HijackThis Completo

Por Altieres Rohr em 04/06/2005

A tela de Abertura
Ao abrir o HijackThis voc ser apresentado com a tela de QuickStart.

Nota: Se a tela acima no for apresentada, voc marcou a ltima caixa para que ela no seja mais mostrada ou voc est usando uma verso antiga do HijackThis Clique em None of the above, just start the program. Voc ver a tela principal do HijackThis.

Consideraes Iniciais
O HijackThis um programa que nos fornece informaes do sistema. Atravs dessas informaes possvel verificar se h algum software maliciosos presente. Entretanto, o HijackThis no lhe diz exatamente quais os problemas que esto ali, to pouco lhe d instrues especficas para a remoo do mesmo. Com o uso do HijackThis pode ser possvel, pelo menos, obter mais informaes sobre o problema que voc tem, facilitando a busca por informaes para a sua resoluo. Aqui voc encontrar informaes sobre os dados que o HijackThis coleta e o que eles significam. O que voc precisa aprender relacionar estes dados com as informaes tcnicas de trojans e worms, para saber onde est o verdadeiro problema. Usar o HijackThis no simplesmente marcar todas as entradas ruins que esto presentes. O HijackThis somente a porta de entrada para uma anlise completa do estado de segurana de um sistema Windows.

Importante
IE ser usado diversas vezes nesse documento para denominar o Internet Explorer.

Introduo
Afinal, o que o HijackThis? O autor do programa se chama Merijn (Merlin em alemo) e define o HijackThis como O nico Detector e Removedor Genrico de Hijackers. Na prtica, ele no detecta somente hijackers, mas tambm diversos trojans, spywares, adwares, worms e at mesmo, indiretamente, a presena de rootkits. Neste documento voc aprender todas as funcionalidades do HijackThis. Esse documento completo cobrir tambm diversos aspectos do sistema, os quais so importantes para um entendimento das funcionalidades do programa. O HijackThis no um removedor de spywares como os demais. Ele simplesmente lista para voc diversas reas do sistema onde as pragas se instalam e lhe d a opo de consertar o problema (marcando a entrada). Como as diversas reas utilizadas por pragas digitais so tambm usadas por programas legtimos, resta ao usurio saber o que deve ser marcado e o que deve permanecer. O HijackThis completamente intil contra vrus, embora ele seja capaz de detectar alguns que criam chaves no registro para serem executados. Nesse caso ser necessrio um antivrus ou uma ferramenta de remoo para limpar os arquivos infectados. Danos causados pelo HijackThis Se voc marcar alguma entrada no HijackThis que legtima, seja por engano ou desconhecimento, o que pode acontecer? Desabilitar programas Marcando certas entradas incorretas voc pode desabilitar programas como antivrus, drivers, firewalls e diversos outros utilitrios. Reinstalar os programas sempre resolve o problema. Retirar funcionalidades possvel, por exemplo, desabilitar barras de ferramentas ou programas de proteo do Internet Explorer, assim como retirar vrios botes, menus e plugins do navegador. Desconfigurar a rede O HijackThis tambm pode zerar a configurao de rede, como servidores DNS e o domnio ao qual o computador pertence. Os proxies utilizados pelo Internet Explorer tambm so mostrados e, ao marcar a entrada, so zerados. Isso pode ocasionar perda de conectividade com a web e outros servio. Nesse caso necessrio reconfigurar a rede. Tambm possvel corromper as entradas da escada LSP do Winsock. Nesse caso necessrio desinstalar o TCP/IP em todos os adaptadores de rede e

reinstalar para que a escada seja reconstruda. Se voc reinstalar o Windows (usando a opo Reparar), o problema no ser resolvido. Existem outras maneiras de recuperar a escada veja o documento sobre LSP. A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta prpria como C:\HijackThis. Desse modo ele criar backups de cada entrada marcada, sendo apenas necessrio recuperar o backup.

A tela principal do HijackThis

Se voc clicar em Scan, voc ver as entradas detectadas pelo HijackThis. O Scan basicamente um processo onde o HijackThis busca no registro vrias informaes sobre o sistema, como os ActiveX, BHOs e outros. Se no menu principal voc tivesse selecionado a opo Do a system scan only voc teria o mesmo resultado de ter feito isso do modo manual clicando em Scan. Ao selecionar uma entrada, voc pode clicar no boto Info on selected item para que o HijackThis lhe d mais informaes sobre a entrada selecionada. Voc tambm pode marcar certas entradas e ento clicar no boto Add checked to ignorelist para que o HijackThis ignore estas entradas no futuro e no mostre-as no log. Note que o boto Scan se tornou o boto Save Log. Ao clicar no boto Save Log, o HijackThis vai salvar um arquivo de log com as informaes apresentadas mais a informao dos processos que esto rodando. O HijackThis vai lhe pedir o nome e o local do arquivo para salvar. o mesmo que selecionar o boto Do a system scan and save a logfile no menu principal, porm se voc selecionar o boto no menu principal o HijackThis automaticamente salva o log em um arquivo chamado hijckthis.log e aqui ele lhe d a opo para escolher o local onde voc quer salvar o arquivo do log. Quando voc marcar determinadas entradas e clicar em Fix Checked o HijackThis vai tomar diferentes providncias, dependendo da entrada. Se voc clicar em Info on selected item o HijackThis lhe diz o que ele vai fazer ns veremos cada tipo de entrada em detalhe mais tarde. O boto Info apresenta informaes genricas do HijackThis, incluindo uma breve explicao de cada entrada e um changelog (arquivo que detalha as mudanas que um programa recebe em cada verso).

O boto Config
Ao clicar no boto Config, voc apresentado com as configuraes do HijackThis em quatro abas: Main, Ignorelist, Backups, Misc Tools.

Main
Na aba Main podemos encontrar vrias configuraes do HijackThis.

