Nesta Página

O1 — Hosts

Essa entrada lista todos os redirecionamentos do arquivo HOSTS.

No Registro
  • [HKLMSystemCurrentControlSetServicesTcpipParameters]
    DatabasePath
No Disco
  • %WINDIR%hosts [Windows 9x/ME]
  • %WINDIR%system32driversetchosts [Windows NT/200x/XP]

Onde %windir% é a pasta do Windows. Essa é a localização padrão do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar.
Observações Alguns administradores usam arquivos HOSTS em redes internas.

Detalhes

Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona.

O1 – Hosts: 0.0.0.0 http://www.google.com

Observações

  1. Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas.
  2. Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1 vai mostrar onde o arquivo Hosts está localizado.
O1 – Hosts file is located at C:WindowsHelphosts

Como saber

Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster.

02, O3 — Programas do IE

As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais.

No Registro
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
    Browser Helper Objects
  • HKLMSOFTWAREMicrosoftInternet ExplorerToolbar
No Disco
Observações Essas entradas funcionam através de CLSIDs

Detalhes

Os BHOs são usados principalmente por hijackers para trocar a página inicial e monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca diferente do qual ele está acostumado a usar.

O2 – BHO: NAV Helper – {BDF3E430-B101-42AD-A544-FADC6B084872} – C:Arquivos de ProgramasNorton AntivirusNavShExt.dllO3 – Toolbar: Norton Antivirus – {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} – C:Arquivos de ProgramasNorton AntivirusNavShExt.dll

Observações

  1. Se em vez do nome você ver um (no name), a entrada não possui um nome
  2. Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo associado
  3. Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não encontrou o arquivo no disco
  4. Ao consertar uma entrada O2, a chave no registro é apagada e o arquivo é removido. Esta é a única entrada que o HijackThis se encarrega de apagar o arquivo mencionado (e a O4 Startup, que é um caso especial).

Importante: As primeiras três observações acima valem para diversas outras entradas! Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.

Como saber

Existem diversas listas especializadas em BHOs e Toolbars na Internet. Uma boa referência é a lista do SystemLookup, mas existem diversas outras: basta procurar na Internet pela seqüencia entre as chaves (não inclua as chaves em si) ou pelo nome do arquivo.

O4 — Inicialização do Sistema

A entrada O4 é uma das entradas mais importantes exibidas pelo HijackThis. Ela lista diversas chaves do registro que são tipicamente usadas para iniciar programas junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’, que também pode ser usada para iniciar aplicativos e, portanto, trojans.

No Registro
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRun
No Disco A pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia dependendo da versão do sistema e do nome do usuário.
Observações Os arquivos mencionados nessas entradas geralmente também estão presentes na lista de processos

Detalhes

No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Iniciar do menu iniciar.

O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – Startup: Adobe Reader Speed Launch.lnk = C:Arquivos de programasAdobeAcrobat 7.0Readerreader_sl.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:Arquivos de programasAdobeAcrobat 7.0Readerreader_sl.exe

O valor entre os colchetes é o nome da propriedade do registro presente na chave denominada no início da linha. No exemplo, existe a propriedade “nwiz” na chave Run do HKLM (veja a lista de chaves usadas na tabela acima para saber o caminho completo até a chave).

Observações

  1. O HijackThis não apaga o arquivo relacionado com a entrada, com exceção das O4 do tipo “Startup”. Como as entradas Startup são apenas os arquivos na pasta “Inicializar”, a única maneira de remover o arquivo da inicialização é apagando-o. Note no entanto que a maioria dos programas legítimos usa apenas um atalho (arquivo .lnk), como o Adobe Reader acima. Nesse caso o HijackThis apaga apenas o .lnk para retirar o arquivo da inicialização.
  2. O HijackThis não verifica se o arquivo existe, portanto não haverá um (file missing)

Como saber

Embora seja um pouco difícil saber quais as entradas são falsas e quais são legítimas, isso pode ser feito de algumas maneiras:

  • Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo
  • Verifique as propriedades do arquivo para saber mais sobre o mesmo
  • Procure na Internet em listas como AnswersThatWork e SystemLookup

Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo. Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows e de sistema (C:WINDOWS e C:WINDOWSSystem e System32). O arquivo do exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME).

O5, O6, O7 — Restrições

A presença de uma dessas entradas demonstra que algumas restrições foram colocadas no sistema.

No Registro
  • HKCUSoftwarePoliciesMicrosoftInternet Explorer
    Restrictions
  • HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
    System
No Disco
  • control.ini
Observações

Detalhes

Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas no Painel de Controle. A presença de uma O6 indica que algumas outras opções no Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é incapaz de executar o editor de registro do Windows.

O5 – control.ini: inetcpl.cpl=no

Observações

Como saber

Se você ou o administrador da sua rede não colocou essas restrições, marque as entradas.

Páginas: 1 2 3 4 5 6 7 8 9 10

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website