O HijackThis é uma ferramenta gratuita da Trend Micro. Foi originalmente desenvolvido por Merijn Bellekom, um estudante na Holanda. O software de remoção de spyware, como o Adaware ou o Spybot S & D, detecta e remove a maioria dos programas de spyware, mas alguns spywares e sequestradores de navegador são insidiosos demais para esses utilitários anti-spyware.
O HijackThis foi escrito especificamente para detectar e remover seqüestros de navegador, ou software que controla seu navegador, altera sua página inicial e mecanismo de busca padrão e outras coisas maliciosas. Ao contrário do software antispyware comum, o HijackThis não usa assinaturas nem tem como alvo nenhum programa ou URL específico para detectar e bloquear. Em vez disso, o HijackThis procura os truques e métodos usados pelo malware para infectar seu sistema e redirecionar seu navegador.
Nem tudo que aparece nos logs do HijackThis é algo ruim e nem tudo deve ser removido. Na verdade, muito pelo contrário. É quase garantido que alguns dos itens em seus registros do HijackThis serão softwares legítimos, e a remoção desses itens pode afetar negativamente seu sistema ou torná-lo completamente inoperante. Usar o HijackThis é muito parecido com a edição do Registro do Windows por conta própria. Não é ciência de foguetes, mas você definitivamente não deve fazê-lo sem alguma orientação especializada, a menos que você realmente saiba o que está fazendo.
Depois de instalar o HijackThis e executá-lo para gerar um arquivo de log, há uma grande variedade de fóruns e sites nos quais você pode postar ou carregar seus dados de log. Os especialistas que sabem o que procurar podem ajudá-lo a analisar os dados do registro e aconselhá-lo sobre quais itens remover e quais deixar sozinho.
Para baixar a versão atual do HijackThis, você pode visitar o site oficial da Trend Micro.
Aqui está uma visão geral das entradas de log do HijackThis que você pode usar para pular para as informações que você está procurando:
- R0, R1, R2, R3 - URLs das páginas Iniciar / Pesquisar do Internet Explorer
- F0, F1 - programas de carregamento automático
- N1, N2, N3, N4 - URLs de páginas de inicialização / pesquisa do Netscape / Mozilla
- O1 - Redirecionamento de arquivos de hosts
- O2 - Objetos auxiliares do navegador
- O3 - Barras de ferramentas do Internet Explorer
- O4 - Autoloading programs from Registry
- O5 - Ícone Opções do IE não está visível no Painel de Controle
- O6 - Acesso a opções do IE restrito pelo administrador
- O7 - Acesso de Regedit restrito pelo Administrador
- O8 - Itens extras no menu do botão direito do mouse do IE
- O9 - Botões extras na barra de ferramentas principal do IE, ou itens extras no menu 'Ferramentas' do IE
- O10 - Sequestrador de Winsock
- O11 - Grupo Extra na janela 'Opções Avançadas' do IE
- O12 - Plugins do IE
- O13 - IE Sequestrador DefaultPrefix
- O14 - 'Repor configurações da Web' seqüestrar
- O15 - Site indesejado na zona confiável
- O16 - Objetos ActiveX (também conhecidos como Arquivos de Programas Baixados)
- O17 - sequestradores de domínio Lop.com
- O18 - Protocolos extras e seqüestradores de protocolo
- O19 - Sequência de folha de estilo do usuário
- O20 - valor do Registro AppInit_DLLs Autorun
- O21 - ShellServiceObjectDelayLoad Chave de registro autorun
- O22 - SharedTaskScheduler Autorun chave do Registro
- O23 - Serviços do Windows NT
R0, R1, R2, R3 - Páginas de Início e Pesquisa do IE
O que isso parece:R0 - HKCU Software Microsoft Internet Explorer Principal, Página inicial = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (esse tipo ainda não é usado pelo HijackThis)R3 - URLSearchHook padrão está ausente O que fazer:Se você reconhecer o URL no final como sua página inicial ou mecanismo de pesquisa, tudo bem. Se você não fizer isso, verifique e conserte o HijackThis. Para os itens de R3, sempre corrija-os, a menos que ele mencione um programa que você reconheça, como o Copernic. O que isso parece:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched O que fazer:Os itens F0 são sempre ruins, então corrija-os. Os itens F1 são geralmente programas muito antigos que são seguros, então você deve encontrar mais algumas informações sobre o nome do arquivo para ver se é bom ou ruim. A Startup List do Pacman pode ajudar na