Mark everything found for fixing after scan Caso marcada, ela faz com que todos os itens encontrados no HijackThis sejam marcados. Use esta opo caso um log esteja muito infectado e seja mais fcil desmarcar algumas entradas do que marcar todas as opes infectadas. Make backups before fixing items faz backups antes de consertar alguma entrada. Muito til, recomenda-se deixar marcado. Confirm fixing & ignoring of items (safe mode) se desmarcada, essa opo retira as telas de confirmao quando voc for ignorar ou consertar qualquer entrada. Ignore non-standard but safe domains in IE uma pequnea lista branca que filtra entradas R1/R0. Se desmarcada, todos os itens R1/R0 sero exibidos, mesmo que contenham domnios populares e marcados como seguros. Essa opo, quando marcada, ajuda o log a ficar menor e mais limpo. Include list of running processes in logfiles se desmarcada, o HijackThis no incluir a lista de processos rodando no log. A lista de processos pode ser vista atravs do Gerenciador de Tarefas no Windows NT/2000/XP ou atravs de ferramentas adicionais no Windows 9x/ME. recomendado deixar essa opo marcada, j que informao nunca demais. Show Intro frame at startup se desmarcada, essa opo retira a tela de inicializao, ou seja, desmarcar essa opo tem o mesmo efeito que marcar o Dont show this frame again when I start HijackThis na tela de boas-vindas. Essa opo depende apenas de sua preferncia. Run HijackThis scan at startup and ao marcar essa opo, o HijackThis se inclui nas entradas de inicializao automtica do Windows. Assim ele pode scanear o sistema logo ao iniciar, pegando entradas que se escondem automaticamente depois de um curto perodo de tempo e assim no podem ser percebidas um log for feito depois que o sistema estiver completamente inicializado. Essa opo geralmente no muito til, mas vale a pena mencionla mesmo assim.

As opes a seguir so os padres que o HijackThis utiliza quando voc conserta certos itens.

Default Start Page a pgina inicial padro que o HijackThis colocar no Internet Explorer aps zerar as entradas da pgina inicial. Preferncia do usurio. Default Search Page a pgina de busca padro usada pelo Internet Explorer. Como essa entrada normalmente modificada por hijackers, o HijackThis precisa de um valor para consert-la. Voc pode configurar o valor usado atravs dessa opo. Default Search Assistant Assistente de Busca do Internet Explorer. Default Search Customize Personalizao de Busca do Internet Explorer.

Aba Ignorelist
Na aba Ignorelist voc pode encontrar os itens ignorados atravs do boto Add checked to ignorelist. recomendado que voc limpe essa lista usando o boto Delete all aps instalar uma nova verso do HijackThis. As entradas removidas aqui no sero excludas, mas sim retiradas da lista de tens ignorados do HijackThis para que estes voltem a aparecer no log normalmente.

Aba Backups
Caso a opo Make backups before fixing items esteja marcada na aba Main (e ele est marcada por padro), o HijackThis cria backups de todos os tens marcados. Nesta tela voc pode apagar backups individuais usando o boto Delete, apagar todos os tens com o boto Delete all ou, caso queira alguma entrada de volta no seu lugar, usar o boto Restore. Use esta tela sempre que algum programa ou recurso do sistema parar de funcionar aps usar o HijackThis para consertar entradas.

Misc Tools
Uma das melhores coisas sobre o HijackThis que ele possui um kit completo para a manuteno de vrios problemas no computador. Alm de poder limpar diversas reas problemticas do registro, ele possui diversas ferramentas adicionais que dispensam a necessidade de instalar ou baixar ferramentas adicionais.

Generate Startuplist Log Open Process Manager Open hosts file manager Delete a file on reboot Delete an NT service Open ADS Spy Open Uninstall Manager Advanced Settings Check for Update online Uninstall HijackThis & Exit

Generate Startuplist Log

O primeiro boto que vemos nessa tela o Generate startuplist log. Este boto gera um log do programa StartupList, tambm desenvolvido pelo mesmo Merijn que criou o HijackThis. O Startup List mostra todos os tens possveis de inicializao de programas no Windows, incluindo diversas reas que no so exibidas pelo HijackThis. Por outro lado, o Startup List no nos d a opo para corrigir qualquer coisa encontrada. As duas caixas presentes ao lado do boto fazem com que o log do Startup List seja mais completo recomendado marc-las sempre antes de fazer um log do Startup List. Note que o Startup List uma ferramenta muito avanada. Por ser um programa adicional, a intepretao de logs startuplist no ser includa neste documento. Open Process Manager Depois vemos o boto Open Process Manager. Ao clicar, o Itty Bitty Process Manager ser aberto. Este programa muito til principalmente no Windows 9x/ME, pois estas verses do Windows incluem um Gerenciador Tarefas muito simples que no inclui os programas registrados como processos. Embora exiba menos informaes que o gerenciador de processo padro do Windows, ele permite que mais de um processo seja selecionado (usando as teclas CTRL e SHIFT) para a finalizao e inclui a opo Show DLLs, que cria um novo painel onde exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados so chamados de mdulos e alguns trojans se injetam como mdulos em processos de sistema para serem executados sem um processo visvel na lista normal. Isso muito raro, portanto a maioria dos DLLs listados so seguros. O boto Kill Process finaliza o(s) processo(s) selecionado(s). O boto Refresh atualiza a lista de processos e o boto Run inicia um programa ou processo da mesma maneira que o boto Nova Tarefa do Gerenciador de Tarefas. Ele tambm possui dois cones ao lado da opo Show DLLs O primeiro (da esquerda para a direita) o Copy list do clipboard que copia a lista de processos para que voc possa Colar ela em qualquer lugar. O cone do disquete salva a lista para um arquivo texto.

