Tutorial HijackThis Versão 1.0.11
Última atualização: 04-02-2010
Log das atualizações:
1.0.11 :: Corrigido o link com o log do HijackThis; alterado a descrição de algumas entradas do log; adicionado uma alternativa à remoção de arquivos na inicialização
1.0.10 :: Corrigido o link com o log do HijackThis para análise; alterado o nome do
Edson A. F. na lista de colaboradores
1.0.9 :: Modificações na parte dos procedimentos de análise e detalhamento da entrada O17
1.0.8 :: Pequena alteração na parte da análise do log e no procedimento do KillBox
1.0.7 :: Pequenas alterações e os ícones do tutorial agora estão hospedados no ImageShack®, já que o servidor do HijackThis encontra-se muitas vezes fora do ar
1.0.6 :: Pequenas modificações e adicionados os devidos créditos ao
Claudio Pena e ao
Eric Gagulich por terem criado os primeiros tutoriais que li sobre o HijackThis
1.0.5 :: Adicionados alguns ítens nos tipos de identificação, observações e pequenas modificações
1.0.4 :: Pequena alteração na entrada O20
1.0.3 :: Adicionada a informação sobre a entrada O15 e algumas pequenas correções
1.0.2 :: Algumas modificações na parte de entradas, arquivos desconhecidos, observações e no procedimento de remoção
1.0.1 :: Pequenas alterações e informações sobre as entradas O10 e O20
1.0 :: Primeira versão do tutorial
=======================================================================
HijackThis 1.99.1: http://www.majorgeeks.com/download3155.html
TrendMicro HijackThis 2.02: http://www.majorgeeks.com/Trend_Micro_HijackThis_d5554.html
=======================================================================
:: O que é o HijackThis? ::
É um programa desenvolvido por
Merijn Bellekom que verifica os arquivos, serviços e componentes que estão rodando em sua máquina a fim de detectar a presença de spywares/malwares de forma genérica.
:: O que são aquelas letras e números antes de cada ítem analisado? ::
Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos ajudam a identificar em qual deles o ítem analisado se encaixa.
- R0,R1,R2,R3: Página inicial do Internet Explorer (IE) /Páginas de busca
- F0,F1,F2,F3: Programas carregados automaticamente
- N1, N2, N3, N4: Página inicial do navegador e buscador utilizado
- O1: Redirecionamentos do arquivo Hosts
- O2: BHOs (Browser Helper Objects)
- O3: Barras de ferramentas do IE (toolbars)
- O4: Programas carregados automaticamente através do registro do sistema
- O5: Configurações do IE, ícones não visíveis no Painel de Controle
- O6: Opções do IE bloqueadas pelo administrador
- O7: Acesso ao Regedit bloqueado pelo administrador
- O8: Ítens extras do menu do botão direito do IE
- O9: Ítens extras na barra de ferramentas principal do IE
- O10: Hijackers de Winsock / LSP'S (Layered Service Providers)
- O11: Opções extras na aba Opções Avançadas do IE
- O12: Plugins do Internet Explorer
- O13: Hijackers de DefaultPrefix
- O14: Hijackers para "Resetar as configurações da web"
- O15: Área Segura do Internet Exporer e padrões de protocolos
- O16: Módulos ActiveX
- O17: Hacks de DNS
- O18: Hijackers de protocolo e protocolos extras
- O19: Hijackers da folha de estilo do usuário
- O20: Sub-chaves de AppInit_DLL/Winlogon Notify
- O21: Chave de registro do ShellServiceObjectDelayLoad
- O22: Valor de registro do SharedTaskScheduler
- O23: Serviços do Windows XP, NT e 2003
:: Como utilizar o HijackThis? ::
Ao abrir o programa pela primeira vez, aparecerá uma mensagem de aviso. Simplesmente clique em
OK. Feito isso, a tela principal do programa será aberta. Para iniciar a verificação, clique em
Do a system scan and save a log file. Após finalizar o scan, o programa exibirá o bloco de notas com um relatório com todos os processos, serviços e componentes que estão sendo executados em seu PC.
