Tutorial HijackThis Versão 1.0.

11

Última atualização: 04-02-2010

Log das atualizações:

1.0.11 :: Corrigido o link com o log do HijackThis; alterado a descrição de algumas entradas do log; adicionado uma alternativa à remoção
de arquivos na inicialização
1.0.10 :: Corrigido o link com o log do HijackThis para análise; alterado o nome do Edson A. F. na lista de colaboradores
1.0.9 :: Modificações na parte dos procedimentos de análise e detalhamento da entrada O17
1.0.8 :: Pequena alteração na parte da análise do log e no procedimento do KillBox
1.0.7 :: Pequenas alterações e os ícones do tutorial agora estão hospedados no ImageShack®, já que o servidor do HijackThis encontra-se
muitas vezes fora do ar
1.0.6 :: Pequenas modificações e adicionados os devidos créditos ao Claudio Pena e ao Eric Gagulich por terem criado os primeiros
tutoriais que li sobre o HijackThis
1.0.5 :: Adicionados alguns ítens nos tipos de identificação, observações e pequenas modificações
1.0.4 :: Pequena alteração na entrada O20
1.0.3 :: Adicionada a informação sobre a entrada O15 e algumas pequenas correções
1.0.2 :: Algumas modificações na parte de entradas, arquivos desconhecidos, observações e no procedimento de remoção
1.0.1 :: Pequenas alterações e informações sobre as entradas O10 e O20
1.0 :: Primeira versão do tutorial

==================================================
=====================

HijackThis 1.99.1: http://www.majorgeeks.com/download3155.html

TrendMicro HijackThis 2.02:

http://www.majorgeeks.com/Trend_Micr...his_d5554.html

==================================================
=====================

:: O que é o HijackThis? ::
É um programa desenvolvido por Merijn Bellekom que verifica os arquivos, serviços e
componentes que estão rodando em sua máquina a fim de detectar a presença de
spywares/malwares de forma genérica.

:: O que são aquelas letras e números antes de cada ítem analisado? ::

Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos
ajudam a identificar em qual deles o ítem analisado se encaixa.

- R0,R1,R2,R3: Página inicial do Internet Explorer (IE) /Páginas de busca

- F0,F1,F2,F3: Programas carregados automaticamente
- N1, N2, N3, N4: Página inicial do navegador e buscador utilizado
- O1: Redirecionamentos do arquivo Hosts
- O2: BHOs (Browser Helper Objects)
- O3: Barras de ferramentas do IE (toolbars)
- O4: Programas carregados automaticamente através do registro do sistema
- O5: Configurações do IE, ícones não visíveis no Painel de Controle
- O6: Opções do IE bloqueadas pelo administrador
- O7: Acesso ao Regedit bloqueado pelo administrador
- O8: Ítens extras do menu do botão direito do IE
- O9: Ítens extras na barra de ferramentas principal do IE
- O10: Hijackers de Winsock / LSP'S (Layered Service Providers)
- O11: Opções extras na aba Opções Avançadas do IE
- O12: Plugins do Internet Explorer
- O13: Hijackers de DefaultPrefix
- O14: Hijackers para "Resetar as configurações da web"
- O15: Área Segura do Internet Exporer e padrões de protocolos
- O16: Módulos ActiveX
- O17: Hacks de DNS
- O18: Hijackers de protocolo e protocolos extras
- O19: Hijackers da folha de estilo do usuário
- O20: Sub-chaves de AppInit_DLL/Winlogon Notify
- O21: Chave de registro do ShellServiceObjectDelayLoad
- O22: Valor de registro do SharedTaskScheduler
- O23: Serviços do Windows XP, NT e 2003

:: Como utilizar o HijackThis? ::

Ao abrir o programa pela primeira vez, aparecerá uma mensagem de aviso.
Simplesmente clique em OK. Feito isso, a tela principal do programa será aberta. Para
iniciar a verificação, clique em Do a system scan and save a log file. Após finalizar o
scan, o programa exibirá o bloco de notas com um relatório com todos os processos,
serviços e componentes que estão sendo executados em seu PC.

:: Como analisar o log gerado? ::

Com o log em mãos, vá até o site www.hijackthis.de - Lá você encontrará um campo
de texto para colar o log. Copie e cole o log nesse campo e clique em Analyse. Feito
isso será carregado uma página com o resultado da análise. Os ítens estão dividos da
seguinte forma:

Tipo (Kind)
É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são
identificados como:

Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina

Esse ítem refere-se ao Antivírus instalado em seu sistema

São entradas identificadas como seguras segundo o banco de dados do HijackThis.