Open hosts file manager Este um pequeno programa para editar o arquivo HOSTS. Depois de selecion-lo, utilize o boto Open in Notepad para abrir o arquivo no Bloco de Notas onde muito mais fcil gerenciar o arquivo HOSTS. Como referencia, o boto Delete line(s) apaga a(s) linha(s) selecionada(s) e o boto Toggle Line(s) tira ou coloca um # no incio da linha. Leia o documento sobre o HOSTS para entender mais sobre isso. Delete a file on reboot Provavelmente uma das ferramentas mais simples e teis. O Windows possui um recurso chamado PendingFileRenameOperations que pode executar operaes com os arquivos (tais como apagar, renomear e mover) antes que o sistema seja completamente iniciado. Isso pode ser usado para apagar arquivos que esto na memria antes que eles sejam inicializados, assim removendo-os com sucesso. Aps selecionar o boto, tudo que voc precisa selecionar o arquivo a ser apagado (ou copiar & colar o caminho completo do arquivo) e clicar em Abrir. Aps isso, o HijackThis vai perguntar se voc quer reiniciar o Windows. Na maioria das situaes, voc vai querer responder No para reiniciar manualmente mais tarde. O Pocket KillBox possui mais opes baseadas nesse recurso do Windows, incluindo opes de troca de arquivos, que possuem mais chance de funcionar do que operaes que s excluem os arquivos. Delete an NT service Vriso trojans recentes se instalam atravs de servios do Windows NT. Mesmo que um antivrus ou antispyware remova o arquivo iniciado pelo servio, este ainda ser listado nas ferramentas administrativas junto com os demais servios. Usando essa opo, o HijackThis pode apagar um servio para voc. Voc pode usar o nome completo de exibio do servio ou o nome verdadeiro do servio. Note que os Servios s esto disponveis no Windows NT/2000/XP. Para obter a lista de servios no seu sistema, clique em IniciarExecutar, digite services.msc e clique em OK. Clique com o boto direito no servio que voc quer apagar e clique em Propriedades. Voc pode usar tanto o Nome para exibio quanto o Nome do servio no HijackThis para remov-lo da lista. Tome extremo cuidado ao utilizar essa ferramenta! No possvel recuperar os servios depois que eles foram removidos! Open ADS Spy Essa uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data Streams (ADS). Ela est disponvel separadamente no site de Merijn.

Se opo do Quick scan for marcada, somente a pasta do Windows ser examinada. A opo Ignore safe system info streams ignora entradas ADS geralmente seguras, como a informao colocada na aba Resumo dos arquivos. J a opo para calcular MD5 deve ser apenas utilizada se voc quiser desenvolver ferramentas para a remoo de um certo tipo de malware. Nem todos os ADS encontrados so maliciosos. Mesmo se a opo Ignore safe system info streams estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como streams utilizadas por antivrus. Faa sempre uma pesquisa antes de apagar qualquer stream. Veja nosso documento sobre streams para saber mais. Open Uninstall Manager Muitos programas, aps desinstalados, deixam entradas na lista do Adicionar/Remover Programas. Se isso no fosse o suficiente, vrios trojans (principalmente hijackers) comearam a incluir entradas no Adicionar/Remover Programas para, supostamente, desinstal-los do sistema. A realidade que geralmente estas entradas no funcionam e, aps o usurio manualmente remover o problema, ficam aquelas entradas na lista. Com esta opo voc pode retirar os programas daquela lista.

Para apagar uma entrada necessrio selecionar a opo Delete this entry e ento confirmar a ao clicando em Sim. A opo para Editar comando edita o caminho

para o programa executado pelo Windows para desinstalar o software selecionado recomendado que voc no troque os comandos sem ter certeza absoluta do que est fazendo. Advanced Settings Depois da lista de ferramentas, o HijackThis lista duas opes avanadas:

Calculate MD5 of files if possible Include environment variables in logfile

A primeira opo coloca o MD5 dos arquivos no arquivo de log. Isso apenas til se voc sabe o hash MD5 do arquivo ou est desenvolvendo uma ferramenta para a remoo dos arquivos. A segunda opo inclui variveis de ambiente, como a localizao da pasta Windows e a localizao do arquivo HOSTs nada muito til. Check for Update online Usando essa opo, o HijackThis pode verificar a existncia de uma nova verso do HijackThis nos servidores da SpywareInfo. Se voc utiliza um proxy para a conexo, voc pode defin-lo na caixa de texto logo abaixo do boto. Uninstall HijackThis & Exit Para salvar todas as configuraes definidas, o HijackThis cria diversas chaves no registro. Com este boto, o HijackThis apaga essas chaves. Note que o arquivo do HijackThis no removido e nem os backups so removidos depois de selecionar este boto. A Ignore List, por outro lado, removida.

Nesta Pgina

O log do HijackThis CLSIDs O Incio do log As entradas no log do HijackThis

O log do HijackThis
Eu sei que voc estava esperando por essa parte do documento, porm necessrio conhecer todos os aspectos do HijackThis para ter idia do que voc realmente possui em mos. Se voc pulou o documento at aqui, recomendo ler tudo desde o incio.

CLSIDs
Antes de iniciar importante que voc saiba o que um CLSID. Diversas entradas do HijackThis apresentam um CLSID.

Um CLSID um programa registrado no Windows. Ele possui um identificador nico (GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de GUID: {8E718888-423F-11D2-876E-00A0C9082467} Note que pode ser qualquer letra entre A-F e qualquer nmero, mas eles esto sempre nesse formato. O Windows usa isso como referncia no registro. Por exemplo, a chave A referencia que ser executado o GUID X. Ento necessrio que voc v at as chaves dos CLSIDs HKCR\CLSID para procurar a seqencia l e veja qual o arquivo que ser executado. O HijackThis faz isso automaticamente para voc. Como os GUIDs so nicos e os arquivos ao qual eles apontam muitas vezes aleatrio, voc pode procurar informaes da praga atravs do GUID. Desse modo voc conseguir saber sobre a entrada mesmo que o arquivo no tenha sido encontrado pelo HijackThis ou se o arquivo mudou devido a uma nova verso do programa que usa aquele GUID. Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o arquivo real que ser executado. Como muitas vezes o mesmo programa pode usar arquivos diferentes em verses distintas mas usa o mesmo GUID, fica mais fcil obter informaes usando o GUID. As entradas que tiverem seqencias como a exibida acima usam esse sistema de CLSIDs (Class IDs) do Windows.