identificação de um item. O que isso parece:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Arquivos de programas Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings Usuário Dados de Aplicativos Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings Usuário Dados de Aplicativos Mozilla Profiles defaulto9t1tfl.slt prefs.js) O que fazer:Normalmente, a página inicial e a página de busca do Netscape e Mozilla são seguras. Eles raramente são seqüestrados, apenas o Lop.com é conhecido por fazer isso. Se você vir um URL que não reconhece como página inicial ou página de pesquisa, considere o HijackThis. O que isso parece:O1 - Anfitriões: 216.177.73.139 auto.search.msn.comO1 - Anfitriões: 216.177.73.139 search.netscape.comO1 - Anfitriões: 216.177.73.139 ieautosearchO1 - O arquivo hosts está localizado em C: Windows Help hosts O que fazer:Esse sequestro redirecionará o endereço para a direita para o endereço IP à esquerda.Se o IP não pertencer ao endereço, você será redirecionado para um site errado sempre que inserir o endereço. Você sempre pode fazer com que o HijackThis os corrija, a menos que você, conscientemente, coloque essas linhas em seu arquivo Hosts. O último item às vezes ocorre no Windows 2000 / XP com uma infecção no Coolwebsearch. Sempre corrija este item ou peça ao CWShredder para repará-lo automaticamente. O que isso parece:O2 - BHO: Yahoo! Companheiro BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: ARQUIVOS DE PROGRAMA YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (sem nome) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: ARQUIVOS DE PROGRAMAS POPUP ELIMINATOR AUTODISPLAY401.DLL (arquivo ausente)O2 - BHO: MediaLoads Aprimorado - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: ARQUIVOS DE PROGRAMAS MEDIALOADS ENHANCED ME1.DLL O que fazer:Se você não reconhecer diretamente o nome de um Objeto Auxiliar de Navegador, use a Lista de BHO e Barra de Ferramentas do TonyK para encontrá-lo pela ID da classe (CLSID, o número entre chaves) e ver se é bom ou ruim. Na Lista BHO, 'X' significa spyware e 'L' significa seguro. O que isso parece: O3 - Barra de Ferramentas: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: ARQUIVOS DE PROGRAMAS YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Barra de Ferramentas: Eliminador de Popup - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: ARQUIVOS DE PROGRAMAS POPUP ELIMINATOR PETOOLBAR401.DLL (arquivo ausente)O3 - Barra de ferramentas: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL O que fazer:Se você não reconhecer diretamente o nome de uma barra de ferramentas, use a Lista de Ferramentas e BHOs de TonyK para encontrá-la pela ID da classe (CLSID, o número entre chaves) e ver se ela é boa ou ruim. Na Lista de Ferramentas, 'X' significa spyware e 'L' significa seguro. Se não estiver na lista e o nome parecer uma string aleatória de caracteres e o arquivo estiver na pasta 'Application Data' (como o último nos exemplos acima), provavelmente é o Lop.com, e você definitivamente deve ter a correção HijackThis isto. O que isso parece:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Arquivos de programas Arquivos comuns Symantec Shared ccApp.exe"O4 - Inicialização: Microsoft Office.lnk = C: Arquivos de Programas Microsoft Office Office OSA9.EXEO4 - Inicialização Global: winlogon.exe O que fazer:Use a Lista de Inicialização do PacMan para encontrar a entrada e ver se ela é boa ou ruim. Se o item mostra um programa sentado em um grupo de inicialização (como o último item acima), o HijackThis não pode corrigir o item se este programa ainda estiver na memória. Use o Gerenciador de tarefas do Windows (TASKMGR.EXE) para fechar o processo antes de corrigir. O que isso parece: O5 - control.ini: inetcpl.cpl = não O que fazer:A menos que você ou o administrador do sistema tenha ocultado conscientemente o ícone no Painel de Controle, faça com que o HijackThis o corrija. O que isso parece:O6 - HKCU Software Políticas Microsoft Internet Explorer Restrições presentes O que fazer:A menos que você tenha a opção do Spybot S & D 'Bloquear página inicial das alterações' ativa, ou o administrador do sistema tenha colocado isso em prática, faça com que o HijackThis corrija isso. O que isso parece:O7 - HKCU Software Microsoft