:: Como analisar o log gerado? ::
Com o log em mãos, vá até o site
www.hijackthis.de - Lá você encontrará um campo de texto para colar o log. Copie e cole o log nesse campo e clique em
Analyse. Feito isso será carregado uma página com o resultado da análise. Os ítens estão dividos da seguinte forma:
Tipo (Kind)
É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são identificados como:
Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina
Esse ítem refere-se ao Antivírus instalado em seu sistema
São entradas identificadas como seguras segundo o banco de dados do HijackThis. No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto, veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo escrito como
Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as informações se divergirem, faça uma busca pelo nome do arquivo através do
Google ou mande o arquivo para análise no site
VirusTotal
São ítens desnecessários para o sistema que podem ser removidos
São ítens que representam risco ao sistema e devem ser corrigidos/removidos. Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada. Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso ao sistema. Um bom exemplo é o famoso arquivo
ptsnoop.exe que pode ser tanto um executável de certos modens ou um raro trojan. É altamente recomendável enviar o arquivo para o
VirusTotal caso esteja em dúvida
São ítens desconhecidos. Quando houver um ítem nesse estado que você desconheça, faça uma busca pelo arquivo através do
Google. Há diversos sites como o
WinTasks que mostram informações de determinados arquivos. É só procurar... Se não encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para análise no
VirusTotal
Avaliação dos visitantes (Visitor's assessment)
São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao usuário conforme segue:
Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito seguro"
Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro"
Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso"
Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso"
Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como "Muito danoso"
É possível ver a posição de cada visitante clicando naqueles quadrinhos que ficam em cima das informações citadas. Ao clicar, será exibida na tela as informações dadas pelos visitantes. Você também pode dar a sua colaboração caso realmente conheça o arquivo/ítem em questão, preenchendo os campos com suas descrições detalhadas e identificando-a como seguro, danoso ou neutro. Mas por favor, só adicionem tais informações se tiverem a certeza do que estão fazendo a fim de que não atrapalhe nas verificações de outras pessoas.
Após ter identificado os ítens danosos, marque-os e clique em
Fix Checked.
:: OBSERVAÇÕES ::
Coloque o HijackThis em uma pasta à parte. Se você executá-lo diretamente do arquivo compactado (.zip), ele não fará um backup dos arquivos/entradas que você remover e conseqüentemente não conseguirá restaurá-los caso dê algum problema.
Se você apagou algum arquivo/entrada importante, abra o HijackThis, vá em
Open the Misc Tools Section, depois em
Backups. Feito isso selecione as entradas que desejar restaurar e clique em
Restore.
Se houver algum arquivo (geralmente DLL's) ou executável danoso na análise do HijackThis, é recomendado utilizar o programa
KillBox para que o arquivo seja apagado, já que o procedimento de correção do HijackThis exclui apenas as entradas relacionadas a eles. Se o arquivo não for excluído, o mesmo pode ser ativado em algum momento futuro, seja por descuido do usuário ou através de alguma outra chamada de procedimento. Nesses casos devem ser tomadas outras medidas antes de clicar em
Fix Checked:
- Baixe o programa
KillBox. Feito isso execute-o.
- Marque a opção
Delete on reboot
- Copie os caminhos que contém o programa danoso para o bloco de notas (Exemplo: O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe - o caminho do arquivo, no caso é
C:\WINDOWS\system32\explore.exe). Caso não apareça o caminho completo do arquivo (Exemplo: O4 - Global Startup: msnmsg.exe) procure pelo mesmo no início do log do próprio HijackThis em
Running processes. Feito isso, selecione tudo o que você colou no bloco de notas (Ctrol + A) e copie (Ctrol + C). Volte ao
Killbox, vá em
File -> Paste from clipboard e clique em
All Files
- Clique no
X e escolha
Não (para que o PC não seja reiniciado ainda)
- Volte ao
HijackThis e finalmente clique em
Fix Checked (após ter marcado os ítens danosos)
- Reinicie o PC, faça um outro scan com o HijackThis na opção
Do a system scan and save a log file e analise novamente no site
www.hijackthis.de a fim de garantir que seu PC esteja limpo
- Após constatado nenhuma ameaça no PC, faça um scan com programas como
Ad-Aware ou
SpyBot para remover qualquer vestígio restante
- Desative e ative novamente a restauração do sistema (caso a utilize) para criar um ponto livre de infecções. Para fazer isso, vá em
Meu computador -> Propriedades. Na aba
Restauração do sistema marque a opção
Desativar a restauração do sistema em todas as unidades e clique em
Aplicar. Feito isso desmarque essa mesma opção e dê OK.
Outro meio de realizar esse procedimento de remoção é através do próprio HijackThis:
- Na janela principal, clique em
Open the Misc Tools Section
- Clique em
Delete a file on reboot...
- Procure pelo arquivo e clique em
Abrir
- O sistema perguntará se deseja reiniciar. Clique em Reiniciar caso não esteja fazendo nenhuma outra coisa importante.
Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las:
O10: LSP'S (Layered Service Providers)
Quando ocorre essa entrada no log, não se deve marcá-los no Hijackthis. Para consertar, deve-se usar programas como o
LSPFix e o
Winsock FIX para que a corrente/escada LSP não seja corrompida.
