backups so
removidos. A Ignore List, por outro lado, removida.
Nesta Pgina
O log do HijackThis
[23]
CLSIDs
[24]
O Incio do log
[25]
As entradas no log do HijackThis
[26]
O log do HijackThis
importante que voc leia todas as pginas anteriores antes das informaes que seguem.
CLSIDs
Um CLSID um programa registrado no Windows. Ele possui um identificador nico (GUID) e ele vai ser
executado toda vez que este GUID for chamado. Um exemplo de GUID:
{8E718888-423F-11D2-876E-00A0C9082467}
Nota: Os GUIDs usam qualquer letra entre A-F e qualquer nmero, mas eles esto sempre nesse formato (8-4-4-
4-12).
O Windows usa isso como referncia no registro. Por exemplo, uma chave de um plugin para o Internet
Explorer, ao invs de referenciar diretamente um arquivo que ser carregado, ela referencia o GUID X. No registro
dos CLSIDs HKCR\CLSID o GUID X est presente e informando qual o arquivo ser executado e algumas
opes para sua executao. O HijackThis apresenta os CLSIDs e os arquivos que eles referenciam
automaticamente.
Como os GUIDs so nicos e os arquivos ao qual eles apontam muitas vezes aleatrio, voc pode procurar
informaes da praga usando o GUID (se ela utiliza um). Desse modo voc conseguir saber sobre a entrada
mesmo que o arquivo no tenha sido encontrado pelo HijackThis ou se o arquivo mudou devido a uma nova
verso do programa que usa aquele GUID.
Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o arquivo real que ser
executado. Como muitas vezes o mesmo programa pode usar arquivos diferentes em verses distintas, mas
usa o mesmo GUID, fica mais fcil, em algumas ocasies, obter informaes usando o GUID ao invs do
arquivo. As entradas que tiverem seqncias como a exibida acima usam esse sistema de CLSIDs (Class IDs)
do Windows.
O Incio do log
O log do HijackThis possui diversos elementos. O primeiro deles o cabealho, onde includa a verso do
HijackThis, a data, a verso do sistema, a verso do Internet Explorer e as variveis de ambiente, se a opo foi
marcada na aba Misc Tools.
Logfile of HijackThis v1.99.1
Scan saved at 21:47:33, on 13/3/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Na primeira linha est a verso do HijackThis. muito importante que voc esteja usando a verso mais recente
para evitar erros e ver todas as entradas descritas aqui.
A data apresentada no HijackThis respeita as configuraes inseridas nas Opes Regionais do Painel de
Controle, portanto em um sistema em ingls bem provvel que o ms/dia estejam invertidos.
Caso a opo para mostrar as variveis de ambiente esteja selecionada, o cabealho incluir as seguintes
informaes:
Windows folder: C:\WINNT [pasta do Windows]
System folder: C:\WINNT\SYSTEM32 [pasta do sistema]
Hosts file: C:\WINNT\System32\drivers\etc\hosts [localizao do hosts
[16]
]
Logo em seguida o HijackThis inclui uma lista dos processos em execuo. Essa lista s ser includa se a
opo Include list of running process in logfiles estiver marcada na aba Main. Esta opo est marcada por
padro.
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
Voc pode usar o gerenciador de processos dentro do HijackThis ou o Gerenciador de Tarefas
[5]
do Windows
2000/XP para encerrar processos ruins. No Windows 9x/Me voc deve usar o do HijackThis, j que o
CTRL+ALT+DEL no apresenta todos os processos.
Para determinar se um processo bom ou ruim, voc deve usar o bom senso para determinar o que suspeito
e o que no . Isso pode ser difcil e por este motivo que recomendamos cautela com o HijackThis. Existem
vrias bibliotecas
[27]
online com listas do que bom e o que ruim. Ns tambm temos
[28]
uma lista de
processos, mas geralmente voc no deve se basear somente em listas porque muitas vezes voc encontrar
um processo que no est em lista alguma. Alm disso, os adwares recentes infectam processos legtimos.
Existem diversos scanners on-line
[29]
que examinam somente um arquivo. Esse tipo de scanner
extremamente til para determinar quais processos so bons ou ruins, alm de vrias outras entradas no log,
que veremos mais a frente.
Note que a lista de processos no apresentada na tela principal do HijackThis, apenas no log. Ao invs de
finalizar os processos geralmente recomendado que voc utilize o Modo de Segurana
[30]
, onde a maioria dos
processos ruins no so executados.
Por que importante que os processos no estejam rodando?
Se voc tentar remover um trojan enquanto ele estiver rodando como processo (na memria), voc pode bater
em duas paredes:
1. No ser possvel apagar o arquivo (ele est sendo usado pelo Windows)
2. Ao apagar a chave dele no registro, ela ser recriada instantaneamente
Nossa sugesto sempre usar o Modo de Segurana e, caso os processos ainda estejam rodando no Modo de
Segurana, finalize-os l e ento execute a correo ainda no Modo de Segurana.
Aps o fim da lista de processos, comeamos com as entradas do HijackThis.
As entradas no log do HijackThis
O log do HijackThis divididos em vrios grupos identificados unicamente pelos primeiros caracteres da linha,
por exemplo:
O2
O identificador sempre seguido de um espao e um trao. Por este motivo, correto dizer que o identificador
so todos os caracteres antes do primeiro trao.
