Ir direto para o menu Ir direto para o conteúdo
 
Feeds RSS Principal / Textos Técnicos / Ferramentas / HijackThis Completo

HijackThis Completo

Altieres Rohr | 04/06/2005 - 01h41

Nesta Página

O1 — Hosts

Essa entrada lista todos os redirecionamentos do arquivo HOSTS.

No Registro
  • [HKLM\System\CurrentControlSet\Services\Tcpip\Parameters]
    DatabasePath
No Disco
  • %WINDIR%\hosts [Windows 9x/ME]
  • %WINDIR%\system32\drivers\etc\hosts [Windows NT/200x/XP]

Onde %windir% é a pasta do Windows. Essa é a localização padrão do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar.

Observações Alguns administradores usam arquivos HOSTS em redes internas.

Detalhes

Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona.

O1 - Hosts: 0.0.0.0 www.google.com

Observações

  1. Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas.
  2. Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1 vai mostrar onde o arquivo Hosts está localizado.
O1 - Hosts file is located at C:\Windows\Help\hosts

Como saber

Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster.

02, O3 — Programas do IE

As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais.

No Registro
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects
  • HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
No Disco -
Observações Essas entradas funcionam através de CLSIDs

Detalhes

Os BHOs são usados principalmente por hijackers para trocar a página inicial e monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca diferente do qual ele está acostumado a usar.

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de Programas\Norton Antivirus\NavShExt.dll

Observações

  1. Se em vez do nome você ver um (no name), a entrada não possui um nome
  2. Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo associado
  3. Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não encontrou o arquivo no disco
  4. Ao consertar uma entrada O2, a chave no registro é apagada e o arquivo é removido. Esta é a única entrada que o HijackThis se encarrega de apagar o arquivo mencionado (e a O4 Startup, que é um caso especial).

Importante: As primeiras três observações acima valem para diversas outras entradas! Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.

Como saber

Existem diversas listas especializadas em BHOs e Toolbars na Internet. Uma boa referência é a lista do SystemLookup, mas existem diversas outras: basta procurar na Internet pela seqüencia entre as chaves (não inclua as chaves em si) ou pelo nome do arquivo.

O4 — Inicialização do Sistema

A entrada O4 é uma das entradas mais importantes exibidas pelo HijackThis. Ela lista diversas chaves do registro que são tipicamente usadas para iniciar programas junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’, que também pode ser usada para iniciar aplicativos e, portanto, trojans.

No Registro
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
No Disco A pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia dependendo da versão do sistema e do nome do usuário.
Observações Os arquivos mencionados nessas entradas geralmente também estão presentes na lista de processos

Detalhes

No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Iniciar do menu iniciar.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O valor entre os colchetes é o nome da propriedade do registro presente na chave denominada no início da linha. No exemplo, existe a propriedade “nwiz” na chave Run do HKLM (veja a lista de chaves usadas na tabela acima para saber o caminho completo até a chave).

Observações

  1. O HijackThis não apaga o arquivo relacionado com a entrada, com exceção das O4 do tipo “Startup”. Como as entradas Startup são apenas os arquivos na pasta “Inicializar”, a única maneira de remover o arquivo da inicialização é apagando-o. Note no entanto que a maioria dos programas legítimos usa apenas um atalho (arquivo .lnk), como o Adobe Reader acima. Nesse caso o HijackThis apaga apenas o .lnk para retirar o arquivo da inicialização.
  2. O HijackThis não verifica se o arquivo existe, portanto não haverá um (file missing)

Como saber

Embora seja um pouco difícil saber quais as entradas são falsas e quais são legítimas, isso pode ser feito de algumas maneiras:

  • Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo
  • Verifique as propriedades do arquivo para saber mais sobre o mesmo
  • Procure na Internet em listas como AnswersThatWork e SystemLookup

Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo. Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows e de sistema (C:\WINDOWS e C:\WINDOWS\System e System32). O arquivo do exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME).

O5, O6, O7 — Restrições

A presença de uma dessas entradas demonstra que algumas restrições foram colocadas no sistema.

No Registro
  • HKCU\Software\Policies\Microsoft\Internet Explorer\
    Restrictions
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
    System
No Disco
  • control.ini
Observações -

Detalhes

Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas no Painel de Controle. A presença de uma O6 indica que algumas outras opções no Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é incapaz de executar o editor de registro do Windows.

O5 - control.ini: inetcpl.cpl=no

Observações

-

Como saber

Se você ou o administrador da sua rede não colocou essas restrições, marque as entradas.

 
Compartilhar | Imprimir Imprimir
Ferramentas
 

Conteúdo Relacionado

  • Vírus da Baratinha do MSN – Passo-a-passo: Como remover o worm da Baratinha. [11/09/05]
  • HijackThis – Documento básico explicando como fazer um download e o log do HijackThis. Veja o HijackThis Completo para um documento que detalha todas as funções do programa. [29/09/04]
  • Como remover SP.DLL e SE.DLL – Saiba como remover os mais novos membros da família do CoolWebSearch. [27/03/05]
  • Repsamo/Cimuz – Remoção passo-a-passo do cavalo-de-tróia Repsamo, que também é conhecido como Cimuz. [26/11/05]
  • HijackThis Completo – Uma das perguntas mais freqüentes que recebemos é: “Como eu faço para analisar um log do HijackThis?” Existem diversos tutoriais e documentos sobre ele. Alguns são simples demais e os que possuem informações relevantes e detalhadas estão em inglês. Agora o HijackThis Completo traz em português todos os detalhes do programa, incluindo o significado de cada entrada [04/06/05]

Últimas notícias

Site Seguro

Site Seguro. Não duvide!

Publicidade

Fechar
  • Web Social
  • E-mail
Voltar ao Topo Encaminhe E-mail Suspeito | Comunidades: Orkut / Facebook | Alertas no Twitter | Remova Vírus
Anuncie | Termos de Uso | Política de Privacidade | WP | KP | ASAP
 ©2004-2010 Linha Defensiva. Todos os Direitos Reservados.