O Incio do log
O log do HijackThis possui diversos elementos. O primeiro deles o cabealho, onde includa a verso do HijackThis, a data, a verso do sistema, a verso do Internet Explorer e as variveis de ambiente, se a opo foi marcada na aba Misc Tools. Logfile of HijackThis v1.99.1 Scan saved at 21:47:33, on 13/3/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Na primeira linha, est a verso do HijackThis. muito importante que voc esteja usando a ltima verso para evitar erros e poder ver todas as entradas descritas nesse documento. A data apresentada no HijackThis respeita as configuraes inseridas nas Opes Regionais do Painel de Controle, portanto em um sistema em ingls bem provvel que o ms/dia estejam invertidos. Caso a opo de mostrar as variveis de ambiente esteja selecionada, o cabealho incluir as seguintes informaes: Windows folder: C:\WINNT [pasta do Windows] System folder: C:\WINNT\SYSTEM32 [pasta do sistema] Hosts file: C:\WINNT\System32\drivers\etc\hosts [localizao do hosts]

Depois disso, o HijackThis apresentar uma lista dos processos rodando. Essa lista s ser includa se a opo Include list of running process in logfiles estiver marcada na aba Main, e esta opo est marcada por padro. Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe Voc pode usar o gerenciador de procesos dentro do HijackThis ou o Gerenciador de Tarefas do Windows 2000/XP para encerrar processos ruins. No Windows 9x/Me voc deve usar o do HijackThis, j que o CTRL+ALT+DEL no apresenta todos os processos. Para determinar se um processo bom ou ruim, voc deve usar o bom senso para determinar o que suspeito e o que no . Isso parece ser difcil e por este motivo que recomendamos cautela com o HijackThis. Existem vrias bibliotecas online com listas do que bom e o que ruim. Ns tambm temos uma lista de processos, mas geralmente voc no deve se basear somente em listas porque muitas vezes voc encontrar um processo que no est em lista alguma. Alm disso, os adwares recentes infectam processos legtimos. Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de scanner extremamente til para determinar quais processos so bons ou ruins, alm de vrias outras entradas no log, que veremos mais frente. Note que a lista de processos no apresentada na tela principal do HijackThis, apenas no log. Ao invs de finalizar os processos geralmente recomendado que voc utilize o Modo de Segurana, onde a maioria dos processos ruins no so executados. Porque importante que os processos no estejam rodando? Se voc tentar remover um trojan enquanto ele estiver rodando como processo (na memria), voc pode bater em duas paredes: 1. No ser possvel apagar o arquivo (ele est sendo usado pelo Windows) 2. Ao apagar a chave dele no registro, ela ser recriada instantaneamente Nossa sugesto sempre usar o Modo de Segurana e, caso os processos ainda estejam rodando no Modo de Segurana, finalize-os l e ento execute a correo ainda no Modo de Segurana. Aps o fim da lista de processos, comeamos com as entradas do HijackThis.

As entradas no log do HijackThis

O log do HijackThis dividos em vrios grupos identificados unicamente pelos primeiros caracteres da linha, por exemplo: O2 -

O identificador sempre seguido de um espao e um trao. Por este motivo, correto dizer que o identificador so todos os caracteres antes do primeiro trao. Nas pginas a seguir voc ver os identificadores e saber o que cada um significa. Antes disso, porm, recomendado voc saiba como interpretar caminhos do registro.

Nesta Pgina

R0, R1, R3 Configuraes do IE F0, F1, F2, F3 Inicializao Rara N1, N2, N3, N4 Configuraes do Netscape

R0, R1, R3 Configuraes do IE

Essas entradas esto relacionadas com as configuraes do Internet Explorer. Elas listam a pgina inicial, a pgina padro de busca e outros.

No Registro

HKLM\Software\Microsoft\Internet Explorer\Main HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search HKLM\Software\Microsoft\Internet Explorer\Search

Nota: Se a chave existe no HKCU alm do HKLM, o HijackThis pegar seus valores tambm. No Disco Quando houver (obfuscated) ao lado de uma entrada, isso significa que a Observaes mesma est em valor hexadecial e que o HijackThis converteu ela para o valor legvel. Detalhes Aqui h diversas entradas. A maioria delas simples: voc verifica se o site listado bom ou ruim. Se for ruim ou indesejado, voc marca. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ Nesse caso, o Google seguro, portanto no h problema. Tambm h as R3, SearchHook:

R3 - Default URLSearchHook is missing R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL Para encontrar informaes sobre os SearchHooks, voc pode usar o nome (no exemplo transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Se ao lado do nome do arquivo estiver um (file missing) significa que o HijackThis no encontrou o arquivo no disco. Observaes Existe uma entrada que voc deve ter cuidado. A que trata de proxies: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = https:// O proxy utilizado muitas vezes em redes internas para compartilhar a conexo. Alguns utilizam proxies locais. Se o proxy estiver com um endereo do tipo 192.168.0.1 ou outro endereo interno da rede, provvel que a entrada seja legtima. Se a entrada for legtima e ela for marcada, o proxy ter de ser reconfigurado (ou a entrada ter de ser recuperada atravs do backup do HijackThis). O ProxyOverride significa que ele no ser usado em URLs que comeam com https (SSL). Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas no so crticas ao sistema e o dano, caso marcada incorretamente, ser mnimo. Como saber Para saber se a maioria dessas entradas maliciosa, no difcil. Se a entrada tiver um res:// bem provvel que ela seja maliciosa, mas isso no sempre. Nas entradas que demonstram sites, geralmente necessrio visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questo para ver se so maliciosos ou no. Nas entradas R3 voc pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente voc saber do que se trata. Nas entradas que possuem proxy, o melhor perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema.

F0, F1, F2, F3 Inicializao Rara

Essas entradas mostram os arquivos que sero iniciados com o Windows atravs dos arquivos INI do sistema. No Registro

HKLM\Software\Microsoft\Windows

NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping c:\windows\system.ini c:\windows\win.ini

No Disco Observaes Detalhes

raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo.

