Tutorial : como interpretar um relatório RSIT

Outubro 2017



Apresentação geral


Já que o Hijackthis não evoluiu desde 2007 ele tornou-se insuficiente para demonstrar a atividade de malwares cada vez mais sofisticados. Random's System Information Tool (RSIT), criado pela Random/Random, é uma ferramenta para completar uma simples digitalização Hijackthis proporcionando um relatório mais avançado e mais detalhado do estado do sistema.
Para ver como gerar um relatório com o RSIT, veja este tutorial.

Você verá que, durante o primeiro uso de RSIT, aparecem dois relatórios: info.txt e log.txt. Durante os seguintes usos, só aparecerá o log.txt.


Nota: Se você quiser que o RSIT recrie um novo arquivo info.txt, basta clicar em Iniciar, Executar e digitar:
"X\Rsit.exe" /info ( X é o caminho de acesso ao arquivo RSIT.exe )

Em seguida, clique no botão OK. RSIT se executará e te dará um novo relatório info.txt com o arquivo log.txt

Informações detalhadas diversas dadas pelos relatórios

O relatório info.txt

  • Ele lista todos os programas instalados na parte "Uninstall list" (isto é especialmente útil no final da desinfecção, para identificar os programas que precisam ser atualizados)
  • Ele mostra um trecho do arquivo Hosts na parte "Hosts File", que pode mostrar um arquivo Hosts em branco, ou um arquivo Hosts modificado por softwares de segurança para bloquear sites maliciosos, ou um arquivo Hosts modificado por infecções para bloquear sites relacionados à segurança (Mais informações sobre o arquivo hosts)
  • A lista dos softwares de segurança instalados, de acordo com o Windows Security Center (que nem sempre detecta tudo) na parte "Security center information".
  • A parte "System event log" fornece informações a partir do Jornal dos eventos do Windows (em francês).
  • Finalmente, a parte "Environment variables" corresponde as variáveis de ambiente.

O relatório log.txt

  • Começa com um chapéu que dá as informações gerais : versão do RSIT, sistema operacional, mas também a capacidade do disco rígido e da memória RAM, e sua percentagem de utilização ... É muito útil para identificar a causa de eventuais atrasos no computador.
  • Além disso, ele contém um relatório Hijackthis tirado de um "clone" do Hijackthis renomeado, que mostra alguns elementos ocultos que a versão padrão do Hijackthis não mostra.
  • A lista de tarefas agendadas na parte "Scheduled tasks folder". Este elemento do Windows pode executar tarefas automaticamente, como atualizar o antivírus. Algumas infecções podem usá-lo para iniciar automatica e discretamente, em intervalos regulares.
  • Um extrato de certos pontos sensíveis do Registro na parte "Registry dump". Ele mostra, em particular, as chaves do Registro "MountPoints2", que são sinal de uma infecção de disco removível, se elas corresponderem a um arquivo nefasto.
  • A lista de arquivos e pastas criados no mês anterior na parte "List of files/folders created in the last 1 months" e aqueles que foram modificados ao longo do mesmo período no "List of files/folders modified in the last 1 months". Isso permite que você localize alguns arquivos adicionados por infecções que não veríamos, necessariamente, com um simples relatório Hijackthis.
  • Enfin, une liste de pilotes et de services, où certaines infections se cachent parfois (List of drivers et List of services)
  • Por fim, uma lista de drivers e serviços, onde, por vezes, se escondem certas infecções (List of drivers e List of services).


Análise linha por linha

Identificação das infecções


Agora que você sabe a que corresponde cada parte de um relatório RSIT, você deverá analisar os relatórios, linha de por linha, para identificar aquelas que correspondem a uma infecção . Para issoconsulte os seguintes tutoriais:

Como analisar um relatório HijackThis

Legitimidade de um arquivo ou processo suspeito?

Explicações sobre os serviços


Vejamos um exemplo:

S3 WudfSvc;Windows Driver Foundation; C:\WINDOWS\system32\svchost.exe [2009-03-16 14336]
  • S3 indica o seu status (S = "stopped", não fica ativo no momento da análise / 3 = "Manual", ele só é executado a pedido)
  • WudfSvc e o nome do serviço
  • Windows Driver Foundation corresponde ao nome de exibição do serviço (às vezes é o mesmo que o nome)
  • C:\WINDOWS\system32\svchost.exe é o arquivo relacionado a este serviço
  • [2009-03-16 14336] é a data de criação do arquivo. Se não houver datas entre os colchetes, provavelmente o arquivo associado ao serviço não existe mais.

Para ver como remover um serviço, você pode consultar este tutorial.


Observação do autor: A versão original desta dica também está presente em outros sites (General Changelog, Helper-Formation), é normal: eu sou o autor e o tenho disponível em vários sites.


Tradução feita por Lucia Maurity y Nouira
Artigo original publicado por anthony5151. Tradução feita por pintuda. Última modificação: 17 de janeiro de 2012 às 12:25 por pintuda.
Este documento, intitulado 'Tutorial : como interpretar um relatório RSIT', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.