Como analisar um relatório HijackThis

Dezembro 2016

Este artigo é destinado aos usuários que desejam conhecer melhor esta ferramenta, ele é ainda imprescindível para estabelecer um primeiro diagnóstico em um PC infestado. Ele não tem por vocação ser puramente técnico, mas lhe propõe a familiarização com o procedimento de uma análise de um relatório HijackThis, bem como um passeio pelo horizonte de suas principais funcionalidades.

Durante sua leitura, você descobrirá que HijackThis tem por primeiro objetivo listar pontos sensíveis no registro do sistema, os processos e os serviços ativos, também os lugares que podem ter sido modificados pelos softwares maliciosos, vermes, vírus, spywares, etc...
Cada uma das diferentes partes do relatório será sujeita à sua interpretação pois você poderá encontrar aí as entradas corrompidas e as legítimas!

Suas pesquisas permitirão de estabelecer um primeiro resultado para identificar os problemas e orientar a pessoa para um procedimento de desinfecção mais específica! Selecionada, pois a maior parte do tempo, fixar linhas não bastará para neutralizar a infecção!! É necessário passar seguidamente suas ferramentas de desinfecção mais específicas que se ocuparão de remover todas as sujeiras ligadas à desinfecção, incluindo aquelas que poderão se esconder do relatório. É preciso então ter presente que um relatório HijackThis que parece à primeira vista « limpo » não significa necessariamente que a máquina não está infestada!

Este software vai permitir à você de desvelar a árvore que se esconde na floresta.


Instalar e gerar um relatório HijackThis

Links de download:

O instalador
O executável

Se você utilizar o arquivo instalador Trend Micro (HJTInstall.exe), esta etapa não provocará nenhum problema, basta seguir as instruções durante o procedimento e deixar o caminho padrão de instalação proposto: C:\Program Files\Trend Micro.

Um atalho será em seguida criado no desktop e o menu principal da ferramenta se abrirá automaticamente. Caso contrario, você deverá criar uma pasta específica para sua utilização e executar HijackThis a partir desta pasta.É importante não deixar o arquivo que você acabou de baixar entre os arquivos temporários pois quando você se fixar uma linha, a pasta backup será também criada entre estes arquivos. Ora, as pastas temporárias que são das pastas ditas sensíveis, são frequentemente limpas de seu conteúdo durante a desinfecção, e então em caso de má manipulação será impossível de re-executar HijackThis ou de restaurar uma linha fixada por engano!

Para gerar um relatório: lance HijackThis com duplo clique sobre o ícone do software no menu principal, clique no Do a system Scan only and Save a Logfile. Um relatório será gerado em um arquivo bloco de notas, ele será situado na pasta desinfecção inicialmente criada para instalação. O relatório dá uma primeira visão dos programas e processos que rodam na máquina, mas em nenhum caso desvela informações confidenciais sobre a pessoa! A não nos dois casos particulares, e principalmente se HijackThis estiver instalado no desktop/meus documentos ou se você o executar com a conexão internet ativa.

Se a sessão leva o nome e/ou o nome da pessoa, o relatório mencionará o nome da sessão, e assim seu nome! Conexão internet ativa, o endereço IP de sua máquina aparecer também no relatório. Link para consultar: Manter seu anonimato


Menu principal:


Como interpretar as linhas de um relatório HijackThis?

O relatório se organiza essencialmente em três partes:

1a parte: informações gerais no sistema operacional, aversão do software HijackThis, e o modo no qual ele foi executado: normal ou sem resultado...
2a parte: uma listagem dos principais processos carregados em memória
3a parte: a mais consistente que nós vamos desenvolver e detalhar depois, as linhas correspondentes as entradas bem particulares do registro do Sistema ou não de terem sido infectadas.

Cuidado para não confundir. o Hijackthis não é um software de desinfecção à imagem de um anti spyware que escaneará e removerá depois confirmação dos arquivos infestados encontrados.
Entretanto, ele é capaz de modificar o registro e remover alguns arquivos associados à estas modificações, em consequência este software é antes destinado à usuários conhecedorestendo bons conhecimentos do funcionamento do Windows, pois mal utilizado, isto poderá engendrar problemas ocorrendo a perda de sua conexão Internet, até o não funcionamento do sistema ou de seus softwares instalados.

