Ir direto para o menu
Ir direto para o conteúdo
Altieres Rohr | 04/06/2005 - 01h41
Essas entradas estão relacionadas com as configurações do Internet Explorer. Elas listam a página inicial, a página padrão de busca e outros.
| No Registro |
Nota: Se a chave existe no HKCU além do HKLM, o HijackThis pegará seus valores também. |
|---|---|
| No Disco | - |
| Observações | O (obfuscated) ao lado de uma entrada significa que a mesma está em valor hexadecial e que o HijackThis a converteu para um formato legível. |
Aqui há diversas entradas. A maioria delas é simples: você verifica se o site listado é bom ou ruim. Se for ruim ou indesejado, você marca.
Nesse caso, o Google é seguro, portanto não há problema. Também há as R3, SearchHook:
Para encontrar informações sobre os SearchHooks, você pode usar o nome (no exemplo é transURL Class) o GUID (entre as chaves) ou o nome do arquivo. Um (file missing) ao lado do nome do arquivo significa que o HijackThis não encontrou o arquivo no disco.
Existe uma entrada que você deve ter cuidado. A que trata de proxies:
O proxy é utilizado muitas vezes em redes internas para compartilhar a conexão. Alguns utilizam proxies locais. Se o proxy estiver com um endereço interno da rede, como 192.168.0.1, é provável que a entrada seja legítima. Se a entrada for legítima e ela for marcada, o proxy terá de ser reconfigurado (ou a entrada terá de ser recuperada através do backup do HijackThis).
O ProxyOverride significa que ele não será usado em URLs que começam com https (SSL).
Nas demais entradas o HijackThis simplesmente apaga as chaves no registro. Elas não são críticas ao sistema e o dano, caso marcada incorretamente, será mínimo.
Para saber se a maioria dessas entradas é maliciosa, não é difícil. Se a entrada iniciar com res:// é bem provável que ela seja maliciosa, mas isso não é sempre. Nas entradas que demonstram sites, geralmente é necessário visitar (com um navegador atualizado e com todos os recursos de scripting desabilitados) os sites em questão para ver se são maliciosos ou não.
Nas entradas R3 você pode pesquisar na Internet utilizando o nome, CLSID ou o nome do arquivo. Geralmente você saberá do que se trata.
Nas entradas que possuem proxy, o melhor é perguntar ao dono do computador ou ao administrador se havia um proxy configurado no sistema.
Essas entradas mostram os arquivos que serão iniciados com o Windows por meio dos arquivos INI do sistema.
| No Registro |
|
|---|---|
| No Disco |
|
| Observações | É raramente utilizada hoje em dia, mas alguns drivers ainda utilizam entradas desse tipo. |
A entrada F0 mostra o Shell que será utilizado. O Shell é um programa especial que interpreta os comandos do usuário. O shell padrão do Windows é o explorer.exe. Ele constrói o menu iniciar e os ícones na área de trabalho. Existe a possibilidade de você utilizar outro shell, desse modo você pode fazer com que sua área de trabalho tenha qualquer visual. Um exemplo de shell alternativo é o Litestep.
É possível que dois programas sejam utilizados como Shell. Provavelmente quando o explorer.exe é listado junto com este outro ’shell’, este outro shell na verdade é um trojan.
programa-ruim.exe pode ser um trojan. Como o Shell ainda é o Explorer.exe também, tudo ficará igual para o usuário, mas o trojan estará rodando a partir de um dos locais mais incomuns existentes. A entrada F2 também mostra o Userinit, que é o mesmo que o Shell: se houver outro arquivo ao lado do Userinit.exe, provavelmente é ruim. A diferença é que em vez de um espaço, os arquivos no Userinit são separados por uma vírgula.
E aí temos o Load e o Run do Win.ini:
Os arquivos iniciados através destas entradas devem ser pesquisados. Alguns são legítimos (tais como alguns drivers de som da C-Media e HP que ainda usam essa entrada), mas outros arquivos podem ser suspeitos. Claro que, como essa entrada é geralmente utilizada por drivers, deve-se ter um extremo cuidado com ela.
Existem diversas listas na Internet. É só fazer uma busca na Internet usando o nome do arquivo em questão que quase sempre você saberá do que se trata. Em últimos casos, envie o arquivo para serviços como o VirusTotal para saber se o arquivo é malicioso ou não, ou apenas use seu antivírus favorito.
Essas entradas se referem ao mesmo que as R1, R2 e R3, mas para configurações do Netscape.
| No Registro | - |
|---|---|
| No Disco | prefs.js |
| Observações | Cada entrada se refere a uma versão diferente do navegador, mas apresentam os mesmos dados. |
A N1 mostra as páginas inicial e de busca do Nescape 4. O N2 mostra do Netscape 6, as N3 do Netscape 7 e finalmente as N4 do Mozilla.
N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
-
Simplesmente verifique se as páginas são seguras ou não, como você faz com as R0.