Nas pginas a seguir voc ver os identificadores e saber o que cada um significa. Antes disso, porm,
recomendado voc saiba como interpretar caminhos do registro
[31]
.
Nesta Pgina
R0, R1, R3 Configuraes do IE
[32]
F0, F1, F2, F3 Inicializao Rara
[33]
N1, N2, N3, N4 Configuraes do Netscape
[34]
R0, R1, R3 Configuraes do IE
Essas entradas esto relacionadas com as configuraes do Internet Explorer. Elas listam a pgina inicial, a
pgina padro de busca e outros.
No Registro
HKLM\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Search
Nota: Se a chave existe no HKCU alm do HKLM, o HijackThis pegar seus valores tambm.
No Disco -
Observaes
O (obfuscated) ao lado de uma entrada significa que a mesma est em valor hexadecial e que o
HijackThis a converteu para um formato legvel.
Detalhes
Aqui h diversas entradas. A maioria delas simples: voc verifica se o site listado bom ou ruim. Se for ruim ou
indesejado, voc marca.
R0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
Nesse caso, o Google seguro, portanto no h problema. Tambm h as R3, SearchHook:
R3 Default URLSearchHook is missing
R3 URLSearchHook: transURL Class {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}
C:\WINDOWS\System32\SEARCH~1.DLL
Para encontrar informaes sobre os SearchHooks, voc pode usar o nome (no exemplo transURL Class) o
GUID (entre as chaves) ou o nome do arquivo. Um (file missing) ao lado do nome do arquivo significa que o
HijackThis no encontrou o arquivo no disco.
Observaes
Existe uma entrada que voc deve ter cuidado. A que trata de proxies
[35]
:
R1 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = https://
O proxy utilizado muitas vezes em redes internas para compartilhar a conexo. Alguns utilizam proxies locais.
Se o proxy estiver com um endereo interno da rede, como 192.168.0.1, provvel que a entrada seja legtima.
Se a entrada for legtima e ela for marcada, o proxy ter de ser reconfigurado (ou a entrada ter de ser recuperada
atravs do backup do HijackThis).
O ProxyOverride significa que ele no ser usado em URLs que comeam com https (SSL).
Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas no so crticas ao sistema
e o dano, caso marcada incorretamente, ser mnimo.
Como saber
Para saber se a maioria dessas entradas maliciosa, no difcil. Se a entrada iniciar com res:// bem provvel
que ela seja maliciosa, mas isso no sempre. Nas entradas que demonstram sites, geralmente necessrio
visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questo
para ver se so maliciosos ou no.
Nas entradas R3 voc pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente
voc saber do que se trata.
Nas entradas que possuem proxy, o melhor perguntar ao dono do computador ou ao administrador se havia
um proxy configurado no sistema.
F0, F1, F2, F3 Inicializao Rara
Essas entradas mostram os arquivos que sero iniciados com o Windows por meio dos arquivos INI do sistema.
No Registro
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
No Disco
c:\windows\system.ini
c:\windows\win.ini
Observaes raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo.
Detalhes
A entrada F0 mostra o Shell que ser utilizado. O Shell um programa especial que interpreta os comandos do
usurio. O shell padro do Windows o explorer.exe. Ele constri o menu iniciar e os cones na rea de trabalho.
Existe a possibilidade de voc utilizar outro shell, desse modo voc pode fazer com que sua rea de trabalho
tenha qualquer visual. Um exemplo de shell alternativo o Litestep.
possvel que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe listado junto
com este outro shell, este outro shell na verdade um trojan.
F0 system.ini: Shell=Explorer.exe programa-ruim.exe
F2 REG:system.ini: Shell=explorer.exe programa-ruim.exe
programa-ruim.exe pode ser um trojan. Como o Shell ainda o Explorer.exe tambm, tudo ficar igual para o
usurio, mas o trojan estar rodando a partir de um dos locais mais incomuns existentes. A entrada F2 tambm
mostra o Userinit, que o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente
ruim. A diferena que em vez de um espao, os arquivos no Userinit so separados por uma vrgula.
F2 REG:system.ini: UserInit=userinit.exe, programa-ruim.exe
E a temos o Load e o Run do Win.ini:
F1 win.ini: run=arquivo.exe
F3 REG:win.ini: run=arquivo.exe
Os arquivos iniciados atravs destas entradas devem ser pesquisados. Alguns so legtimos (tais como alguns
drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos.
Claro que, como essa entrada geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.
Observaes
1. necessrio um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legtimo
feito por drivers e outros programas crticos ao bom funcionamento do sistema
Como saber
Existem diversas listas na Internet. s fazer uma busca na Internet usando o nome do arquivo em questo que
quase sempre voc saber do que se trata. Em ltimos casos, envie o arquivo para servios como o VirusTotal
[36]
para saber se o arquivo malicioso ou no, ou apenas use seu antivrus favorito.
N1, N2, N3, N4 Configuraes do Netscape
Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configuraes do Netscape.
No Registro -
No Disco prefs.js
Observaes
Cada entrada se refere a uma verso diferente do navegador, mas apresentam os mesmos
dados.
Detalhes
A N1 mostra as pginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e
finalmente as N4 do Mozilla.