Veja aqui o site SystemLookup que permite analisar uma grande parte das entradas do relatório HijackThis. Este site é a continuidade do site cascops que era referência Web em matéria de análise de linha:


Na parte de esquerda da página Inicial, você tem o menu aqui acima lhe permitirá de análise na ordem:

CLSID list: as linhas 02 e 03
StartupList: as linhas 04
Os números 09, 010, 016, 018, 020, 022, 023: as linhas correspondentes no mesmo número por HijackThis


Veja aqui os diferentes resultados que você pode obter depois de uma busca:


Y = normal no arranque
U = depende se o usuário tem necessidade de arranque
X = perigoso /spyware
? = status desconhecido
L = legítimo, normal
O =aberto ao debate (neste caso, fazer uma busca mais puxada)


Exemplo de análise de uma linha 02 via SystemLookup :


O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\ddabx.dll


Depois de ter copiado /colado a cadeia de caracteres entre aspas na barra de busca (Search), obtém-se o seguinte resultado: o status nos diz que a linha correspondente de um arquivo infeccioso pertencente ao Vundo. Uma pesquisa no arquivo ddabx.dll associada à esta linha via Google nos teria levado à mesma conclusão.
Aliás, existe outros sites de análise de relatório HijackThisonline:


hijackthis.de (site oficial)
help2go
I am not a Geek

Para os usuários do Firefox existe igualmente uma extensão que permite facilitar a busca:Malware Search. Basta colocar em negrito o texto (um nome, uma CLSID, etc ..) e fazer um clique direito > Malware Search

Você poderá efetuar as buscas sobre:

SystemLookup,
BleepingComputer
TheatrExpert
Whois
ProcessLibrairy
Microsoft Dll
tuxmaster malware search
Malware protection center
Mc afee site Advisor

Estes sites são destinados aos usuários avançados que saberão o que fazer, depois da análise feita inteiramente pelo robô! Este site então é um «presente envenenado» se você não tem um mínimo de conhecimentos, a utilização deste site é então sua responsabilidade!

Fixar/corrigir uma linha HijackThis

Fixar significa remover no registro na linha correspondente.

Antes de fixar uma linha, verificar sobretudo :

a) Que ele está bem instalado:

ex: C:\Program Files\Trend Micro\HijackThis\HijackThis.exe => instalado corretamente
ex C:\DOCUME~1\michael\LOCALS~1\Temp\Rar$EX00.313\HijackThis.exe => mal instalado pois nos arquivos temp internet

b) Qu'HjackThis gera um backup:


Depois que a ou as linhas à fixar são identificadas. no menu principal, escolher DO A SCAN ONLY, depois marque a caixa diante das linhas à corrigir e clicar em baixo no Fix Checked. No final do Scan, clicar em Save log (salve login), o relatório será gerado na pasta inicialmente criado para instalar HijackThis

Note que quando um dos elementos fot corrigido, HijackThis modificará o registro do sistema mas não removerá sistematicamente o arquivo associado ao disco. Isto significa e implica que é necessário completar a análise do relatório estabelecendo em seguida um procedimento de desinfecção manual ou via outros programas mais específicos, e mais escolhidos de acordo com a infecção para remover as chaves ou arquivos infecciosos que permanecem.

Análise detalhada de cada linha e infecção as mais comuns associadas

1a Parte : informações gerais

Logfile of Trend Micro HijackThis v2.0.2 => versão do software, procurar a ultima
Scan saved at 19:57:26, on 30/05/2008 => hora e dia da criação do relatório, é importante perguntar regularmente ao usuário de criar no andamento da desinfecção para constata a evolução dela
Platform: Windows Vista (WinNT 6.00.1904) => a versão do sistema operacional, aqui o Vista
MSIE: Internet Explorer v7.00 (7.00.6000.16643) => a última atualização
Boot mode: Normal => modo no qual o relatório foi criado, aqui em modo normal, se este aqui foi criado em modo com segurança, teríamos a menção: safe mode

2a Parte: listing dos processos ativos

Esta parte vai lhe permitir verificar a legitimidade dos processos ativos (em curso de utilização)

Running processes:

C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Lexmark 1200 Series\LXCZbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\VirusKeeper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Windows\System32\mobsync.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\vk_scan.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


Nesta parte, é preciso assegurar-se que todos os processos são legítimos. Você encontrará tanto ao Windows, aos programas instalados, aos pilotos, mas também alguns malwares. É preciso então verificar que os processos do sistema se situam bem nas suas pastas nativas e respectivas, quer dizer na pasta habitual onde encontramos no PC são.
Bem verificar também que a ortografia é correta, pois alguns « enganam » utilizando nomes próximos daqueles arquivos do sistema em uma só letra.