O15: Área Segura do Internet Exporer e padrões de protocolos
Aqui estão presentes todos os sites e protocolos definidos como confiáveis nas Opções de Internet do Internet Explorer. Como o HijackThis pode ter dificuldade em remover tais entradas, é recomendável utilizar um programa externo como o
DelDomains. Baixe o arquivo, clique com o botão direito nele e vá em
Instalar.
Nota: o programa removerá todos os endereços, inclusive os que estão presentes na área de sites restritos. Portanto, copie os endereços que você conhece para que possa adicioná-los depois manualmente.
O17: Hacks DNS
Aqui ficam os servidores DNS configurados nas Configurações de Rede do Windows. Se você está localizado no Brasil, utilizando um provedor nacional e não possuir um proxy (se você não souber o que é isso provavelmente você não possui), os números indicados aqui devem começar obrigatoriamente por
200 ou
201. Podem estar presentes algum endereço IP de rede caso você utilize internet compartilhada, conexão via rádio ou um roteador.
As pragas que modificam essas configurações são raras, portanto não se preocupe tanto. Se você corrigir essa entrada e a sua conexão parar de funcionar, entre em contato com o seu provedor para obter a configuração correta ou então anote os números ali presentes antes de corrigir por questão de segurança.
O20: Sub-chaves de AppInit_DLL/Winlogon Notify
A entrada AppInit_DLL, como o nome sugere, refere-se à inicialização dos aplicativos e seus respectivos arquivos DLL. Nessa chave valores legítimos podem ser encontrados junto com Hijacker's. É muito comum nessa entrada os famosos erros de Socket Error. Também
não é recomendado marcar essa entrada no Hijackthis e sim
editar a chave no registro, que fica localizada em:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Se a edição não for possível, renomeie a chave
Windows para outro nome, limpe o valor da AppInit_DLL e renomeie novamente a chave para
Windows.
:: Botando a mão na massa! ::
Vamos fazer uma análise de um log simples para vermos se você realmente aprendeu a analisar. Baixe esse arquivo:
loghijackthis.txt
Copie o conteúdo contido nele e analise através do site
www.hijackthis.de
Abra o bloco de notas e copie todos os ítens que você julgar desnecessário ou danoso ao sistema. Logo abaixo encontra-se o resultado correto com os procedimentos a serem tomados para solucionar esse problema.
NÃO veja o resultado até que tenha analisado o log em questão por completo!
:: RESULTADO ::
Ítens identificados como nocivos na análise do HijackThis:
[code=rich]C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system32\taskmgrs.com
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/ega...s4_1063_XP.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe[/code]Note que há alguns executáveis danosos no log em questão. Por esse motivo, deve ser utilizado o programa
Killbox para removê-los completamente.
Procedimentos:
- Marcar no
HijackThis todos os ítens nocivos:
[code=rich]O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system32\taskmgrs.com
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/ega...s4_1063_XP.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe[/code]- Copiar o caminho dos arquivos dos ítens abaixo (indicado em negrito) para o bloco de notas:
[code=rich]O4 - HKLM\..\Run: [explore]
C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [taskmgr]
C:\WINDOWS\system32\taskmgrs.com[/code]- Abrir o programa
Killbox e marcar a opção
Delete on reboot
- Copiar todos os ítens que foram colocados no bloco de notas, voltar ao
Killbox e ir em
File -> Paste from clipboard. Feito isso, clicar em
All Files
- Clicar no
X e escolher
Não
- Voltar ao
HijackThis e clicar em
Fix Checked
- Reiniciar o PC, scanear com o
HijackThis novamente e realizar uma nova análise
- Após constatado nenhuma ameaça no PC, fazer um scan com programas como
Ad-Aware ou
SpyBot para remover os vestígios que restarem
- Desativar e ativar novamente a restauração do sistema (caso a utilize)
:: ATENÇÃO ::
Se estiver em dúvida quanto à remoção de algum arquivo/entrada,
NÃO HESITE EM PERGUNTAR! Não me responsabilizo por danos causados pelo uso indevido do programa! Sempre procure no
Google caso esteja em dúvida em relação a algum ítem presente no log!
arkOrange">
:: AGRADECIMENTOS ::
* Edson A. F. - por sempre me apoiar nos meus trabalhos
* LUCAS*G3 - pelas dicas e informações adicionais
* Claudio Pena - pelo ótimo tutorial de segurança que me deu uma boa idéia sobre o HijackThis e outros ítens
* Eric Gagulich - pelo primeiro tutorial do HijackThis que li para aprender a utilizá-lo