Misc Tools

Uma das melhores coisas sobre o HijackThis é que ele possui um kit razoavelmente completo para a manutenção do sistema. Além de poder limpar áreas problemáticas do registro, ele possui diversas ferramentas adicionais que dispensam a necessidade de instalar ou baixar ferramentas adicionais.

Generate Startuplist Log

O primeiro botão que vemos nessa tela é o ‘Generate startuplist log’. Este botão gera um log do programa StartupList, também desenvolvido pelo mesmo Merijn que criou o HijackThis. O Startup List mostra todos os itens possíveis de inicialização de programas no Windows, incluindo diversas áreas que não são exibidas pelo HijackThis. Por outro lado, o Startup List não nos dá a opção para corrigir qualquer coisa encontrada. As duas caixas presentes ao lado do botão fazem com que o log do Startup List seja mais completo — é recomendado marcá-las sempre antes de fazer um log do Startup List.

Nota: O Startup List é uma ferramenta muito avançada. Por ser um programa adicional, a interpretação de logs startuplist não será incluída neste documento.

Open Process Manager

Depois vemos o botão “Open Process Manager”. Ao clicar, o “Itty Bitty Process Manager” será aberto.
Este programa é muito útil principalmente nos Windows 9x e ME, pois o Gerenciador Tarefas deles é muito simples e não inclui os programas registrados como processos.

Embora exiba menos informações que o gerenciador de processos padrão do Windows, ele permite que mais de um processo seja selecionado (usando as teclas CTRL e SHIFT) e inclui a opção “Show DLLs”, que cria um novo painel onde é exibida uma lista com todas as DLLs carregadas no processo. Essas DLLs mostrados são chamados de módulos e alguns trojans se injetam como módulos em processos de sistema para serem executados sem um processo visível na lista normal. Isso é muito raro, portanto a maioria dos DLLs listados são seguros.

O botão “Kill Process” finaliza o(s) processo(s) selecionado(s). O botão “Refresh” atualiza a lista de processos e o botão “Run” inicia um programa ou processo da mesma maneira que o botão “Nova Tarefa” do Gerenciador de Tarefas.

Ele também possui dois ícones ao lado da opção “Show DLLs” O primeiro (da esquerda para a direita) é o “Copy list do clipboard” que copia a lista de processos para que você possa “Colar” ela em qualquer lugar. O ícone do disquete salva a lista para um arquivo texto.

Figura 3

Open hosts file manager

Este é um pequeno programa para editar o arquivo HOSTS. Depois de selecioná-lo, utilize o botão “Open in Notepad” para abrir o arquivo no Bloco de Notas onde é muito mais fácil gerenciar o arquivo HOSTS. Como referencia, o botão “Delete line(s)” apaga a(s) linha(s) selecionada(s) e o botão Toggle Line(s) tira ou coloca um ‘#’ no início da linha. Leia o documento sobre o HOSTS para entender mais sobre isso.

Delete a file on reboot…

Provavelmente uma das ferramentas mais simples e úteis.

O Windows possui um recurso chamado PendingFileRenameOperations que pode executar operações com os arquivos (tais como apagar, renomear e mover) antes que o sistema seja completamente iniciado. Isso pode ser usado para apagar arquivos que o Windows sempre afirma estarem “em uso”. É útil para remover cavalos de tróia antes que eles sejam inicializados, sem dar chance para que eles tentem se proteger.

Após selecionar o botão, tudo que você precisa é selecionar o arquivo a ser apagado (ou copiar & colar o caminho completo do arquivo) e clicar em ‘Abrir’. Após isso, o HijackThis vai perguntar se você quer reiniciar o Windows. Na maioria das situações, você vai querer responder ‘Não’ para reiniciar manualmente mais tarde.

O Pocket KillBox possui mais opções baseadas nesse recurso do Windows, incluindo opções de troca de arquivos, que possuem mais chance de funcionar do que operações que só excluem os arquivos.

Delete an NT service

Vários trojans recentes se instalam através de serviços do Windows NT. Mesmo que um antivírus ou anti-spyware remova o arquivo iniciado pelo serviço, este ainda será listado nas ferramentas administrativas junto com os demais.

É com esta ferramenta que o HijackThis pode apagar um serviço para você. Você pode usar o nome completo de exibição do serviço ou o nome verdadeiro do serviço. Note que os ‘Serviços’ só estão disponíveis no Windows NT/2000/XP.

Para obter a lista de serviços no seu sistema, clique em Iniciar -> Executar, digite services.msc e clique em OK. Clique com o botão direito no serviço que você quer apagar e clique em “Propriedades”. Você pode usar tanto o “Nome para exibição” quanto o “Nome do serviço” no HijackThis para removê-lo da lista.

Nota: Tome extremo cuidado ao utilizar essa ferramenta! Não é possível recuperar os serviços depois que eles foram removidos!

Open ADS Spy…

Essa é uma ferramenta embutida no HijackThis para o gerenciamento de Alternate Data Streams (ADS). Ela está disponível separadamente no site de Merijn.

Figura 4

Se opção do Quick scan for marcada, somente a pasta do Windows será examinada. A opção ‘Ignore safe system info streams’ ignora entradas ADS geralmente seguras, como a informação colocada na aba “Resumo” dos arquivos. Já a opção para calcular MD5 deve ser apenas utilizada se você quiser desenvolver ferramentas para a remoção de um certo tipo de malware.

Nem todos os ADS encontrados são maliciosos. Mesmo se a opção ‘Ignore safe system info streams’ estiver marcada, o ADS Spy ainda pode encontrar streams seguras, como streams utilizadas por antivírus. Faça sempre uma pesquisa antes de apagar qualquer stream. Veja nosso documento sobre streams para saber mais.

Open Uninstall Manager

Muitos programas, após desinstalados, deixam entradas na lista do Adicionar/Remover Programas. Se isso não fosse o suficiente, vários trojans (principalmente hijackers) começaram a incluir entradas no Adicionar/Remover Programas para, supostamente, desinstalá-los do sistema.

A realidade é que geralmente estas entradas não funcionam e, após o usuário remover o problema manualmente , ficam aquelas entradas na lista. Com esta opção você pode retirá-los de lá.

Figura 5

Para apagar uma entrada é necessário selecionar a opção “Delete this entry” e então confirmar a ação clicando em Sim. A opção para ‘Editar comando’ edita o caminho para o programa executado pelo Windows para desinstalar o software selecionado — é recomendado que você não troque os comandos sem ter certeza absoluta do que está fazendo.

Advanced Settings

Depois da lista de ferramentas, o HijackThis lista duas opções avançadas:

  • Calculate MD5 of files if possible
  • Include environment variables in logfile

A primeira opção coloca o MD5 dos arquivos para incluir no relatório/log. Isso é apenas útil se você sabe o hash MD5 do arquivo que você quer remover ou está desenvolvendo uma ferramenta para a remoção dos arquivos.

A segunda opção inclui variáveis de ambiente, como a localização da pasta Windows e a localização do arquivo HOSTs — nada muito útil.

Check for Update online

O HijackThis pode verificar a existência de uma nova versão do HijackThis nos servidores da SpywareInfo — basta clicar neste botão. Se você utiliza um proxy para a conexão, você pode definí-lo na caixa de texto logo abaixo do botão.

Uninstall HijackThis & Exit

Para salvar todas as configurações definidas, o HijackThis cria diversas chaves no registro. Com este botão, o HijackThis apaga essas chaves. Note que o arquivo do HijackThis não é removido e nem os backups são removidos. A Ignore List, por outro lado, é removida.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.