Nesta Página
O1 — Hosts
Essa entrada lista todos os redirecionamentos do arquivo HOSTS.
No Registro |
|
---|---|
No Disco |
Onde %windir% é a pasta do Windows. Essa é a localização padrão do HOSTS. A chave do registro (acima) pode ser modificada para que ele esteja em qualquer lugar. |
Observações | Alguns administradores usam arquivos HOSTS em redes internas. |
Detalhes
Essa entrada mostra as entradas do arquivo HOSTS. Leia o documento sobre o arquivo hosts para saber como ele funciona.
Observações
- Se o IP for um IP interno, como 192.168.0.x, é bem provável que o nome seja de um servidor da rede. Tome cuidado ao marcar entradas que possuem IPs reservados para redes internas.
- Se o arquivo hosts estiver em outro lugar fora do padrão, a primeira entrada O1 vai mostrar onde o arquivo Hosts está localizado.
Como saber
Se a entrada bloquear sites de antivírus (usando 0.0.0.0 ou 127.0.0.1) ou redirecionar diversos sites de busca para um mesmo IP, é provável que o arquivo hosts esteja infectado. Se a infecção do arquivo for grande, é melhor abrir o arquivo manualmente e apagar as entradas ou utilizar o Hoster.
02, O3 — Programas do IE
As entradas O2 listam os Browser Helper Objects instalados no Internet Explorer, enquanto as O3 listam barras de ferramentas adicionais.
No Registro |
|
---|---|
No Disco | – |
Observações | Essas entradas funcionam através de CLSIDs |
Detalhes
Os BHOs são usados principalmente por hijackers para trocar a página inicial e monitorar os sites visitados pelo usuário. Já os toolbars são usados para causar poluição visual, mostrar anúncios e tentar convencer o usuário a usar um serviço de busca diferente do qual ele está acostumado a usar.
O2 – BHO: NAV Helper – {BDF3E430-B101-42AD-A544-FADC6B084872} – C:Arquivos de ProgramasNorton AntivirusNavShExt.dllO3 – Toolbar: Norton Antivirus – {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} – C:Arquivos de ProgramasNorton AntivirusNavShExt.dll
Observações
- Se em vez do nome você ver um (no name), a entrada não possui um nome
- Se em vez do arquivo você ver um (no file), a entrada não possui um arquivo associado
- Se ao lado do nome do arquivo você ver um (file missing), o HijackThis não encontrou o arquivo no disco
- Ao consertar uma entrada O2, a chave no registro é apagada e o arquivo é removido. Esta é a única entrada que o HijackThis se encarrega de apagar o arquivo mencionado (e a O4 Startup, que é um caso especial).
Importante: As primeiras três observações acima valem para diversas outras entradas! Se você ver (no name), (no file) ou (file missing) você já sabe o que significa.
Como saber
Existem diversas listas especializadas em BHOs e Toolbars na Internet. Uma boa referência é a lista do SystemLookup, mas existem diversas outras: basta procurar na Internet pela seqüencia entre as chaves (não inclua as chaves em si) ou pelo nome do arquivo.
O4 — Inicialização do Sistema
A entrada O4 é uma das entradas mais importantes exibidas pelo HijackThis. Ela lista diversas chaves do registro que são tipicamente usadas para iniciar programas junto com o sistema. Ela também lista os arquivos presentes na pasta ‘Inicializar’, que também pode ser usada para iniciar aplicativos e, portanto, trojans.
No Registro |
|
---|---|
No Disco | A pasta “Inicializar” (no Windows NT/2000/XP) ou “Iniciar” (no Windows 9x). Ela se localiza dentro do menu iniciar e seu local varia dependendo da versão do sistema e do nome do usuário. |
Observações | Os arquivos mencionados nessas entradas geralmente também estão presentes na lista de processos |
Detalhes
No início da linha o HijackThis mostra de onde o valor foi retirado. Se ele lista alguma chave do registro, foi dali que ele retirou os dados. Se ele lista “Startup” ou “Global Startup”, significa que é uma listagem de um arquivo presente na pasta Inicializar/Iniciar do menu iniciar.
O4 – Startup: Adobe Reader Speed Launch.lnk = C:Arquivos de programasAdobeAcrobat 7.0Readerreader_sl.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:Arquivos de programasAdobeAcrobat 7.0Readerreader_sl.exe
O valor entre os colchetes é o nome da propriedade do registro presente na chave denominada no início da linha. No exemplo, existe a propriedade “nwiz” na chave Run do HKLM (veja a lista de chaves usadas na tabela acima para saber o caminho completo até a chave).
Observações
- O HijackThis não apaga o arquivo relacionado com a entrada, com exceção das O4 do tipo “Startup”. Como as entradas Startup são apenas os arquivos na pasta “Inicializar”, a única maneira de remover o arquivo da inicialização é apagando-o. Note no entanto que a maioria dos programas legítimos usa apenas um atalho (arquivo .lnk), como o Adobe Reader acima. Nesse caso o HijackThis apaga apenas o .lnk para retirar o arquivo da inicialização.
- O HijackThis não verifica se o arquivo existe, portanto não haverá um (file missing)
Como saber
Embora seja um pouco difícil saber quais as entradas são falsas e quais são legítimas, isso pode ser feito de algumas maneiras:
- Use um antivírus ou um serviço como o VirusTotal para analisar o arquivo
- Verifique as propriedades do arquivo para saber mais sobre o mesmo
- Procure na Internet em listas como AnswersThatWork e SystemLookup
Se, como no exemplo, o caminho completo até o arquivo não estiver listado, você pode verificar a lista de processos (no próprio log) para tentar descobrir o caminho completo. Caso contrário as localizações mais prováveis para o arquivo são as pastas do Windows e de sistema (C:WINDOWS e C:WINDOWSSystem e System32). O arquivo do exemplo (uma entrada legítima da nVidia) está na pasta do sistema (System32 no Windows 2000/XP e System no 9x/ME).
O5, O6, O7 — Restrições
A presença de uma dessas entradas demonstra que algumas restrições foram colocadas no sistema.
No Registro |
|
---|---|
No Disco |
|
Observações | – |
Detalhes
Se uma entrada O5 estiver presente, as “Opções da Internet” não estão sendo exibidas no Painel de Controle. A presença de uma O6 indica que algumas outras opções no Painel de Controle foram escondidas. Já a presença de uma O7 significa que o usuário é incapaz de executar o editor de registro do Windows.
Observações
–
Como saber
Se você ou o administrador da sua rede não colocou essas restrições, marque as entradas.