A entrada F0 mostra o Shell que ser utilizado. O Shell um programa especial que interpreta os comandos do usurio. O shell padro do Windows o explorer.exe. Ele constri o menu iniciar e os cones na rea de trabalho. Existe a possibilidade de voc utilizar outro shell, desse modo voc pode fazer com que sua rea de trabalho tenha qualquer visual. Um exemplo de shell alternativo o Litestep. possvel que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe listado junto com este outro shell, este outro shell na verdade um trojan. F0 - system.ini: Shell=Explorer.exe programa-ruim.exe F2 - REG:system.ini: Shell=explorer.exe programa-ruim.exe programa-ruim.exe pode ser um trojan. Como o Shell ainda o Explorer.exe tambm, tudo ficar igual para o usurio, mas o trojan estar rodando a partir de um dos locais mais incomuns existentes. A entrada F2 tambm mostra o Userinit, que o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente ruim. A diferena que em vez de um espao, os arquivos no Userinit so separados por uma vrgula. F2 - REG:system.ini: UserInit=userinit.exe, programa-ruim.exe E a temos o Load e o Run do Win.ini: F1 - win.ini: run=arquivo.exe F3 - REG:win.ini: run=arquivo.exe Os arquivos iniciados atravs destas entradas devem ser pesquisados. Alguns so legtimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela. Observaes 1. necessrio um cuidado extremo para lidar com essas entradas, pois geralmente seu uso legtimo feito por drivers e outros programas crticos ao bom funcionamento do sistema

Como saber Existem diversas listas na Internet. s fazer uma busca na Internet usando o nome do arquivo em questo que quase sempre voc saber do que se trata. Em ltimos casos, envie o arquivo para servios como o VirusTotal para saber se o arquivo malicioso ou no, ou apenas use seu antivrus favorito.

N1, N2, N3, N4 Configuraes do Netscape

Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configuraes do Netscape. No Registro No Disco prefs.js Cada entrada se refere a uma veso diferente do navegador, mas Observaes apresentam os mesmos dados. Detalhes A N1 mostra as pginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla. N1 - Netscape 4: user_pref(browser.startup.homepage, www.google.com); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref(browser.startup.homepage, http://www.google.com); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) Observaes Como saber Simplesmente verifique se as pginas so seguras ou no, como voc faz com as R0.

Nesta Pgina

O1 Hosts O2, O3 Programas do IE O4 Inicializao do Sistema O5, O6, O7 Restries

O1 Hosts
Essa entrada lista todos os redirecionamentos do arquivo HOSTS. No Registro

[HKLM\System\CurrentControlSet\Services\Tcpip\Parameters]

DatabasePath

%WINDIR%\hosts [Windows 9x/ME] %WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP]

Onde %windir% a pasta do Windows. Essa a localizao padro do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar. Observaes Alguns admnistradores usam arquivos HOSTS em redes internas. Detalhes Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona. O1 - Hosts: 0.0.0.0 www.google.com Observaes 1. Se o IP for um IP interno, como 192.168.0.x, bem provvel que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas. 2. Se o arquivo hosts estiver em outro lugar fora do padro, a primeira entrada O1 vai mostrar onde o arquivo Hosts est localizado. O1 - Hosts file is located at C:\Windows\Help\hosts Como saber Se a entrada bloquear sites de antivrus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, provvel que o arquivo hosts esteja infectado. Se a infeco do arquivo for grande, melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster.

No Disco

02, O3 Programas do IE
As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore r\ Browser Helper Objects HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

No Disco Observae Essas entradas funcionam atravs de CLSIDs s Detalhes

Os BHOs so usados principalmente por hijackers para trocar a pgina inicial e monitorar os sites visitados pelo usurio. J os toolbars so usados para causar poluio visual, mostrar anncios e tentar convencer o usurio a usar um servio de busca diferente do qual ele est acostumado a usar. O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll Observaes 1. Se em vez do nome voc ver um (no name), a entrada no possui um nome 2. Se em vez do arquivo voc ver um (no file), a entrada no possui um arquivo associado 3. Se ao lado do nome do arquivo voc ver um (file missing), o HijackThis no encontrou o arquivo no disco 4. Ao consertar uma entrada o O2, a chave no registro apagada e o arquivo removido. Essa a nica entrada do HijackThis em que o programa se encarrega de apagar o arquivo mencionado na chave Importante: As primeiras trs observaes acima valem para diversas outras entradas! Se voc ver (no name), (no file) ou (file missing) voc j sabe o que significa. Como saber Existem diversas listas especializadas em BHOs e Toolbars na Internet. Ns temos a biblioteca de CLSIDs para listar BHOs e outras entradas que utilizam CLSIDs. Uma boa referncia a lista da CastleCops, mas existem diversas outras: basta procurar na Internet pela seqencia entre as chaves ou pelo nome do arquivo.

O4 Inicializao do Sistema
A entrada O4 uma das entradas mais importantes exibidas do HijackThis. Ela lista diversas chaves do registro que so usadas para iniciar programas automaticamente junto com o sistema. Ela tambm lista os arquivos presentes na pasta Inicializar do Windows que tambm pode ser usada para iniciar aplicativos e, portanto, trojans.

No Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Once HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Once HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

No Disco

A pasta Inicializar (no Windows NT/2000/XP) ou Iniciar (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia

dependendo da verso do sistema e do nome do usurio. Observae Os arquivos mencionados nessas entradas geralmente tambm esto presentes na lista de processos s Detalhes No incio da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista Startup ou Global Startup, significa que uma listagem de um arquivo presente na pasta Inicializar/Inicar do menu iniciar. O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O valor entre os colchetes significa o nome do dado do registro presente na chave denominada no incio da linha. No exemplo, existe o dado nwiz na chave Run do HKLM (veja a lista de chaves usadas para saber o caminho completo at a chave). Observaes 1. O HijackThis no apaga o arquivo relacionado com a entrada 2. O HijackThis no verifica se o arquivo existe, portanto no haver um (file missing) Como saber Embora seja um pouco difcil saber quais entradas so falsas e quais so legtimas, isso pode ser feito de algumas maneiras:

Use um antivrus ou um servio como o VirusTotal para analisar o arquivo Verifique as propriedades do arquivo para saber mais sobre o mesmo Procure na Internet em listas como AnswersThatWork e CastleCops

Se, como no exemplo, o caminho completo at o arquivo no estiver listado, voc pode verificar a lista de processos (no prprio log) para tentar descobrir o caminho completo. Caso contrrio as localizaes mais provveis para o arquivo so as pastas do Windows e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do exemplo (uma entrada legtima da nVidia) est na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME).