Neste exemplo, podem-se comparar os diferentes modos de um malware para camuflar sua presença:


C:\Windows\system32\svchost.exe < OK !
C:\Windows\system32\scvhost.exe < ilegítimo!
C:\Windows\svchost.exe < ilegítimo!
C:\DOCUME~1\michael\LOCALS~1\Temp\svchost.exe < ilegítimo!

Esta parte do relatório lhe permitirá também saber se:

Um anti vírus está instalado e está ativo.
Um firewall está instalado.

HijackThis está instalado corretamente, e eventualmente se ele foi renomeado , no caso onde uma re-nomeação é necessária para fazer aparecer a atividade de alguns spywares no relatório.

No caso de dúvida sobre a legitimidade de um arquivo, suas pesquisas serão determinantes! Por isso a importância em conhecer um mínimo os processos Windows os mais comuns e de lhe prestar uma atenção particular no momento da análise; Com o hábito, os processos duvidosos aparecerão como o nariz no meio do rosto!

3a Parte: linhas correspondentes as entradas do registro do Sistema

Linhas: R0, R1, R2, R 3, páginas de arranque e de busca da Internet Explorer

Análise: é preciso verificar e remover os URLS não desejados

Exemplo de infecções associadas a estas:

Smitfraud :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:://www.quicknavigate.com/bar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

Vbs\Solow :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Window Title = Hacked by MOOzilla"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

Diversos :
R3 - URLSearchHook: download-boosters Toolbar - {e4000b62-fa5d-4b39-b254-0a4c485aaf11} - C:\Program Files\download-boosters\tbdown.dll
R3 - URLSearchHook: (no name)
R3 - URLSearchHook: Multi_Media_France - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
R3 - Default URLSearchHook is missing

Linhas : F0, F1, F2, F3: programas baixados automaticamente no arranque a partir dos arquivos.INI

Análise: é preciso verificar a legitimidade dos arquivos.exe

Exemplo de infecções as mais comuns associadas à estas linhas :

Banker/msn :
F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe,
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe

Brontok :
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"


Linhas N1, N2, N3, N4: corresponde as páginas Iniciais e de busca padrão dos navegadores Netscape et Mozilla.

Análise: mesma coisa que para as linhas R0, R1, R2, R3

Linhas 01: modificação do arquivo Host, que permite redigir o acesso a um site ou interditar o acesso.

Análise: a menos que o usuário não tenha feito por conta algumas restrições, estas linhas são todas a remover!
Exemplo das infecções as mais comuns associadas a estas linhas:

Novo direcionamento, interdição de acesso ao site de anti vírus on line:
O1 - Hosts: 2130706433 www.kaspersky.com
O1 - Hosts: 2130706433 www.avp.com
O1 - Hosts: 2130706433 kaspersky.com

Brontok :
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}

Linhas 02, 03: plug-ins e barras de ferramenta padrão/adição no navegador

Análise: com a ajuda do Systemlookup, basta copiar a cadeia de caracteres em negrito na barra de busca, pode-se também o ver diretamente verificando a legitimidade dos arquivos ou dos programas. Não hesite em multiplicar suas buscas.
Exemplo das infecções as mais comuns associadas à estas :

Vundo:
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\byxwv.dll

Suprimir as barras de ferramentas indesejáveis Mirar (rogue):
O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\version69ie7fix.dll

Linhas 04: Programas que se lançam no arranque do windows

Análise: verificar a legitimidade e o lugar do arquivo com a ajuda do castelcops e de suas buscas

Exemplo de infecções as mais comuns associadas a estas linhas:

Aqui estes arquivos (em negrito) infestados demonstram a presença de malwares
O4 - HKCU\..\Run:Run: [taskmgra] C:\WINDOWS\system32\taskmgra.com
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - Global Startup: winlgn.exe
O4 - Global Startup: SRVSPOOL.exe

Linhas 05, 06: Icones de opção IE e Acesso às opções IE restritas pelo administrador

Análise: estas restrições foram adicionadas pelo administrador do PC ou por um malware, é preciso lhe perguntar sobre a legitimidade destas restrições antes de suprimi-los !

