Ir direto para o menu Ir direto para o conteúdo
 
Feeds RSS Principal / Textos Técnicos / Ferramentas / HijackThis Completo

HijackThis Completo

Altieres Rohr | 04/06/2005 - 01h41

Nesta Página

O18 — Protocolos e MIMEs

Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.

No Registro
  • HKLM\SOFTWARE\Classes\PROTOCOLS\
  • HKLM\SOFTWARE\Classes\CLSID
  • HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
  • HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
No Disco -
Observações Para entender algumas entradas aqui você precisa saber o que são tipos MIME.

Detalhes

Os hijackers de protocolo podem controlar o modo pelo qual certas informações trafegam pelo computador.

O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Já os hijackers de tipos MIME podem controlar as informações de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir anúncios publicitários indevidamente.

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\SYSTEM\XPLUGIN.DLL

Observações

  1. Alguns programas instalam protocolos extras, então nem sempre essa entrada é ruim

Como saber

Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo. Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.

O19 — Folhas de Estilo

Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.

No Registro
  • [HKCU\Software\Microsoft\Internet Explorer\Styles]
    User Stylesheets
No Disco -
Observações -

Detalhes

As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado através de folhas de estilo e por isso alguns hijackers começaram a usar as folhas de estilo.

O19 - User style sheet: c:\WINDOWS\Java\my.css

Observações

  1. Assim como nas demais entradas, o HijackThis não apaga o arquivo listado

Como saber

Se você não configurou uma folha de estilos no IE, marque.

O20 — Inicialização Problemática

A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.

No Registro
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
No Disco -
Observações Essa entrada lista dois métodos raríssimos de inicialização que merecem extremo cuidado

Detalhes

A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.

O AppInit_DLLs é chamado quando qualquer programa é executado, ou seja, toda vez que você executa um programa, o AppInit é executado também. Muitas vezes a chave do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente é usado por infecções de CoolWebSearch.

O20 - AppInit_DLLs: C:\WINDOWS\System32\aaaaaa.dll

O WinLogon Notify é executado quando você faz logon no Windows. É usado por infecções Look2Me e trojans HaxDoor.

O20 - Winlogon Notify: drct16 - drct16.dll

Observações

  1. Não é recomendável usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor malicioso, ambos serão removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, é sempre recomendável editar a chave AppInit_DLLs manualmente no registro.
  2. Se não for possível editar a chave AppInit, é necessário renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, não a pasta Windows).

Como saber

Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você pode também procurar informações na Internet.

Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete on Reboot ou Replace on Reboot.

O21, O22 — Inicialização pelo Shell

As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o Windows.

No Registro
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ShellServiceObjectDelayLoad
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\SharedTaskScheduler
No Disco -
Observações Utilizam CLSIDs

Detalhes

A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam inclusive no Modo de Segurança.

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Observações

  1. Essas entradas funcionam em modo de segurança
  2. Esses métodos de inicialização não são documentados pela Microsoft

Como saber

Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no arquivo, se houver dúvidas.

Adwares têm utilizado entradas O21 com freqüência.

O23 — Serviços NT

As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003.

No Registro
  • HKLM\SYSTEM\CurrentControlSet\Services
No Disco -
Observações O HijackThis não lista drivers, apenas serviços

Detalhes

A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam essa entrada sabem se disfarçar de uma maneira bem inteligente.

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Entre os parênteses o HijackThis exibe o nome interno do serviço.

Observações

  1. É importante parar o serviço relevante antes de marcar sua entrada. Clique em Iniciar -> Executar, digite services.msc e clique em OK. Lá você poderá desativar e parar o serviço que você vai marcar no HijackThis
  2. Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo
  3. Para apagar serviços, use o Delete an NT Service das ferramentas do HijackThis
  4. O HijackThis não apaga o arquivo

Como saber

Existem uma lista principal para entradas O23:

  1. SystemLookup O23

Para remover os arquivos em entradas O23, recomenda-se o uso do Delete on Reboot, seja do HijackThis na seção Misc Tools ou com o KillBox.

 
Compartilhar | Imprimir Imprimir
Ferramentas
 

Conteúdo Relacionado

  • Vírus da Baratinha do MSN – Passo-a-passo: Como remover o worm da Baratinha. [11/09/05]
  • HijackThis – Documento básico explicando como fazer um download e o log do HijackThis. Veja o HijackThis Completo para um documento que detalha todas as funções do programa. [29/09/04]
  • Como remover SP.DLL e SE.DLL – Saiba como remover os mais novos membros da família do CoolWebSearch. [27/03/05]
  • Repsamo/Cimuz – Remoção passo-a-passo do cavalo-de-tróia Repsamo, que também é conhecido como Cimuz. [26/11/05]
  • HijackThis Completo – Uma das perguntas mais freqüentes que recebemos é: “Como eu faço para analisar um log do HijackThis?” Existem diversos tutoriais e documentos sobre ele. Alguns são simples demais e os que possuem informações relevantes e detalhadas estão em inglês. Agora o HijackThis Completo traz em português todos os detalhes do programa, incluindo o significado de cada entrada [04/06/05]

Últimas notícias

Site Seguro

Site Seguro. Não duvide!

Publicidade

Fechar
  • Web Social
  • E-mail
Voltar ao Topo Encaminhe E-mail Suspeito | Comunidade Orkut | Alertas no Twitter | Remova Vírus
Anuncie | Termos de Uso | Política de Privacidade | WP | KP | ASAP
 ©2004-2010 Linha Defensiva. Todos os Direitos Reservados.