O5, O6, O7 Restries

A presena de uma dessas entradas demonstram que algumas restries foram colocadas no sistema. No Registro

HKCU\Software\Policies\Microsoft\Internet Explorer\ Restrictions

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ System control.ini

No Disco Observaes Detalhes

Se uma entrada O5 estiver presente, as Opes da Internet no esto sendo exibidas no Painel de Controle. A presena de uma O6 inidica que algumas outras opes no Painel de Controle foram escondidas. J a presena de uma O7 significa que o usurio incapaz de executar o editor de registro do Windows. O5 - control.ini: inetcpl.cpl=no Observaes Como saber Se voc ou o administrador da sua rede no colocou essas restries, marque as entradas.

Nesta Pgina

O8, O9 Novas Opes O10 LSP O11 Grupos de Opes O12 Plugins do IE O13 Prefixos O14 Configuraes Padro do IE

O8, O9 Novas Opes

As entradas O8 e O9 indicam novas opes no Internet Explorer.

No Registro No Disco Observaes Detalhes

HKCU\Software\Microsoft\Internet Explorer\MenuExt HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions

A entrada O8 se trata de novas opes no menu de contexto (clique inverso), j a entrada O9 aparecer quando houver botes adicionais na barra de ferramentas ou no menu Ferramentas do Internet Explorer.

O8 - Extra context menu item: &Google Search res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O9 - Extra button: Messenger (HKLM) O9 - Extra Tools menuitem: Messenger (HKLM) Observaes Como saber Algumas entradas O9 so no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de destino). Se a entrada for como as do exemplo, voc ter que ver se o nome de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para verificar, fica mais fcil.

O10 LSP
Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao arquivo encontrado ser exibida. No Registro HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters No Disco Observaes Essa entrada no deve ser marcada no HijackThis! Detalhes As entradas O10 simbolizam arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram que alguns arquivos referenciados no registro no esto presentes, o que significa que a conexo com a Internet pode no estar funcionando. O documento sobre LSPs detalha o funcionamento dessa chave. O10 - Broken Internet access because of LSP provider imon.dll is missing Sempre que voc encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e no marque essas entradas no HijackThis. A presena de uma O10 no necessariamente significa que h algo errado. Observaes O HijackThis possui um bug onde ele no capaz de determinar exatamente quando um arquivo est ou no presente. Isso no afeta somente a entrada O10, mas sim outras entradas. Com isso voc ver alguns (file missing) quando os arquivos esto presentes. Nas entradas O10, porm, isso crtico. Quando isso acontece o HijackThis alerta que a corrente/escada LSP est quebrada, quando na verdade tudo vai bem. Verifique voc

mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertena a um programa seguro, voc deve deixar tudo como est, pois o problema foi causado por um bug no HijackThis. Claro que, se a entrada pertence a um programa malicioso, voc deve remover usando o LSPFix mas jamais deve marcar essa entrada no HijackThis! Como saber Existe a lista de LSPs do Zupe e a Linha Defensiva tambm tem a biblioteca de LSPs. Voc precisa verificar nessas listas se os arquivos esto marcados como seguros ou no.

011 Grupos de Opes

Essa entrada mostra grupos de opes adicionais no Internet Explorer.

No Registro No Disco Observaes Detalhes

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Quando h um grupo novo de opes na aba Avanado das configuraes do Internet Explorer, uma entrada O11 ser exibida. O11 - Options group: [CommonName] CommonName Marcando a entrada, o grupo de opes vai sumir. Observaes Como saber Somente o CommonName (do exemplo) utiliza essa entrada. Portanto s marque se voc ver a entrada do CommonName.

O12 Plugins do IE
As entrdas O12 representam plugins do Internet Explorer. No Registro No Disco Observaes

HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins

Detalhes Os plugins so instalados no Internet Explorer para fazer funes adicionais, como um BHO. Alguns plugins so comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador. Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Observaes 1. Essa entrada raramente utilizada para objetivos malicioso mas aparece com entradas legtimas com freqencia. Como saber A nica maneira atravs de uma busca na Internet. Os plugins da Onflow, que possuem uma extenso .OFB, so maliciosos.

O13 Prefixos
Essa entrada se refere aos prefixos adicionados nos endereos que voc visita usando o Internet Explorer. No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Def aultPrefix

No Disco Observa Existem diversos prefixos diferentes que sero denominados no incio da entrada es Detalhes Os prefixos de URL so adicionados em todas URLs que voc visita sem definir o protocolo (HTTP:// ou FTP://, por exemplo). Caso voc digite um site sem definir o protocolo, o Internet Explorer redireciona voc automaticamente, adicionando um HTTP:// ou FTP:// no endereo. Mas ao invs de HTTP:// ou FTP:// ele pode ser configurado para adicionar qualquer coisa antes do endereo. O13 - WWW. Prefix: http://ehttp.cc/? Esse prefixo, por exemplo, faz com que todas URLs que comeam com WWW sem o HTTP:// antes sejam redirecionados para ehttp.cc. Se voc digitar www.example.com, voc redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as suas conexes passaro pelo servidor malicioso e podem permitir que o mesmo saiba quais os sites que voc visita. Se voc digitar http://www.example.com, entretanto, nada vai acontecer. Se voc no consegue navegar pois tudo est sendo redirecionado, tente colocar o HTTP:// antes do endereo para fazer com que os prefixos no sejam acionados.

Observaes Como saber Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, voc deve marcar a entrada.

O14 Configuraes Padro do IE

As entradas O14 mostram as configuraes padro do IE quando voc selecionar as opes padro da Internet. No Registro No Disco Observaes Detalhes O arquivo IERESET.INF guarda as configuraes que sero usdas quando as configuraes do Internet Explorer forem resetadas. O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com No exemplo acima, sua pgina inicial seria searchalot.com se voc usasse a opo Usar padro nas Opes da Internet. Os padres para essa entrada geralmente so um redirecionamento atravs do site da Microsoft. Observaes Como saber Faa como nas entradas R0.