Exemplo de restrições:

O5 - control.ini: inetcpl.cpl=no
O5 - control.ini: Desk.cpl

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrições present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Linhas 07: Acesso ao Registro do Sistema restrito pelo administrador

Análise: perguntar ao usuário se a restrição é voluntária antes de a fazer remover.

Exemplo da restrição ao registro do sistema:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Linhas 08: elementos adicionais do menu contextual do IE

Análise: É preciso verificar e remover os Urls não desejáveis

mywebsearch :
O8 - Extra context menu item: &Search - toolbar...rch.j

Linhas 09: Botões adicionais da barra de ferramentas principais do IE

Análise com a ajuda Systemlookup, basta copiar a cadeia de caracteres, em negrito, na barra de busca, pode-se também vê-lo diretamente verificando a legitimidade dos arquivos ou dos programas. Não hesitar em multiplicar suas pesquisas .

Exemplo de infecções as mais comuns associadas à estas:

Adware ShopperReports :
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll

BrowserAid :
O9 - Extra button: (no name) - {07b7f771-1b8e-4b7b-823e-ffac1732aa9e} - (no file)

Linhas 010: Winsock ou LSPs (Layered Service Provider ) permitem ver a totalidade do tráfico sobre sua conexão internet.

Análise: verificar a legitimidade e lugar do arquivo com a ajuda de castelcops e de suas buscas.

Exemplo das infecções as mais comuns associadas a estas linhas :

newdotnet:
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet6_38.dll' missing

Trojan.Spy.Bzub/Trojan:Win32/Mespam.B :
O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing


Linhas 011, 012: Grupos adicionais da janela 'Avançada' das opções do IE e Plugins do IE

Análise: verificar a legitimidade e lugar do arquivo.

Exemplo das infecções as mais comuns associadas à estas linhas:

Estes tipos de infecção são muito raras!

Linhas 013: prefixos padrão das páginas do IE

Análise: é preciso verificar e remover os Urls não desejados

>Exemplo das infecções as mais comuns associadas a estas linhas: estes tipos de infecções são muito raras!

Cws :
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=

Linhas 014: Modificação do arquivo contendo os parâmetros padrão das opções do IE

Análise: é preciso verificar e remover os Urls não desejados

Exemplo das infecções as mais comuns associadas a estas linhas: estes tipos de infecções são muito raras!
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Linhas 015: sites ou endereços IP adicionados na Zone de confiança da Internet Explorer

Análise: é preciso verificar e remover os Urls não desejados ! Pergunte ao usuário se estes sites foram adicionados voluntariamente.
Exemplo das infecções as mais comuns a estas linhas :

Exemplo de sites adicionados por malwares:
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

Linhas 016: Adição de controles ActiveX

Análise: é preciso verificar e remover os Urls não desejados ! Você pode remover todas as 016, mesmo legítimas, pois estas aqui serão criadas se necessário (para os sites de scanner de vírus on line, por exemplo)

Exemplo das infecções as mais comuns a estas linhas:

Exemplo de sites adicionados por malwares :

Instantacces :
O16 - DPF: {11F1D260-129E-4EB7-B37E-57E3D97A3DF1} - hllp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1044_FR_XP.cab

Dialer carpediem divers :
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - hllp://www.megabaise.com/dialers/megabaiseX.exe


Exploit faille chm :
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http:$$63.217.31.72/d1//xxx.chm::/dropper.exe

Linhas 017: Modificação dos servidores DNS para permitir direcionamentos para sites duvidosos.

Análise: é preciso verificar e remover os Urls não desejados com a ajuda de castelcops e do site DNSstuffs ; você poderá determinar com o internauta se o endereço IP lhe pertence!

