Nesta Página

O log do HijackThis

É importante que você leia todas as páginas anteriores antes das informações que seguem.

CLSIDs

Um CLSID é um programa registrado no Windows. Ele possui um identificador único (GUID) e ele vai ser executado toda vez que este GUID for chamado. Um exemplo de GUID:
{8E718888-423F-11D2-876E-00A0C9082467}

Nota: Os GUIDs usam qualquer letra entre A-F e qualquer número, mas eles estão sempre nesse formato (8-4-4-4-12).

O Windows usa isso como “referência” no registro. Por exemplo, uma chave de um plugin para o Internet Explorer, ao invés de referenciar diretamente um arquivo que será carregado, ela referencia o GUID X. No registro dos CLSIDs — HKCRCLSID — o GUID X está presente e informando qual o arquivo será executado e algumas opções para sua executação. O HijackThis apresenta os CLSIDs e os arquivos que eles referenciam automaticamente.

Como os GUIDs são únicos e os arquivos ao qual eles apontam muitas vezes é aleatório, você pode procurar informações da praga usando o GUID (se ela utiliza um). Desse modo você conseguirá saber sobre a entrada mesmo que o arquivo não tenha sido encontrado pelo HijackThis ou se o arquivo mudou devido a uma nova versão do programa que usa aquele GUID.

Para resumir: as chaves no registro fazem referencia ao GUID e o GUID diz qual o arquivo real que será executado. Como muitas vezes o mesmo programa pode usar arquivos diferentes em versões distintas, mas usa o mesmo GUID, fica mais fácil, em algumas ocasiões, obter informações usando o GUID ao invés do arquivo. As entradas que tiverem seqüências como a exibida acima usam esse sistema de CLSIDs (Class IDs) do Windows.

O Início do log

O log do HijackThis possui diversos elementos. O primeiro deles é o cabeçalho, onde é incluída a versão do HijackThis, a data, a versão do sistema, a versão do Internet Explorer e as variáveis de ambiente, se a opção foi marcada na aba “Misc Tools”.

Logfile of HijackThis v1.99.1
Scan saved at 21:47:33, on 13/3/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Na primeira linha está a versão do HijackThis. É muito importante que você esteja usando a versão mais recente para evitar erros e ver todas as entradas descritas aqui.

A data apresentada no HijackThis respeita as configurações inseridas nas “Opções Regionais” do Painel de Controle, portanto em um sistema em inglês é bem provável que o mês/dia estejam invertidos.

Caso a opção para mostrar as variáveis de ambiente esteja selecionada, o cabeçalho incluirá as seguintes informações:

Windows folder: C:WINNT [pasta do Windows]
System folder: C:WINNTSYSTEM32 [pasta do sistema]
Hosts file: C:WINNTSystem32driversetchosts [localização do hosts]

Logo em seguida o HijackThis inclui uma lista dos processos em execução. Essa lista só será incluída se a opção ‘Include list of running process in logfiles’ estiver marcada na aba Main. Esta opção está marcada por padrão.

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe

Você pode usar o gerenciador de processos dentro do HijackThis ou o Gerenciador de Tarefas do Windows 2000/XP para encerrar processos ruins. No Windows 9x/Me você deve usar o do HijackThis, já que o CTRL+ALT+DEL não apresenta todos os processos.

Para determinar se um processo é bom ou ruim, você deve usar o bom senso para determinar o que é suspeito e o que não é. Isso pode ser difícil e é por este motivo que recomendamos cautela com o HijackThis. Existem várias bibliotecas online com listas do que é bom e o que é ruim. Nós também temos uma lista de processos, mas geralmente você não deve se basear somente em listas porque muitas vezes você encontrará um processo que não está em lista alguma. Além disso, os adwares recentes infectam processos legítimos.

Existem diversos scanners on-line que examinam somente um arquivo. Esse tipo de scanner é extremamente útil para determinar quais processos são bons ou ruins, além de várias outras entradas no log, que veremos mais a frente.

Note que a lista de processos não é apresentada na tela principal do HijackThis, apenas no log. Ao invés de finalizar os processos é geralmente recomendado que você utilize o Modo de Segurança, onde a maioria dos processos ruins não são executados.

Por que é importante que os processos não estejam rodando?

Se você tentar remover um trojan enquanto ele estiver rodando como processo (na memória), você pode bater em duas paredes:

  1. Não será possível apagar o arquivo (ele está sendo usado pelo Windows)
  2. Ao apagar a chave dele no registro, ela será recriada instantaneamente

Nossa sugestão é sempre usar o Modo de Segurança e, caso os processos ainda estejam rodando no Modo de Segurança, finalize-os lá e então execute a correção ainda no Modo de Segurança.

Após o fim da lista de processos, começamos com as entradas do HijackThis.

As entradas no log do HijackThis

O log do HijackThis é divididos em vários grupos identificados unicamente pelos primeiros caracteres da linha, por exemplo:

O2 – …

O identificador é sempre seguido de um espaço e um traço. Por este motivo, é correto dizer que o identificador são todos os caracteres antes do primeiro traço.

Nas páginas a seguir você verá os identificadores e saberá o que cada um significa. Antes disso, porém, é recomendado você saiba como interpretar caminhos do registro.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.