C:\WINDOWS\inf\iereset.inf

Nesta Pgina

O15 Sites confiveis O16 ActiveX O17 Configuraes da rede

O15 Sites confiveis

A entrada O15 lista os sites confiveis e erros na configurao das Zonas do Internet Explorer.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

No Disco Observaes Detalhes As entradas O15 mostram os sites presentes na lista de Sites confiveis do Internet Explorer. Diversos hijackers se adicionam nessa lista para poderem executar livremente qualquer cdigo. O15 - Trusted Zone: http://www.linhadefensiva.org O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um (HKLM) ao lado do site como: O15 - Trusted Zone: http://www.linhadefensiva.org (HKLM) Nesse caso preciso baixar o DelDomains, clicar com o boto direito no DelDomains.inf e clicar em Instalar. Isso remover todas as entradas presentes nos sites confiveis e nos sites restritos. Portanto se voc tinha alguma entrada nos sites restritos, necessrio adicion-las novamente. A entrada O15 ainda mostra os padres de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento padro para alguma Zona (Internet, Intranet, Restritos, Confiveis). Se algum protocolo estiver mapeado para a zona incorreta, voc ver uma entrada como a exibida abaixo: O15 - ProtocolDefaults: http protocol is in Trusted Zone, should be Internet Zone (HKLM) Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiveis! Observaes 1. O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains para remover as entradas que o HijackThis no consegue remover

Como saber As entradas iniciadas com ProtocolDefaults so sempre ruins, ento marque-as. J as entradas que listam sites, voc deve verificar os sites como faz com as R0.

O16 ActiveX
As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer (Downloaded Program Files).

No Registro

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

No Disco Observaes As entradas O16 fazem o uso de GUIDS/CLSIDS Detalhes Essas entradas mostram os programas ActiveX instalados pelo usurio. O16 - DPF: {11120607-1001-1111-1000-110199901123} - C:\x.cab O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) http://www.ipix.com/download/ipixx.cab Os ActiveX so geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornogrficos e GAIN. Por outro lado, eles tambm so usados por programas legtimos, como antivrus online. Observaes Como saber O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins. Voc pode usar a opo Find para procurar pelo CLSID no banco de dados do programa. Se ele estiver l, ruim. Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela provavelmente resultado da explorao de alguma falha no Internet Explorer e , portanto, ruim. Se voc no encontrar informaes sobre o CLSID e o arquivo for em um site, faa como nas R0 para determinar se o site ruim ou no. Se o site for a Akamai.net, a entrada provavelmente legtima o Housecall, da TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai dos erros mais comuns de quem comea a usar o HijackThis (mas no seja enganado pelos sites falsos como akamai.downloadv3.com).

O17 Configuraes da rede

A entrada O17 lista diversas configuraes de rede/Internet do Windows. No Registro O HijackThis exibe a chave de onde ele tirou a configurao em questo No Disco Observaes Marcar entradas O17 legtimas vo desconfigurar a rede! Detalhes Depois que o hijacker da C2Media comeou a modificar as configuraes de rede, o HijackThis adicionou a entrada O17 para exibir essas configuraes. O HijackThis no consegue consertar as configuraes da rede e apenas apaga as mesmas caso voc marque a entrada. 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. importante lembrar que nem todos os computadores so reconfigurados automaticamente na ausncia de uma servidor de DNS. A entrada O17 tambm exibe o nome de domnio ao qual o computador pertence, se estiver em um. Observaes 1. Aps marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador da rede para saber como reconfigurar a rede. 2. Utilize os backups do HijackThis se voc precisa de acesso para pedir ajuda na Internet para efetuar a reconfigurao. Como saber Para servidores de DNS (como no exemplo), voc precisa saber se os endereos pertencem ao seu provedor. O Brasil s utiliza endereos IP que iniciam com 200 e 201, portanto qualquer outro endereo provavelmente ruim. Na dvida, fale com seu provedor. Se voc marcar a entrada e a Internet no funcionar corretamente, sua rede ou conexo com a Internet no foi reconfigurada automaticamente. Voc vai precisar dos endereos do servidor de DNS para reconfigurar sua conexo, que podem ser obtidos com o seu provedor ou administrador de rede. O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br Se houver uma entrada de Domnio (Domain), voc precisa verificar com o seu provedor ou administrador de rede se h um domnio configurado para o seu sistema e se o mesmo est configurado corretamente. O nico hijacker que utiliza domnios o lop.com, ento voc dificilmente ver uma entrada O17 com Domain sendo ruim.

Como voc pode ver, muitas vezes no seguro marcar entradas O17 no HijackThis.

Nesta Pgina

O18 Protocolos e MIMEs O19 Folhas de Estilo O20 Inicializao Problemtica O21, O22 Inicializao pelo Shell O23 Servios NT

O18 Protocolos e MIMEs

Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.

No Registro

HKLM\SOFTWARE\Classes\PROTOCOLS\ HKLM\SOFTWARE\Classes\CLSID HKLM\SOFTWARE\Classes\PROTOCOLS\Handler HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

No Disco Para entender algumas entradas aqui voc precisa saber o que so tipos Observaes MIME. Detalhes Os hijackers de protocolo podem controlar o modo que certas informaes trafegam pelo computador. O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} J os hijackers de tipos MIME podem controlar as informaes de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o contedo de todas as pginas na Internet para incluir anncios publicitrios indevidamente. O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} C:\WINDOWS\SYSTEM\XPLUGIN.DLL Observaes 1. Alguns programas instalam protocolos extras, ento nem sempre essa entrada ruim Como saber Essa entrada ruim na maioria dos casos, porm alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integr-lo com o mesmo. Ferramentas de busca na internet podem ajud-lo a determinar o que bom e ruim.

O19 Folhas de Estilo

Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.

No Registro No Disco Observaes Detalhes

[HKCU\Software\Microsoft\Internet Explorer\Styles] User Stylesheets

As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado atravs de folhas de estilo e por isso alguns hijackers comearam a usar as folhas de estilo. O19 - User style sheet: c:\WINDOWS\Java\my.css Observaes 1. Assim como nas demais entradas, o HijackThis no apaga o arquivo listado Como saber Se voc no configurou uma folha de estilos no IE, marque.