N1 Netscape 4: user_pref(browser.startup.homepage, www.google.com); (C:\Program
Files\Netscape\Users\default\prefs.js)N2 Netscape 6: user_pref(browser.startup.homepage,
http://www.google.com); (C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Observaes
-
Como saber
Simplesmente verifique se as pginas so seguras ou no, como voc faz com as R0.
Nesta Pgina
O1 Hosts
[37]
O2, O3 Programas do IE
[38]
O4 Inicializao do Sistema
[39]
O5, O6, O7 Restries
[40]
O1 Hosts
Essa entrada lista todos os redirecionamentos do arquivo HOSTS.
No Registro
[HKLM\System\CurrentControlSet\Services\Tcpip\Parameters]
DatabasePath
No Disco
%WINDIR%\hosts [Windows 9x/ME]
%WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP]
Onde %windir% a pasta do Windows. Essa a localizao padro do HOSTS. A chave do
registro (acima) pode ser modificada para que ele esteja em qualquer lugar.
Observaes Alguns administradores usam arquivos HOSTS em redes internas.
Detalhes
Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts
[16]
para saber
como ele funciona.
O1 Hosts: 0.0.0.0 www.google.com
Observaes
1. Se o IP for um IP interno, como 192.168.0.x, bem provvel que o nome seja de um servidor da rede.
Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas.
2. Se o arquivo hosts estiver em outro lugar fora do padro, a primeira entrada O1 vai mostrar onde o arquivo
Hosts est localizado.
O1 Hosts file is located at C:\Windows\Help\hosts
Como saber
Se a entrada bloquear sites de antivrus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca
para um mesmo IP, provvel que o arquivo hosts esteja infectado. Se a infeco do arquivo for grande, melhor
abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster
[41]
.
02, O3 Programas do IE
As entradas O2 listam os Browser Helper Objects
[4]
instalados no Internet Explorer, enquanto as O3 listam
barras de ferramentas adicionais.
No Registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
No Disco -
Observaes Essas entradas funcionam atravs de CLSIDs
Detalhes
Os BHOs so usados principalmente por hijackers para trocar a pgina inicial e monitorar os sites visitados pelo
usurio. J os toolbars so usados para causar poluio visual, mostrar anncios e tentar convencer o usurio a
usar um servio de busca diferente do qual ele est acostumado a usar.
O2 BHO: NAV Helper {BDF3E430-B101-42AD-A544-FADC6B084872} C:\Arquivos de Programas\Norton
Antivirus\NavShExt.dllO3 Toolbar: Norton Antivirus {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll
Observaes
1. Se em vez do nome voc ver um (no name), a entrada no possui um nome
2. Se em vez do arquivo voc ver um (no file), a entrada no possui um arquivo associado
3. Se ao lado do nome do arquivo voc ver um (file missing), o HijackThis no encontrou o arquivo no disco
4. Ao consertar uma entrada O2, a chave no registro apagada e o arquivo removido. Esta a nica
entrada que o HijackThis se encarrega de apagar o arquivo mencionado (e a O4 Startup, que um caso
especial).
Importante: As primeiras trs observaes acima valem para diversas outras entradas! Se voc ver (no name),
(no file) ou (file missing) voc j sabe o que significa.
Como saber
Existem diversas listas especializadas em BHOs e Toolbars na Internet. Uma boa referncia a lista do
SystemLookup
[42]
, mas existem diversas outras: basta procurar na Internet pela seqencia entre as chaves
(no inclua as chaves em si) ou pelo nome do arquivo.
O4 Inicializao do Sistema
A entrada O4 uma das entradas mais importantes exibidas pelo HijackThis. Ela lista diversas chaves do
registro que so tipicamente usadas para iniciar programas junto com o sistema. Ela tambm lista os arquivos
presentes na pasta Inicializar, que tambm pode ser usada para iniciar aplicativos e, portanto, trojans.
No Registro
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
No Disco
A pasta Inicializar (no Windows NT/2000/XP) ou Iniciar (no Windows 9x). Ela se localiza dentro
do menu iniciar e seu local varia dependendo da verso do sistema e do nome do usurio.
Observaes
Os arquivos mencionados nessas entradas geralmente tambm esto presentes na lista de
processos
Detalhes
No incio da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali
que ele retirou os dados. Se ele lista Startup ou Global Startup, significa que uma listagem de um arquivo
presente na pasta Inicializar/Iniciar do menu iniciar.
O4 HKLM\..\Run: [nwiz] nwiz.exe /install
O4 Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat
7.0\Reader\reader_sl.exe
O4 Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat
7.0\Reader\reader_sl.exe
O valor entre os colchetes o nome da propriedade do registro presente na chave denominada no incio da linha.
No exemplo, existe a propriedade nwiz na chave Run do HKLM (veja a lista de chaves usadas na tabela acima
para saber o caminho completo at a chave).
Observaes
1. O HijackThis no apaga o arquivo relacionado com a entrada, com exceo das O4 do tipo Startup.
Como as entradas Startup so apenas os arquivos na pasta Inicializar, a nica maneira de remover o
arquivo da inicializao apagando-o. Note no entanto que a maioria dos programas legtimos usa
apenas um atalho (arquivo .lnk), como o Adobe Reader acima. Nesse caso o HijackThis apaga apenas o
.lnk para retirar o arquivo da inicializao.