No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto,
veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo
escrito como Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as
informações se divergirem, faça uma busca pelo nome do arquivo através do Google ou
mande o arquivo para análise no site VirusTotal

São ítens desnecessários para o sistema que podem ser removidos

São ítens que representam risco ao sistema e devem ser corrigidos/removidos.

Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada.
Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso
ao sistema. Um bom exemplo é o famoso arquivo ptsnoop.exe que pode ser tanto um
executável de certos modens ou um raro trojan. É altamente recomendável enviar o
arquivo para o VirusTotal caso esteja em dúvida
 São ítens desconhecidos. Quando houver um ítem nesse estado que você
desconheça, faça uma busca pelo arquivo através do Google. Há diversos sites como o
WinTasks que mostram informações de determinados arquivos. É só procurar... Se não
encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para
análise no VirusTotal

Avaliação dos visitantes (Visitor's assessment)

São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro
ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao
usuário conforme segue:

Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito
seguro"
Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro"
Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso"
Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso"
Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como
"Muito danoso"

É possível ver a posição de cada visitante clicando naqueles quadrinhos que ficam em
cima das informações citadas. Ao clicar, será exibida na tela as informações dadas pelos
visitantes. Você também pode dar a sua colaboração caso realmente conheça o
arquivo/ítem em questão, preenchendo os campos com suas descrições detalhadas e
identificando-a como seguro, danoso ou neutro. Mas por favor, só adicionem tais
informações se tiverem a certeza do que estão fazendo a fim de que não atrapalhe nas
verificações de outras pessoas.

Após ter identificado os ítens danosos, marque-os e clique em Fix Checked.

:: OBSERVAÇÕES ::

Coloque o HijackThis em uma pasta à parte. Se você executá-lo diretamente do

arquivo compactado (.zip), ele não fará um backup dos arquivos/entradas que você
remover e conseqüentemente não conseguirá restaurá-los caso dê algum problema.

Se você apagou algum arquivo/entrada importante, abra o HijackThis, vá em Open

the Misc Tools Section, depois em Backups. Feito isso selecione as entradas que
desejar restaurar e clique em Restore.

Se houver algum arquivo (geralmente DLL's) ou executável danoso na análise do

HijackThis, é recomendado utilizar o programa KillBox para que o arquivo seja
apagado, já que o procedimento de correção do HijackThis exclui apenas as entradas
relacionadas a eles. Se o arquivo não for excluído, o mesmo pode ser ativado em algum
momento futuro, seja por descuido do usuário ou através de alguma outra chamada de
procedimento. Nesses casos devem ser tomadas outras medidas antes de clicar em Fix
Checked:

- Baixe o programa KillBox. Feito isso execute-o.

- Marque a opção Delete on reboot
- Copie os caminhos que contém o programa danoso para o bloco de notas (Exemplo:
O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe - o caminho do
arquivo, no caso é C:\WINDOWS\system32\explore.exe). Caso não apareça o caminho
completo do arquivo (Exemplo: O4 - Global Startup: msnmsg.exe) procure pelo mesmo
no início do log do próprio HijackThis em Running processes. Feito isso, selecione tudo
o que você colou no bloco de notas (Ctrol + A) e copie (Ctrol + C). Volte ao Killbox, vá
em File -> Paste from clipboard e clique em All Files
- Clique no X e escolha Não (para que o PC não seja reiniciado ainda)
- Volte ao HijackThis e finalmente clique em Fix Checked (após ter marcado os ítens
danosos)
- Reinicie o PC, faça um outro scan com o HijackThis na opção Do a system scan and
save a log file e analise novamente no site www.hijackthis.de a fim de garantir que seu
PC esteja limpo
- Após constatado nenhuma ameaça no PC, faça um scan com programas como Ad-
Aware ou SpyBot para remover qualquer vestígio restante
- Desative e ative novamente a restauração do sistema (caso a utilize) para criar um
ponto livre de infecções. Para fazer isso, vá em Meu computador -> Propriedades. Na
aba Restauração do sistema marque a opção Desativar a restauração do sistema em
todas as unidades e clique em Aplicar. Feito isso desmarque essa mesma opção e dê
OK.

Outro meio de realizar esse procedimento de remoção é através do próprio HijackThis:

- Na janela principal, clique em Open the Misc Tools Section

- Clique em Delete a file on reboot...
- Procure pelo arquivo e clique em Abrir
- O sistema perguntará se deseja reiniciar. Clique em Reiniciar caso não esteja fazendo
nenhuma outra coisa importante.

Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las:

O10: LSP'S (Layered Service Providers)

Quando ocorre essa entrada no log, não se deve marcá-los no Hijackthis. Para consertar,
deve-se usar programas como o LSPFix e o Winsock FIX para que a corrente/escada
LSP não seja corrompida.