O20 Inicializao Problemtica

A entrada O20 lista as duas entradas de inicializao mais difceis de serem consertadas.

No Registro

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

No Disco Essa entrada lista dois mtodos rarssimos de inicializao que merecem Observaes extremo cuidado Detalhes A entrada O20 lista dois mtodos raros de inicializao: AppInit e Winlogon Notify. O AppInit_DLls chamado quando qualquer programa executado, ou seja, toda vez que voc executa um programa, o AppInit executado tambm. Muitas vezes a chave do AppInit escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente usado por infeces de CoolWebSearch.

O20 - AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll O WinLogon Notify executado quando voc faz logon no Windows. usado por infeces Look2Me e trojans HaxDoor. O20 - Winlogon Notify: drct16 - drct16.dll Observaes 1. No recomendvel usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela no possui um valor padro e uma s, ou seja, tanto os valores legtimos como os malwares ficam na mesma chave. Se voc marcar a AppInit_DLLs e houver um valor legtimo junto ao valor malicioso, ambos sero removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, sempre recomendvel editar a chave AppInit_DLLs manualmente no registro. 2. Se no for possvel editar a chave AppInit, necessrio renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, no a pasta Windows). Como saber Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivrus online como o VirusTotal para saber se o arquivo mesmo ruim. Voc pode tambm procurar informaes na Internet. Para remover os arquivos nessas entradas recomenda-se o KillBox com a opo Delete on Reboot ou Replace on Reboot.

O21, O22 Inicializao pelo Shell

As entradas O21 e O22 carregam arquivos que so executados pelo shell ao rodar o Windows.

No Registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\SharedTaskScheduler

No Disco Observaes Utilizam CLSIDs Detalhes A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 o SharedTaskScheduler. So mtodos rarssimos de inicializao que funcionam inclusive no Modo de Segurana. O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} C:\WINDOWS\System\auhook.dll

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A77AA23B61E40F} - c:\windows\system32\mtwirl32.dll Observaes 1. Essas entradas funcionam em modo de segurana 2. Esses mtodos de inicializao no so documentadas pela Microsoft Como saber Voc pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivrus no arquivo, se houver dvidas. O caso mais recente de uso de uma dessas entradas o HotOffers, que usa a O22 mas no exibido no HijackThis.

O23 Servios NT
As entradas O23 listam servios no-Microsoft no Windows NT, 2000, XP e 2003. No Registro

HKLM\SYSTEM\CurrentControlSet\Services

No Disco Observaes O HijackThis no lista drivers, apenas servios Detalhes A entrada O23, presente somente nas verses do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos servios de antivrus e os trojans que usam essa entrada sabem se disfarar de uma meneira bem inteligente. O23 - Service: System Startup Service (SvcProc) - Unknown owner C:\WINDOWS\svcproc.exe Entre os parnteses o HijackThis exibe o nome interno do servio. Observaes 1. Antes de marcar uma entrada O23 importante parar os servios. Clique em Iniciar Executar, digite services.msc e clique em OK. L voc poder desativar e parar o servio que voc vai marcar no HijackThis 2. Ao marcar uma entrada, o HijackThis apenas desativa o servio e tenta par-lo 3. Para apagar servios use o Delete an NT Service das ferramentas do HijckThis 4. O HijackThis no apaga o arquivo Como saber Existem duas listas principais para entradas O23:

1. AntiSpyware O23 2. CastleCops O23 Para remover os arquivos em entradas O23, recomenda-se a opo para apagar arquivos ao reiniciar, podendo ser usado atravs do HijackThis na seo Misc Tools ou com o KillBox

Nesta Pgina

Depois da Limpeza Eu Odeio Listas Brancas Concluso

Depois da Limpeza
Depois que voc finalizou a limpeza marcando as entradas no HijackThis, importante que voc utilize anti-spywares como Ad-Aware para limpar os arquivos restantes. Antivrus online, como o Housecall podem ser teis tambm. importante tambm desativar e reativar a Restaurao do Sistema. Ao desativ-la, voc apagar todos os arquivos que ela salvou dos trojans que infectaram o seu sistema. Quando voc reativar, ela estar limpa e pronta para funcionar, sem fazer com que o seu antivrus encontre trojans na pasta System Volume Information.

Eu Odeio Listas Brancas

O HijackThis possui uma opo via linha de comando chamada Eu Odeio Listas Brancas. O HijackThis esconde diversas entradas que ele sabe que so seguras atravs de uma lista branca. Isso diminui o tamanho do log e facilita a sua anlise. Mas se voc executar o HijackThis com /ihatewhitelists atravs do Executar, essas entradas sero exibidas. Todas as entradas exibidas atravs dessa opo so seguras e no devem ser marcadas. Essa opo s foi listada aqui para que o HijackThis Completo seja mesmo completo. Mas isso no deve ser usado.

Concluso
O HijackThis, por ser um programa poderoso, torna-se tambm complexo e perigoso. Tenha muito cuidado ao utilizar o HijackThis para apagar coisas que voc no sabe. Se precisar de ajuda, voc poder tirar suas dvidas atravs do nosso frum. Para utilizar o HijackThis com toda a sua capacidade, necessrio conhecimento sobre as ltimas pragas que circulam pela Internet e saber como elas funcionam e como as mesmas fazem para permanecer no sistema para usar o HijackThis e eliminar sua infeco.

O HijackThis no , de qualquer forma, substituto para os anti-spywares. Ele capaz de acabar com a infeco ativa no sistema, mas no capaz de limpar as dezenas de arquivos que as pragas criam enquanto fazem o seu trabalho sujo. Infelizmente, mesmo com esse tutorial, identificar as infeces pode ser um trabalho complicado e eu tentei facilitar esse trabalho da melhor forma possvel. Tome cuidado, e boa sorte! Fonte: Linha Defensiva URL: http://linhadefensiva.uol.com.br/docs/hijackthis-completo/1/ Gerao do PDF: Ado Braga - adaobraga@holistica.com.br