Windows CurrentVersion Políticas System, DisableRegedit = 1 O que fazer:Sempre faça com que o HijackThis corrija isso, a menos que o administrador do sistema tenha colocado essa restrição no lugar. O que isso parece: O8 - Item de menu de contexto extra: & Pesquisa do Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Item de menu de contexto extra: Yahoo! Pesquisa - file: /// C: Arquivos de Programas Yahoo! Common / ycsrch.htmO8 - Item de menu de contexto extra: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Item de menu de contexto extra: Zoom O & ut - C: WINDOWS WEB zoomout.htm O que fazer:Se você não reconhecer o nome do item no menu do botão direito do mouse no IE, faça com que o HijackThis o corrija. O que isso parece: O9 - Botão Extra: Messenger (HKLM)O9 - Itemitem extra 'Ferramentas': Messenger (HKLM)O9 - Botão Extra: AIM (HKLM) O que fazer:Se você não reconhecer o nome do botão ou item de menu, faça com que o HijackThis o corrija. O que isso parece: O10 - Acesso à Internet sequestrado pela New.NetO10 - Acesso à Internet quebrado por causa do provedor LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' ausenteO10 - arquivo desconhecido no Winsock LSP: c: arquivos de programas newton sabe vmain.dll O que fazer:É melhor corrigi-los usando o LSPFix da Cexx.org, ou o Spybot S & D da Kolla.de. Note que arquivos 'desconhecidos' na pilha do LSP não serão corrigidos pelo HijackThis, por questões de segurança. O que isso parece: O11 - grupo de opções: CommonName CommonName O que fazer:O único sequestrador a partir de agora que adiciona seu próprio grupo de opções à janela Opções Avançadas do IE é CommonName. Então você pode sempre ter o HijackThis consertar isso. O que isso parece: O12 - Plugin para .spop: C: Arquivos de programas Internet Explorer Plugins NPDocBox.dllO12 - Plugin para .PDF: C: Arquivos de programas Internet Explorer PLUGINS nppdf32.dll O que fazer:Na maioria das vezes estes são seguros. Apenas OnFlow adiciona um plugin aqui que você não quer (.ofb). O que isso parece: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Prefixo WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefixo: http://ehttp.cc/? O que fazer:Estes são sempre ruins. Ter HijackThis corrigi-los. O que isso parece: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com O que fazer:Se o URL não é o provedor do seu computador ou o seu ISP, HijackThis corrigi-lo. O que isso parece: O15 - Zona Confiável: http://free.aol.comO15 - Zona Confiável: * .coolwebsearch.comO15 - Zona Confiável: * .msn.com O que fazer:Na maioria das vezes, apenas a AOL e a Coolwebsearch adicionam sites à Zona de Confiança. Se você não adicionou o domínio listado à Zona de Confiança, faça com que o HijackThis o corrija. O que isso parece: O16 - DPF: Yahoo! Bate-papo - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (objeto Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O que fazer:Se você não reconhecer o nome do objeto ou o URL do qual ele foi baixado, faça com que o HijackThis o corrija. Se o nome ou URL contiver palavras como 'discador', 'cassino', 'free_plugin' etc, definitivamente conserte-o. O SpywareBlaster da Javacool tem um enorme banco de dados de objetos ActiveX maliciosos que podem ser usados para procurar CLSIDs. (Clique com o botão direito do mouse na lista para usar a função Localizar.) O que isso parece: O17 - HKLM System CCS Services VxD MSTCP: domínio = aoldsl.netO17 - HKLM Sistema CCS Serviços Tcpip Parâmetros: Domínio = W21944.find-quick.comO17 - HKLM Software .. Telefonia: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: domínio = W21944.find-quick.comO17 - HKLM System CS1 Serviços Tcpip Parâmetros: SearchList = gla.ac.ukO17 - HKLM System CS1 Serviços VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175 O que fazer:Se o domínio não é do seu ISP ou da rede da empresa, faça com que o HijackThis o conserte. O mesmo vale para as entradas 'SearchList'. Para as entradas 'NameServer' (servidores DNS), o Google para o IP ou IPs e será fácil ver se eles são bons ou ruins. O que isso parece: O18 - Protocolo: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protocolo: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - seqüestro de protocolo: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} O