2. O HijackThis no verifica se o arquivo existe, portanto no haver um (file missing)
Como saber
Embora seja um pouco difcil saber quais as entradas so falsas e quais so legtimas, isso pode ser feito de
algumas maneiras:
Use um antivrus ou um servio como o VirusTotal
[36]
para analisar o arquivo
Verifique as propriedades do arquivo para saber mais sobre o mesmo
Procure na Internet em listas como AnswersThatWork
[43]
e SystemLookup
[44]
Se, como no exemplo, o caminho completo at o arquivo no estiver listado, voc pode verificar a lista de
processos (no prprio log) para tentar descobrir o caminho completo. Caso contrrio as localizaes mais
provveis para o arquivo so as pastas do Windows e de sistema (C:\WINDOWS e C:\WINDOWS\System e
System32). O arquivo do exemplo (uma entrada legtima da nVidia) est na pasta do sistema (System32 no
Windows 2000/XP e System no 9x/ME).
O5, O6, O7 Restries
A presena de uma dessas entradas demonstra que algumas restries foram colocadas no sistema.
No Registro
HKCU\Software\Policies\Microsoft\Internet Explorer\
Restrictions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System
No Disco control.ini
Observaes -
Detalhes
Se uma entrada O5 estiver presente, as Opes da Internet no esto sendo exibidas no Painel de Controle. A
presena de uma O6 indica que algumas outras opes no Painel de Controle foram escondidas. J a presena
de uma O7 significa que o usurio incapaz de executar o editor de registro do Windows.
O5 control.ini: inetcpl.cpl=no
Observaes
-
Como saber
Se voc ou o administrador da sua rede no colocou essas restries, marque as entradas.
Nesta Pgina
O8, O9 Novas Opes
[45]
O10 LSP
[46]
O11 Grupos de Opes
[47]
O12 Plugins do IE
[48]
O13 Prefixos
[49]
O14 Configuraes Padro do IE
[50]
O8, O9 Novas Opes
As entradas O8 e O9 indicam novas opes no Internet Explorer.
No Registro
HKCU\Software\Microsoft\Internet Explorer\MenuExt
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
No Disco -
Observaes -
Detalhes
As entradas O8 se tratam de novas opes no menu de contexto (clique inverso), enquanto entradas O9
aparecero quando houver botes adicionais na barra de ferramentas ou no menu Ferramentas do Internet
Explorer.
O8 Extra context menu item: &Google Search res://C:\WINDOWS\DOWNLOADED PROGRAM
FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.htmlO9 Extra button: Messenger (HKLM)
O9 Extra Tools menuitem: Messenger (HKLM)
Observaes
-
Como saber
Algumas entradas O9 esto no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de
destino). Se a entrada for como as do exemplo, voc ter que ver se o nome de algum programa conhecido. Se
a entrada tiver um CLSID e um arquivo para verificar, fica mais fcil.
O10 LSP
Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao
arquivo encontrado ser exibida.
No Registro HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters
No Disco -
Observaes Essa entrada no deve ser marcada no HijackThis!
Detalhes
Entradas O10 so referentes aos Provedores de Servio em Camada (Layered Service Providers) LSP.
Sempre que o HijackThis encontrar algum LSP que ele no conhece, uma entrada O10 ir aparecer no log. Se o
HijackThis encontrar LSPs do New.net ou do webHancer, entradas especficas para essas infeces sero
mostradas, porm no recomendado marc-las. A utilizao de um programa de desinstalao prefervel.
Qualquer outra entradas O10 simboliza arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram
que alguns arquivos referenciados no registro no esto presentes, o que significa que a conexo com a Internet
pode no estar funcionando.
O documento sobre LSPs
[2]
entra em mais detalhes sobre a utilizao e funcionamento dos LSPs.
O10 Broken Internet access because of LSP provider imon.dll is missing
Sempre que voc encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e no
marque nada no HijackThis.
Nota: A presena de uma O10 no necessariamente significa que h algo errado, apenas que o HijackThis
encontrou um arquivo que ele no conhece.
Observaes
O HijackThis possui um bug onde ele no capaz de determinar exatamente quando um arquivo est ou no
presente. Isso no afeta somente a entrada O10, mas sim outras entradas. Com isso voc ver alguns (file
missing) quando os arquivos esto presentes.
Nas entradas O10, porm, isso crtico. Quando isso acontece o HijackThis alerta que a corrente/escada LSP
est quebrada, como no exemplo acima, quando na verdade tudo vai bem. Verifique voc mesmo se os arquivos
existem e, caso sua Internet esteja funcionando e a DLL pertena a um programa seguro, voc deve deixar tudo
como est, pois o problema apenas um erro no HijackThis.
Se a entrada pertence a um programa malicioso, basta remover usando o LSPFix. Nenhuma entrada O10 deve
ser marcada no HijackThis.
Como saber
Existe a lista de LSPs do SystemLookup
[42]
. Voc precisa verificar nessa lista se os arquivos esto marcados
como seguros ou no.
011 Grupos de Opes
Essa entrada mostra grupos de opes adicionais no Internet Explorer.
No Registro HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
No Disco -
Observaes -
Detalhes
Quando h um grupo novo de opes na aba Avanado das configuraes do Internet Explorer, uma entrada
O11 ser exibida.