Exemplo das infecções as mais comuns a estas linhas :

Exemplo de direcionamentos para outros sites adicionados por malwares :
VideoAccess/Wareout :
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameSeRXToolBarrver = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123

Linhas 018: Modificação dos protocolos padrão, para permitir de aspirar as conexões.

Análise: verificar a legitimidade e lugar do arquivo com a ajuda de castelcops e de suas buscas

Exemplo das infecções as mais comuns a estas linhas :

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

Linhas 019: Modificação das páginas layout

Análise: verificar a legitimidade e lugar dos arquivos.

Exemplo das infecções as mais comuns a estas linhas
: este tipo de infecção é bastante rara!
O19 - User stylesheet: C:\WINDOWS\windows.dat

Linhas 020: Modificação das AppInit_DLLsno registro, em lançamento automático que pode permitir aos malwares de se lancerem no arranque do windows

Análise : verificar a legitimidade e lugar dos arquivos com a ajuda do castelcops e de suas buscas.

Exemplo das infecções as mais comuns a estas linhas :

Aqui estes arquivos (em negrito) infestados demonstram a presença de diversos malwares :
Vundo & co :
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: awtqq - C:\WINDOWS\system32\awtqq.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00E0622.dat

Linhas 021: arquivos carregados pela chave de Registro ShellServiceObjectDelayLoad em lançamento automático

Análise : verificar a legitimidade e lugar dos arquivos com a ajuda do castelcops e de suas buscas.
Exemplo das infecções as mais comuns a estas linhas :

IRCBot, infection msn :
O21 - SSODL: rdshost - {4926ABFC-2FBE-4962-9FF8-EB69334DEFD7} - rdshost.dll

Linhas 022: arquivos baixados pela chave do Registre SharedTaskScheduler em lançamento automático
Análise: verificar a legitimidade e lugar dos arquivos com a ajuda do castelcops e de suas buscas.
Exemplo das infecções as mais comuns a estas linhas. Aqui o arquivo (em negrito) infestado demonstra a presença de malwares :

Smitfraud :
O22 - SharedTaskScheduler: inoperable - {1b40d2ad-d237-4544-b1e1-0bf75bf8fcc0} - C:\WINDOWS\system32\jdxah.dll

Linhas 023: os Serviços Windows

Análise: verificar a legitimidade e lugar dos arquivos com a ajuda do castelcops e de suas buscas.

Exemplo das infecções as mais comuns a estas linhas: aqui o arquivo (em negrito) infestado demosntra a presença de malwares :

Informações diversas:
O23 - Service: Microsoft Logitech WLAN - Unknown owner - C:\WINDOWS\system32\dllcache\mslw.exe
O23 - Service: Googles Onlines Search Services - Unknown owner - C:\WINDOWS\system32\wnslogan.exe

Infecção chinesa:
O23 - Service: Yahoo Service (YahooSvr) - Unknown owner - C:\WINDOWS\system32\98FEE\svchost.exe (file missing)

Linhas 024: componentes Windows Active Desktop.

Análise: Aqui o arquivo (em negrito) infestado demonstra a presença de malwares :


Exemplo das infecções as mais comuns a estas linhas:

O24 - Desktop Component 1: (no name) - %Windir%\warnhp.html

Comumente, as infecções as mais comuns encontradas num relatório hijackthis se « concentram » ao nível das Linhas : 02/03, 04, 20 e 23 ! E preciso ter muito cuidado com a análise destas entradas.Esta linha não é exaustiva e somente dá uma ligeira visão das infecções as mais comuns encontradas em fóruns.

Como determinar a periculosidade ou não de um arquivo ?

Como você pode constatar na parte da análise de um relatório hijackthis, saber reconhecer a legitimidade de um arquivo e primordial! É o «b.a.-ba» da análise de qualquer tipo de relatório em descontaminação. Será preciso algum tempo para que você se familiarize com os nomes de arquivos Windows mais comum e possa determinar na primeira olhada os arquivos infecciosos!

Veja aqui O recapitulativo de algumas técnicas de análise de arquivo.