O15: Área Segura do Internet Exporer e padrões de protocolos

Aqui estão presentes todos os sites e protocolos definidos como confiáveis nas Opções
de Internet do Internet Explorer. Como o HijackThis pode ter dificuldade em remover
tais entradas, é recomendável utilizar um programa externo como o DelDomains. Baixe
o arquivo, clique com o botão direito nele e vá em Instalar.

Nota: o programa removerá todos os endereços, inclusive os que estão presentes na área
de sites restritos. Portanto, copie os endereços que você conhece para que possa
adicioná-los depois manualmente.

O17: Hacks DNS

Aqui ficam os servidores DNS configurados nas Configurações de Rede do Windows.
Se você está localizado no Brasil, utilizando um provedor nacional e não possuir um
proxy (se você não souber o que é isso provavelmente você não possui), os números
indicados aqui devem começar obrigatoriamente por 200 ou 201. Podem estar presentes
algum endereço IP de rede caso você utilize internet compartilhada, conexão via rádio
ou um roteador.

As pragas que modificam essas configurações são raras, portanto não se preocupe tanto.
Se você corrigir essa entrada e a sua conexão parar de funcionar, entre em contato com
o seu provedor para obter a configuração correta ou então anote os números ali
presentes antes de corrigir por questão de segurança.

O20: Sub-chaves de AppInit_DLL/Winlogon Notify

A entrada AppInit_DLL, como o nome sugere, refere-se à inicialização dos aplicativos

e seus respectivos arquivos DLL. Nessa chave valores legítimos podem ser encontrados
junto com Hijacker's. É muito comum nessa entrada os famosos erros de Socket Error.
Também não é recomendado marcar essa entrada no Hijackthis e sim editar a
chave no registro, que fica localizada em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows

Se a edição não for possível, renomeie a chave Windows para outro nome, limpe o valor
da AppInit_DLL e renomeie novamente a chave para Windows.

:: Botando a mão na massa! ::

Vamos fazer uma análise de um log simples para vermos se você realmente aprendeu a
analisar. Baixe esse arquivo: loghijackthis.txt

Copie o conteúdo contido nele e analise através do site www.hijackthis.de

Abra o bloco de notas e copie todos os ítens que você julgar desnecessário ou danoso ao
sistema. Logo abaixo encontra-se o resultado correto com os procedimentos a serem
tomados para solucionar esse problema. NÃO veja o resultado até que tenha analisado o
log em questão por completo!

:: RESULTADO ::

Ítens identificados como nocivos na análise do HijackThis:

Código:
C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system32\taskmgrs.com
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} -
http://scripts.dlv4.com/binaries/ega...s4_1063_XP.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer
Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe
Note que há alguns executáveis danosos no log em questão. Por esse motivo, deve ser
utilizado o programa Killbox para removê-los completamente.

Procedimentos:

- Marcar no HijackThis todos os ítens nocivos:

Código:
O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system32\taskmgrs.com
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} -
http://scripts.dlv4.com/binaries/ega...s4_1063_XP.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer
Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe

- Copiar o caminho dos arquivos dos ítens abaixo (indicado em negrito) para o bloco de
notas:
Código:
O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe
O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system32\taskmgrs.com

- Abrir o programa Killbox e marcar a opção Delete on reboot

- Copiar todos os ítens que foram colocados no bloco de notas, voltar ao Killbox e ir em
File -> Paste from clipboard. Feito isso, clicar em All Files
- Clicar no X e escolher Não
- Voltar ao HijackThis e clicar em Fix Checked
- Reiniciar o PC, scanear com o HijackThis novamente e realizar uma nova análise
- Após constatado nenhuma ameaça no PC, fazer um scan com programas como Ad-
Aware ou SpyBot para remover os vestígios que restarem
- Desativar e ativar novamente a restauração do sistema (caso a utilize)

:: ATENÇÃO ::
Se estiver em dúvida quanto à remoção de algum arquivo/entrada, NÃO HESITE EM
PERGUNTAR! Não me responsabilizo por danos causados pelo uso indevido do
programa! Sempre procure no Google caso esteja em dúvida em relação a algum ítem
presente no log!

:: AGRADECIMENTOS ::

* Edson A. F. - por sempre me apoiar nos meus trabalhos

* LUCAS*G3 - pelas dicas e informações adicionais
* Claudio Pena - pelo ótimo tutorial de segurança que me deu uma boa idéia sobre o
HijackThis e outros ítens
* Eric Gagulich - pelo primeiro tutorial do HijackThis que li para aprender a utilizá-lo
__________________
FGDH User: #29697

Meu canal no YouTube: http://www.youtube.com/user/walteen

Canal interessante sobre a NWO e derivados:
http://www.youtube.com/user/verdadeoculta