Divulgação


Notícias Atualizadas

HijackThis

O que é o HijackThis?
É um programa desenvolvido por Merijn Bellekom que verifica os arquivos, serviços e componentes que estão rodando em sua máquina a fim de detectar a presença de spywares/malwares de forma genérica.

O que são aquelas letras e números antes de cada ítem analisado?
Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos ajudam a identificar em qual deles o ítem analisado se encaixa.

- R0,R1,R2,R3: Hook de buscadores de URL
- F0,F1,F2,F3: Inicialização rara, arquivos .ini
- N1, N2, N3, N4: Página inicial do navegador e buscador utilizado
- O1: Redirecionamentos do arquivo Hosts
- O2: BHOs (Browser Helper Objects)
- O3: Barras de ferramentas do navegador (toolbars)
- O4: Programas da inicialização
- O5: Configurações do Painel de Controle
- O6: Configurações Administrativas
- O7: Configurações do Regedit
- O8: Ítens do menu de contexto
- O9: Botões da barra de ferramentas
- O10: Hijackers de Winsock / LSP'S (Layered Service Providers)
- O11: Opções Avançadas do Internet Explorer
- O12: Plugins do Internet Explorer
- O13: Hijackers de DefaultPrefix
- O14: Hijackers para "Resetar as configurações da web"
- O15: Área Segura do Internet Exporer e padrões de protocolos
- O16: Módulos ActiveX
- O17: Hacks DNS
- O18: Hijackers de protocolo e protocolos extras
- O19: Hijackers da folha de estilo do usuário
- O20: Sub-chaves de AppInit_DLL/Winlogon Notify
- O21: Chave de registro do ShellServiceObjectDelayLoad
- O22: Valor de registro do SharedTaskScheduler
- O23: Serviços do Windows XP, NT e 2003

Como utilizar o HijackThis?

Ao abrir o programa pela primeira vez, aparecerá uma mensagem de aviso. Simplesmente clique em OK. Feito isso, a tela principal do programa será aberta. Para iniciar a verificação, clique em Do a system scan and save a log file. Após finalizar o scan, o programa exibe o bloco de notas com um relatório com todos os processos, serviços e componentes que estão sendo executados em seu PC.

Como analisar o log gerado?Com o log em mãos, vá até o site http://www.hijackthis.de/ - Lá você encontrará um campo de texto para colar o log. Copie e cole o log nesse campo e clique em Analyse. Feito isso será carregado uma página com o resultado da análise. Os ítens estão dividos da seguinte forma:

Tipo (Kind)
É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são identificados como:

Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina
Esse ítem refere-se ao Antivírus instalado em seu sistema
São entradas identificadas como seguras segundo o banco de dados do HijackThis. No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto, veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo escrito como Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as informações se divergirem, faça uma busca pelo nome do arquivo através do Google ou mande o arquivo para análise no site VirusTotal
São ítens desnecessários para o sistema que podem ser removidos
São ítens que representam risco ao sistema e devem ser corrigidos/removidos. Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada. Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso ao sistema. Um bom exemplo é o arquivo vsnpstd.exe que fica localizado na pasta C:\WINDOWS. Apesar de ser analisado como danoso, ele faz parte de um programa de certas câmeras/webcams. Outro exemplo é o caso do Internet Explorer quando este está na versão desatualizada (versão 6.0) ou o famoso arquivo ptsnoop.exe que pode ser tanto um executável de certos modens ou um raro trojan. É altamente recomendável enviar o arquivo para o VirusTotal caso esteja em dúvida
São ítens desconhecidos. Quando houver um ítem nesse estado que você desconheça, faça uma busca pelo arquivo através do Google. Há diversos sites como o WinTasks ( http://www.liutilities.com/products/wintaskspro/processlibrary/ )que mostram informações de determinados arquivos. É só procurar... Se não encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para análise no VirusTotal ( http://www.virustotal.com/en/indexf.html )

Avaliação dos visitantes (Visitor's assessment)
São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao usuário conforme segue:

Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito seguro"
Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro"
Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso"
Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso"
Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como "Muito danoso"

É possível ver a posição de cada visitante clicando naqueles quadrinhos que ficam em cima das informações citadas. Ao clicar, será exibida na tela as informações dadas pelos visitantes. Você também pode dar a sua colaboração caso realmente conheça o arquivo/ítem em questão, preenchendo os campos com suas descrições detalhadas e identificando-a como seguro, danoso ou neutro. Mas por favor, só adicionem tais informações se tiverem a certeza do que estão fazendo a fim de que não atrapalhe nas verificações de outras pessoas.
Após ter identificado os ítens danosos, marque-os e clique em Fix Checked.

:: OBSERVAÇÕES ::

Coloque o HijackThis em uma pasta à parte. Se você executá-lo diretamente do arquivo compactado (.zip), ele não fará um backup dos arquivos/entradas que você remover e conseqüentemente não conseguirá restaurá-los caso dê algum problema.