O11 Options group: [CommonName] CommonName
Marcando a entrada, o grupo de opes vai sumir.
Observaes
-
Como saber
Somente o CommonName (do exemplo) utiliza essa entrada. Portanto s marque se voc ver a entrada do
CommonName.
O12 Plugins do IE
As entradas O12 representam plugins do Internet Explorer.
No Registro HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
No Disco -
Observaes -
Detalhes
Os plugins so instalados no Internet Explorer para fazer funes adicionais, como um BHO. Alguns plugins so
comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador.
Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Observaes
1. Essa entrada raramente utilizada para objetivos malicioso, mas aparece com entradas legtimas com
freqncia.
Como saber
A nica maneira fazendo uma busca na Internet. Os plugins da Onflow, que possuem uma extenso .OFB, so
maliciosos.
O13 Prefixos
Essa entrada se refere aos prefixos adicionados nos endereos que voc visita usando o Internet Explorer.
No Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
No Disco -
Observaes Existem diversos prefixos diferentes que sero denominados no incio da entrada
Detalhes
Os prefixos de URL so adicionados em todas as URLs que voc visita sem definir o protocolo (HTTP:// ou FTP://,
por exemplo). Caso voc digite um site sem definir o protocolo, o Internet Explorer redireciona voc
automaticamente, adicionando um HTTP:// ou FTP:// no endereo. O navegador pode ser configurado para
adicionar qualquer coisa antes do endereo.
O13 WWW. Prefix: http://ehttp.cc/?
Esse prefixo, por exemplo, faz com que todas as URLs que comeam com WWW sem o HTTP:// antes sejam
redirecionados para ehttp.cc. Se voc digitar www.example.com, voc redirecionado para http://ehttpc.cc/?
www.example.com. Desse modo, todas as suas conexes passaro pelo servidor malicioso e podem permitir
que o mesmo saiba quais os sites que voc visita. Se voc digitar http://www.example.com, entretanto, nada vai
acontecer.
Se voc no consegue navegar devido aos redirecionamentos, tente colocar o HTTP:// antes do endereo para
fazer com que os prefixos no sejam acionados.
Observaes
-
Como saber
Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, voc deve marcar a entrada.
O14 Configuraes Padro do IE
As entradas O14 mostram as configuraes do IE que sero ativadas quando voc selecionar as opes padro
da Internet.
No Registro -
No Disco C:\WINDOWS\inf\iereset.inf
Observaes -
Detalhes
O arquivo IERESET.INF guarda as configuraes que sero usadas quando as configuraes do Internet
Explorer forem resetadas.
O14 IERESET.INF: START_PAGE_URL=http://www.searchalot.com
No exemplo acima, sua pgina inicial seria searchalot.com se voc usasse a opo Usar padro nas Opes
da Internet. Os padres para essa entrada geralmente so um redirecionamento atravs do site da Microsoft.
Observaes
-
Como saber
Faa como nas entradas R0.
Nesta Pgina
O15 Sites confiveis
[51]
O16 ActiveX
[52]
O17 Configuraes da rede
[53]
O15 Sites confiveis
A entrada O15 lista os sites confiveis e erros na configurao das Zonas do Internet Explorer.
No Registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults
No Disco -
Observaes -
Detalhes
As entradas O15 mostram os sites presentes na lista de Sites confiveis do Internet Explorer. Diversos
hijackers se adicionam nessa lista para que possam executar livremente qualquer cdigo no computador da
vtima.
O15 Trusted Zone: http://www.linhadefensiva.org
O15 Trusted IP range: 206.161.125.149
O15 Trusted IP range: 206.161.125.149 (HKLM)
O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um
(HKLM) ao lado do site como:
O15 Trusted Zone: http://www.linhadefensiva.org (HKLM)
Nesse caso preciso baixar o DelDomains
[54]
, clicar com o boto direito no DelDomains.inf e clicar em Instalar.
Isso remover todas as entradas presentes nos sites confiveis e nos sites restritos. Portanto se voc tinha
alguma entrada nos sites restritos, necessrio adicion-las novamente.
A entrada O15 ainda mostra os padres de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento
padro para alguma Zona (Internet, Intranet, Restritos, Confiveis). Se algum protocolo estiver mapeado para a
zona incorreta, voc ver uma entrada como a exibida abaixo:
O15 ProtocolDefaults: http protocol is in Trusted Zone, should be Internet Zone (HKLM)
Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiveis!
Observaes
1. O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains
[54]
para remover as
entradas que o HijackThis no consegue remover
Como saber
As entradas iniciadas com ProtocolDefaults so sempre ruins, ento marque-as.
J as entradas que listam sites, voc deve verificar os sites como faz com as R0.
O16 ActiveX
As entradas O16 mostram os programas ActiveX
[3]
instalados pelo Internet Explorer (Downloaded Program
Files).
No Registro HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
No Disco -
Observaes As entradas O16 fazem o uso de GUIDs/CLSIDs
Detalhes
Essas entradas mostram os programas ActiveX instalados pelo usurio.
O16 DPF: {11120607-1001-1111-1000-110199901123} C:\x.cab
O16 DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control)
http://www.ipix.com/download/ipixx.cab
Os ActiveX so geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornogrficos e
GAIN. Por outro lado, eles tambm so usados por programas legtimos, como antivrus online.