que fazer:Apenas alguns sequestradores aparecem aqui. Os baddies conhecidos são 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar), você deve ter o HijackThis para corrigi-los. Outras coisas que aparecem não são confirmadas como seguras ainda, ou são sequestradas (ou seja, o CLSID foi alterado) por spyware. No último caso, o HijackThis corrige isso. O que isso parece: O19 - Folha de estilo do usuário: c: WINDOWS Java my.css O que fazer:No caso de lentidão do navegador e pop-ups freqüentes, o HijackThis deve corrigir este item se ele aparecer no log. No entanto, como apenas o Coolwebsearch faz isso, é melhor usar o CWShredder para corrigi-lo. O que isso parece: O20 - AppInit_DLLs: msconfd.dll O que fazer:Este valor do Registro localizado em HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows carrega uma DLL na memória quando o usuário faz logon, após o qual permanece na memória até o logoff. Muito poucos programas legítimos o usam (o Norton CleanSweep usa o APITRAP.DLL), na maioria das vezes ele é usado por trojans ou sequestradores de navegador agressivos. No caso de um carregamento de DLL 'oculto' deste valor de Registro (visível apenas ao usar a opção 'Editar Dados Binários' no Regedit), o nome da dll pode ser prefixado com um canal '|' para torná-lo visível no log. O que isso parece: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll O que fazer:Este é um método autorun não documentado, normalmente usado por alguns componentes do sistema Windows. Itens listados em HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad são carregados pelo Explorer quando o Windows for iniciado. O HijackThis usa uma lista branca de vários itens SSODL muito comuns, portanto, sempre que um item é exibido no log, ele é desconhecido e possivelmente malicioso. Trate com extremo cuidado. O que isso parece: O22 - SharedTaskScheduler: (sem nome) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll O que fazer:Este é um autorun não documentado apenas para Windows NT / 2000 / XP, que é usado muito raramente. Até agora, apenas o CWS.Smartfinder o utiliza. Trate com cuidado. O que isso parece: O23 - Serviço: Kerio Personal Firewall (PersFw) - Tecnologias Kerio - C: Arquivos de Programas Kerio Personal Firewall persfw.exe O que fazer:Esta é a listagem de serviços não-Microsoft.A lista deve ser a mesma que você vê no utilitário Msconfig do Windows XP. Vários trojan hijackers usam um serviço caseiro, além de outras startups para se reinstalarem. Geralmente, o nome completo é importante, como 'Serviço de Segurança da Rede', 'Serviço de Logon da Estação de Trabalho' ou 'Auxiliar de Chamada de Procedimento Remoto', mas o nome interno (entre colchetes) é uma cadeia de lixo, como 'Ort'. A segunda parte da linha é o proprietário do arquivo no final, conforme visto nas propriedades do arquivo. Observe que a correção de um item O23 só parará o serviço e o desativará. O serviço precisa ser excluído do Registro manualmente ou com outra ferramenta. No HijackThis 1.99.1 ou superior, o botão 'Delete NT Service' na seção Misc Tools pode ser usado para isso. F0, F1, F2, F3 - programas de carregamento automático de arquivos INI
N1, N2, N3, N4 - Página inicial e pesquisa do Netscape / Mozilla
O1 - Redirecionamentos de hostsfile
O2 - Objetos auxiliares do navegador
O3 - Barras de ferramentas do IE
O4 - Autoloading programs from Registry ou Startup group
O5 - Opções do IE não visíveis no Painel de Controle
O6 - Acesso a opções do IE restrito pelo administrador
O7 - Acesso de Regedit restrito pelo Administrador
O8 - Itens extras no menu do botão direito do mouse do IE
O9 - Botões extras na barra de ferramentas principal do IE, ou itens extras no menu 'Ferramentas' do IE
O10 - Sequestradores de Winsock
O11 - Grupo Extra na janela 'Opções Avançadas' do IE
O12 - Plugins do IE
O13 - IE Sequestrador DefaultPrefix
O14 - 'Repor configurações da Web' seqüestrar
O15 - Sites indesejados na zona de confiança
O16 - Objetos ActiveX (também conhecidos como Arquivos de Programas Baixados)
O17 - seqüestros de domínio Lop.com
O18 - Protocolos extras e seqüestradores de protocolo
O19 - Sequência de folha de estilo do usuário
O20 - valor do Registro AppInit_DLLs Autorun
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - Serviços do NT