Se você apagou algum arquivo/entrada importante, abra o HijackThis, vá em Open the Misc Tools Section, depois em Backups. Feito isso selecione as entradas que desejar restaurar e clique em Restore.

Se houver algum arquivo (geralmente DLL's) ou executável danoso na análise do HijackThis, é recomendado utilizar o programa KillBox para que o arquivo seja apagado, já que o procedimento de correção do HijackThis exclui apenas as entradas relacionadas a eles. Se o arquivo não for excluído, o mesmo pode ser ativado em algum momento futuro, seja por descuido do usuário ou através de alguma outra chamada de procedimento. Nesses casos devem ser tomadas outras medidas antes de clicar em Fix Checked:

- Baixe o programa KillBox ( http://download.bleepingcomputer.com/spyware/KillBox.exe ). Feito isso execute-o.
- Marque a opção Delete on reboot
- Copie os caminhos que contém o programa danoso para o bloco de notas (Exemplo: O4 - HKLM\..\Run: [explore] C:\WINDOWS\system32\explore.exe - o caminho do arquivo, no caso é C:\WINDOWS\system32\explore.exe). Caso não apareça o caminho completo do arquivo (Exemplo: O4 - Global Startup: msnmsg.exe) procure pelo mesmo no início do log do próprio HijackThis em Running processes. Feito isso, selecione tudo o que você colou no bloco de notas (Ctrol + A) e copie (Ctrol + C). Volte ao Killbox, vá em File -> Paste from clipboard e clique em All Files
- Clique no X e escolha Não (para que o PC não seja reiniciado ainda)
- Volte ao HijackThis e finalmente clique em Fix Checked (após ter marcado os ítens danosos)
- Reinicie o PC, faça um outro scan com o HijackThis na opção Do a system scan and save a log file e analise novamente no site http://www.hijackthis.de/ a fim de garantir que seu PC esteja limpo
- Após constatado nenhuma ameaça no PC, faça um scan com programas como Ad-Aware ou SpyBot para remover qualquer vestígio restante
- Desative e ative novamente a restauração do sistema (caso a utilize) para criar um ponto livre de infecções. Para fazer isso, vá em Meu computador -> Propriedades. Na aba Restauração do sistema marque a opção Desativar a restauração do sistema em todas as unidades e clique em Aplicar. Feito isso desmarque essa mesma opção e dê OK.

Existem entradas no Hijackthis que se deve ter extremo cuidado ao removê-las:

O10: LSP'S (Layered Service Providers)

Quando ocorre essa entrada no log, não se deve marcá-los no Hijackthis. Para consertar, deve-se usar programas como o LSPFix e o Winsock FIX para que a corrente/escada LSP não seja corrompida.

O15: Área Segura do Internet Exporer e padrões de protocolos

Aqui estão presentes todos os sites e protocolos definidos como confiáveis nas Opções de Internet do Internet Explorer. Como o HijackThis pode ter dificuldade em remover tais entradas, é recomendável utilizar um programa externo como o DelDomains ( http://linhadefensiva.uol.com.br/dl/deldomains ). Baixe o arquivo, clique com o botão direito nele e vá em Instalar.

Nota: o programa removerá todos os endereços, inclusive os que estão presentes na área de sites restritos. Portanto, copie os endereços que você conhece para que possa adicioná-los depois manualmente.

O17: Hacks DNS
Aqui ficam os servidores DNS configurados nas Configurações de Rede do Windows. Se você está localizado no Brasil, utilizando um provedor nacional e não possuir um proxy (se você não souber o que é isso provavelmente você não possui), os números indicados aqui devem começar obrigatoriamente por 200 ou 201. Podem estar presentes algum endereço IP de rede caso você utilize internet compartilhada, conexão via rádio ou um roteador.

As pragas que modificam essas configurações são raras, portanto não se preocupe tanto. Se você corrigir essa entrada e a sua conexão parar de funcionar, entre em contato com o seu provedor para obter a configuração correta ou então anote os números ali presentes antes de corrigir por questão de segurança.

O20: Sub-chaves de AppInit_DLL/Winlogon Notify

A entrada AppInit_DLL, como o nome sugere, refere-se à inicialização dos aplicativos e seus respectivos arquivos DLL. Nessa chave valores legítimos podem ser encontrados junto com Hijacker's. É muito comum nessa entrada os famosos erros de Socket Error. Também não é recomendado marcar essa entrada no Hijackthis e sim editar a chave no registro, que fica localizada em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Se a edição não for possível, renomeie a chave Windows para outro nome, limpe o valor da AppInit_DLL e renomeie novamente a chave para Windows.

0 comentários:

Postar um comentário

 
Copyright @ 2010 - Infobender - Design by Analista Sistema Rodrigo Bender Infobender