Observaes
-
Como saber
O programa SpywareBlaster
[55]
, da JavaCool, possui uma extensa lista de ActiveX ruins. Voc pode usar a
opo Find para procurar pelo CLSID no banco de dados do programa. Se ele estiver l, ruim.
Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela provavelmente resultado da
explorao de alguma falha no Internet Explorer e , portanto, ruim.
Se voc no encontrar informaes sobre o CLSID e o arquivo for em um site, faa como nas R0 para determinar
se o site ruim ou no. Se o site for a Akamai.net, a entrada provavelmente legtima o Housecall, da
TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai dos erros mais comuns de quem
comea a usar o HijackThis (mas no seja enganado pelos sites falsos como akamai.downloadv3.com).
O17 Configuraes da rede
A entrada O17 lista diversas configuraes de rede/Internet do Windows.
No Registro O HijackThis exibe a chave de onde ele tirou a configurao em questo
No Disco -
Observaes Marcar entradas O17 legtimas vo desconfigurar a rede!
Detalhes
Depois que o hijacker da C2Media comeou a modificar as configuraes de rede, o HijackThis adicionou a
entrada O17 para exibir essas configuraes. O HijackThis no consegue consertar as configuraes da rede e
apenas as apaga caso voc marque e corrija a entrada.
017 HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Neste exemplo, os servidores de DNS
[56]
que o Windows vai usar foram modificados. importante lembrar que
nem todos os computadores so reconfigurados automaticamente na ausncia de um servidor de DNS.
A entrada O17 tambm exibe o nome de domnio ao qual o computador pertence, se estiver em um.
Observaes
1. Aps marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador
da rede para saber como reconfigur-la.
2. Utilize os backups do HijackThis se voc precisa de acesso para pedir ajuda na Internet para efetuar a
reconfigurao.
Como saber
Para servidores de DNS (como no exemplo), voc precisa saber se os endereos pertencem ao seu provedor. O
Brasil s utiliza endereos IP que iniciam com 200 e 201, portanto qualquer outro endereo provavelmente
ruim. Na dvida, fale com seu provedor.
Se voc marcar a entrada e a Internet no funcionar corretamente, sua rede ou conexo com a Internet no foi
reconfigurada automaticamente. Voc vai precisar dos endereos do servidor de DNS para reconfigurar sua
conexo, que podem ser obtidos com o seu provedor ou administrador de rede.
O17 HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br
Se houver uma entrada de Domnio (Domain), voc precisa verificar com o seu provedor ou administrador de
rede se h um domnio configurado para o seu sistema e se o mesmo est configurado corretamente. O nico
hijacker que utiliza domnios o lop.com, ento voc dificilmente ver uma entrada O17 com Domain sendo ruim.
Como voc pode ver, muitas vezes no seguro marcar entradas O17 no HijackThis.
Nesta Pgina
O18 Protocolos e MIMEs
[57]
O19 Folhas de Estilo
[58]
O20 Inicializao Problemtica
[59]
O21, O22 Inicializao pelo Shell
[60]
O23 Servios NT
[61]
O18 Protocolos e MIMEs
Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.
No Registro
HKLM\SOFTWARE\Classes\PROTOCOLS\
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
No Disco -
Observaes
Para entender algumas entradas aqui voc precisa saber o que so tipos MIME
[62]
.
Detalhes
Os hijackers de protocolo podem controlar o modo pelo qual certas informaes trafegam pelo computador.
O18 Protocol hijack: http {66993893-61B8-47DC-B10D-21E0C86DD9C8}
J os hijackers de tipos MIME podem controlar as informaes de arquivos que possuem o determinado tipo
MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o contedo de todas as
pginas na Internet para incluir anncios publicitrios indevidamente.
O18 Filter: text/html {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} C:\WINDOWS\SYSTEM\XPLUGIN.DLL
Observaes
1. Alguns programas instalam protocolos extras, ento nem sempre essa entrada ruim
Como saber
Essa entrada ruim na maioria dos casos, porm alguns programas instalam protocolos adicionais para alterar
certos recursos no Internet Explorer ou integr-lo com o mesmo. Ferramentas de busca na internet podem ajud-
lo a determinar o que bom e ruim.
O19 Folhas de Estilo
Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.
No Registro
[HKCU\Software\Microsoft\Internet Explorer\Styles]
User Stylesheets
No Disco -
Observaes -
Detalhes
As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difceis
de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar
pop-ups, por exemplo) seja executado atravs de folhas de estilo e por isso alguns hijackers comearam a usar
as folhas de estilo.
O19 User style sheet: c:\WINDOWS\Java\my.css
Observaes
1. Assim como nas demais entradas, o HijackThis no apaga o arquivo listado
Como saber
Se voc no configurou uma folha de estilos no IE, marque.
O20 Inicializao Problemtica
A entrada O20 lista as duas entradas de inicializao mais difceis de serem consertadas.
No Registro
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
No Disco -
Observaes Essa entrada lista dois mtodos rarssimos de inicializao que merecem extremo cuidado
Detalhes
A entrada O20 lista dois mtodos raros de inicializao: AppInit e Winlogon Notify.
O AppInit_DLLs chamado quando qualquer programa executado, ou seja, toda vez que voc executa um
programa, o AppInit executado tambm. Muitas vezes a chave do AppInit escondida pelo trojan que o utiliza,
dificultando ainda mais a tarefa de limpeza. Geralmente usado por infeces de CoolWebSearch.