=Como restaurar uma linha fixada por engano==

Se Hijackthis foi previamente instalado corretamente, quer dizer instalado na pasta criada para este fim, um arquivo backup será criado automaticamente desde que uma linha será fixada, e assim lhe permitirá restaurar uma entrada, se esta for fixada por engano!
Para tanto, lance hijackthis. No menu principal, escolhaview the list of backups e escolher a/as linha (s) a restaurar, depois clique em Restore (Restaurar):


Se você não instalou corretamente o HijackThis, isto é, se você deixou nos Arquivos temporários, você ainda pode recuperar o ARQUIVO backup, desde que não tenha excluído anteriormente

Um atalho para acessar mais facilmente esta pasta: vá em Iniciar > Executar e digite %temp%. Valide. Depois mover o arquivo backup para o Desktop. Em caso de supressão dos arquivos temporários, os backups serão perdidos e o retorno para trás será impossível. As funções delete e delete all permitem remover ou salvar

Outras funções du software hijackthis

Opções avançadas que você encontrará na sessão open misc tools section du menu principal:


Gerar a liste dos programas qu se lança no arranque do Pc

HijackThis integra uma ferramenta que permite listar todos os programas que são lançados automaticamente no arranque do computador. Esta função é similar aquela que existe já sob o windows via o comando msconfig.

Para gerar a liste, no menu principal, escolha a sessão open misc tools section, depois, cliquebem Generate startuplist log. Hijackthis abrirá, imediatamente, uma janela Notepad (Bloc-notes) contendo os elementos de arranque do PC:

Gerar a liste dos processos ativos no PC

Como o Gerenciador de Tarefas do Windows, HijackThis integra uma ferramenta que permite listar os processos ativos no PC : opção open process manager. Esta função pode mostrar-se útil se o gerenciador de tarefas não está disponível por exemplo no PC infestado para matar ou lançar processos:

Gerar e modificar o arquivo Hosts

A opção open hosts file meneger permite gerar o arquivo Hosts:

Opção remover um arquivo

Esta opção permite remover uma lista de arquivos infestados para completar um procedimento de desinfecção. Depois de ter registrado o caminho dos arquivos a remover em um arquivo bloco-notas, escolher a opção delete a file on reboot. Selecione o arquivo a remover > Abrir:

Depois, escolher se o arquivo é para ser removido logo depois ou mais tarde:


Opção remover um serviço

A opção delete an NT service permite remover os serviços visíveisnas Linhas 023, linhas do relatório HjackThis depois de [ser / faq/sujet-2739-windows-demarrer-arreter-un-service-en-ligne-de-commande preso ou desativado antes] da linha de comando por exemplo. Em seguida, digite o nome correto do serviço a ser removido. Atenção: depois de excluído, o serviço será restaurado! É importante garantir que a periculosidade do serviço antes de remover, caso contrário, desativá-lo bastará.


Gerar e remover a lista dos arquivos ADS

O sistema de arquivos NTFS (NT FileSystem) permite adicionar novos atributos que são mais frequentemente ocultos peloo usuário como, por exemplo, os dados sobre as permissões de um arquivo que está acessível apenas usando algumas ferramentas fornecidas com o sistema, enquanto que o conteúdo do arquivo em si permanece visível quando você clicar duas vezes. Assim, é possível adicionar um arquivo, " um fluxo de dados adicional ". Este tipo de atributo é um ADS (Alternate Data Stream). Alguns malware utilizam este sistema para adicionar e ocultar os dados, a fim de infectar um PC, mantendo o mais invisível possível para os usuários.

A opção open ADS spy permite listar os arquivos suscetíveis de terem sido infestados por este sistema de infecção:

Gerar a lista dos programas instalados

Seguidamente, você será levado à remover programas instalados por engano pelo usuário amador instalando cracks infestados ou também pelos malwares no momento de sua navegação por sites duvidosos.

HijackThis oferece então a possibilidade de remover estes rogues a partir de sua interface ao clicar sobre a opção open uninstall manager, como isto se faz habitualmente via a opção adição/remoção de um programa presente no Windows:

Resumindo!

Eis uma breve visão que apresentou as principais funções ofertas por este software.
Seu domínio completo lhe exigirá paciência, um tempo de aprendizado na certa, mas também muitas pesquisas pessoais aparam dominá-lo completamente!

Veja também

Artigo original publicado por . Tradução feita por ninha25. Última modificação: 25 de outubro de 2016 às 13:24 por ninha25.
Este documento, intitulado 'Como analisar um relatório HijackThis', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.