O20 AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll
O WinLogon Notify executado quando voc faz logon no Windows. usado por infeces Look2Me e trojans
HaxDoor.
O20 Winlogon Notify: drct16 drct16.dll
Observaes
1. No recomendvel usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela no
possui um valor padro e uma s, ou seja, tanto os valores legtimos como os malwares ficam na
mesma chave. Se voc marcar a AppInit_DLLs e houver um valor legtimo junto ao valor malicioso, ambos
sero removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo,
sempre recomendvel editar a chave AppInit_DLLs manualmente no registro.
2. Se no for possvel editar a chave AppInit, necessrio renomear a chave Windows para outro nome,
limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, no
a pasta Windows).
Como saber
Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivrus online como o
VirusTotal
[36]
para saber se o arquivo mesmo ruim. Voc pode tambm procurar informaes na Internet.
Para remover os arquivos nessas entradas recomenda-se o KillBox
[17]
com a opo Delete on Reboot ou
Replace on Reboot.
O21, O22 Inicializao pelo Shell
As entradas O21 e O22 carregam arquivos que so executados pelo shell ao rodar o Windows.
No Registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\SharedTaskScheduler
No Disco -
Observaes Utilizam CLSIDs
Detalhes
A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 o SharedTaskScheduler.
So mtodos rarssimos de inicializao que funcionam inclusive no Modo de Segurana.
O21 SSODL AUHOOK {11566B38-955B-4549-930F-7B7482668782} C:\WINDOWS\System\auhook.dllO22
SharedTaskScheduler: (no name) {3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
c:\windows\system32\mtwirl32.dll
Observaes
1. Essas entradas funcionam em modo de segurana
2. Esses mtodos de inicializao no so documentados pela Microsoft
Como saber
Voc pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivrus no arquivo, se houver dvidas.
Adwares tm utilizado entradas O21 com freqncia.
O23 Servios NT
As entradas O23 listam servios no-Microsoft no Windows NT, 2000, XP e 2003.
No Registro HKLM\SYSTEM\CurrentControlSet\Services
No Disco -
Observaes O HijackThis no lista drivers, apenas servios
Detalhes
A entrada O23, presente somente nas verses do Windows baseadas no NT, merecem um extremo cuidado.
Elas listam diversos servios de antivrus e os trojans que usam essa entrada sabem se disfarar de uma
maneira bem inteligente.
O23 Service: System Startup Service (SvcProc) Unknown owner C:\WINDOWS\svcproc.exe
Entre os parnteses o HijackThis exibe o nome interno do servio.
Observaes
1. importante parar o servio relevante antes de marcar sua entrada. Clique em Iniciar -> Executar, digite
services.msc e clique em OK. L voc poder desativar e parar o servio que voc vai marcar no
HijackThis
2. Ao marcar uma entrada, o HijackThis apenas desativa o servio e tenta par-lo
3. Para apagar servios, use o Delete an NT Service das ferramentas do HijackThis
4. O HijackThis no apaga o arquivo
Como saber
Existem uma lista principal para entradas O23:
1. SystemLookup O23
[63]
Para remover os arquivos em entradas O23, recomenda-se o uso do Delete on Reboot, seja do HijackThis na
seo Misc Tools ou com o KillBox
[17]
.
Nesta Pgina
Depois da Limpeza
[64]
Eu Odeio Listas Brancas
[65]
Concluso
[66]
Depois da Limpeza
Depois que voc finalizou a limpeza marcando as entradas no HijackThis, importante que voc utilize anti-
spywares como Ad-Aware
[67]
para limpar os arquivos restantes. Antivrus online, como o Housecall
[68]
, podem
ser teis tambm.
importante tambm desativar e reativar a Restaurao do Sistema
[69]
. Ao desativ-la, voc apagar todos os
arquivos que ela salvou dos trojans que infectaram o seu sistema. Quando voc reativar, ela estar limpa e
pronta para funcionar, sem fazer com que o seu antivrus encontre trojans na pasta System Volume Information.
Eu Odeio Listas Brancas
O HijackThis possui uma opo via linha de comando chamada Eu Odeio Listas Brancas. O HijackThis
esconde diversas entradas que ele sabe que so seguras usando uma lista branca. Isso diminui o tamanho do
log e facilita a sua anlise.
Se voc abrir o HijackThis por meio de uma linha de comando (usando a opo Executar, por exemplo) e
adicionar, ao final, o comando /ihatewhitelists , essas entradas protegidas pela lista branca sero exibidas.
Todas as entradas a mais exibidas quando essa opo est ativa so seguras e no devem ser marcadas.
Essa opo s foi listada aqui para que o HijackThis Completo seja mesmo completo, mas no h qualquer
razo para us-la.
Concluso
O HijackThis, por ser um programa poderoso, torna-se tambm complexo e perigoso. Tenha muito cuidado ao
utilizar o HijackThis para apagar coisas que voc no sabe. Se precisar de ajuda, voc poder tirar suas dvidas
em nosso frum.
Para utilizar o HijackThis com toda a sua capacidade necessrio conhecimento sobre as ltimas pragas que
circulam pela Internet, saber como elas funcionam e como as mesmas fazem para permanecer no sistema.
Sabendo isso, voc pode usar o HijackThis para eliminar a infeco de forma simples e rpida.
O HijackThis no , de qualquer forma, substituto para os anti-spywares. Ele capaz de acabar com a infeco
ativa no sistema, mas no capaz de limpar as dezenas de arquivos que as pragas criam enquanto fazem o seu
trabalho sujo.
Infelizmente, mesmo com esse tutorial, identificar as infeces pode ser um trabalho complicado. Continue
estudando!
Article printed from Linha Defensiva: http://www.linhadefensiva.org
URL to article: http://www.linhadefensiva.org/2005/06/hijackthis-completo/
URLs in this post:
[1] Internet Explorer: http://www.linhadefensiva.org/dicionario/#ie
[2] escada LSP do Winsock: http://www.linhadefensiva.org/2005/02/lsp/
[3] ActiveX: http://www.linhadefensiva.org/dicionario/#activex
[4] BHOs: http://www.linhadefensiva.org/dicionario/#bho
[5] Gerenciador de Tarefas: http://www.linhadefensiva.org/2004/10/gerenciador-de-tarefas/
[6] Generate Startuplist Log: #startuplist
[7] Open Process Manager: #process-manager
[8] Open hosts file manager: #hosts
[9] Delete a file on reboot: #delete-on-reboot
[10] Delete an NT service: #nt-service
[11] Open ADS Spy: #ads-spy
[12] Open Uninstall Manager: #umanager
[13] Advanced Settings: #advanced
[14] Check for Update online: #update
[15] Uninstall HijackThis & Exit: #uninstall
[16] arquivo HOSTS: http://www.linhadefensiva.org/2005/02/hosts/
[17] Pocket KillBox: http://www.linhadefensiva.org/2005/04/killbox/
[18] Windows NT: http://www.linhadefensiva.org/2004/10/windows-nt/
[19] Alternate Data Streams: http://www.linhadefensiva.org/2005/02/streams/
[20] site de Merijn: http://www.merijn.org
[21] hash: http://www.linhadefensiva.org/dicionario/#hash
[22] SpywareInfo: http://www.spywareinfo.com
[23] O log do HijackThis: #o-log
[24] CLSIDs: #clsid
[25] O Incio do log: #inicio
[26] As entradas no log do HijackThis: #entradas
[27] bibliotecas: http://www.linhadefensiva.org/biblioteca/
[28] tambm temos: http://www.linhadefensiva.org/processos/
[29] scanners on-line: http://www.kaspersky.com/scanforvirus
[30] Modo de Segurana: http://www.linhadefensiva.org/ajuda/#modo_de_seguranca
[31] como interpretar caminhos do registro: http://www.linhadefensiva.org/2004/10/regedit/
[32] R0, R1, R3 Configuraes do IE: #entrada-r
[33] F0, F1, F2, F3 Inicializao Rara: #entrada-f
[34] N1, N2, N3, N4 Configuraes do Netscape: #entrada-n
[35] proxies: http://www.linhadefensiva.org/dicionario/#proxy
[36] VirusTotal: http://www.virustotal.com
[37] O1 Hosts: #entrada-o1
[38] O2, O3 Programas do IE: #entrada-o2
[39] O4 Inicializao do Sistema: #entrada-o4
[40] O5, O6, O7 Restries: #entrada-o5
[41] Hoster: http://www.linhadefensiva.org/dl/hoster
[42] lista do SystemLookup: http://www.systemlookup.com/lists.php?list=9
[43] AnswersThatWork: http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
[44] SystemLookup: http://www.systemlookup.com/lists.php?list=2
[45] O8, O9 Novas Opes: #entrada-o8
[46] O10 LSP: #entrada-o10
[47] O11 Grupos de Opes: #entrada-o11
[48] O12 Plugins do IE: #entrada-O12
[49] O13 Prefixos: #entrada-O13
[50] O14 Configuraes Padro do IE: #entrada-O14
[51] O15 Sites confiveis: #entrada-o15
[52] O16 ActiveX: #entrada-o16
[53] O17 Configuraes da rede: #entrada-o17
[54] DelDomains: http://www.linhadefensiva.org/dl/deldomains
[55] SpywareBlaster: http://superdownloads.uol.com.br/download/i21716.html
[56] servidores de DNS: http://www.linhadefensiva.org/2005/02/dns/
[57] O18 Protocolos e MIMEs: #entrada-o18
[58] O19 Folhas de Estilo: #entrada-o19
[59] O20 Inicializao Problemtica: #entrada-o20
[60] O21, O22 Inicializao pelo Shell: #entrada-o21
[61] O23 Servios NT: #entrada-o23
[62] tipos MIME: http://www.linhadefensiva.org/2005/03/tipos-mime/
[63] SystemLookup O23: http://www.systemlookup.com/lists.php?list=8
[64] Depois da Limpeza: #depois
[65] Eu Odeio Listas Brancas: #euodeio
[66] Concluso: #conclusao
[67] Ad-Aware: http://www.linhadefensiva.org/2005/01/ad-aware/
[68] Housecall: http://housecall.trendmicro.com
[69] Restaurao do Sistema: http://www.linhadefensiva.org/2004/10/restauracao-do-sistema/
2008 Linha Defensiva. Todos os Direitos Reservados.