Hijackthis - Para Quem Não Conhece

Me espanta a quantidade de pessoas que são infectadas com as chamas "pragas virtuais".

Trabalho com manutenção de computadores e sei muito bem o que é isso. Estou sempre buscando opções para remove-los sem a necessidade de formatar a maquina do cliente (Mesmo tendo a opção de salvar dados.)

Um dos programas que tem me ajudado bastante nessa verdadeira luta é o HijackThis !

Dei uma pesquisadinha na net e juntei com o que eu sei e.... saiu esse tutorial, aproveitem :laughing:

E Moderadores...devia lançar um Fix pra mim né? :whistling:

_______________________________________________________________________

As pragas virtuais - Apresento aqui as pragas virtuais (Não todas)

Phishing Scam

É um e-mail não solicitado que tem como objetivo fazer com que o destinatario entre em paginas falsas. Tem a intenção de roubar dados de clientes. Tenho certeza que vocês já ouviram alguma vez sobre esses

e-mails fraudulentos.

Spyware

São softwares espiões. Ele coleta informações de navegação sem o conhecimento do usuario e manda essas informções para um servidor, normalmente usado para descobrir quais são os interesses do usuario e assim mandar o SPAM correto .

VÍRUS

Termo popularmente utilizado para definir qualquer praga virtual, o vírus é, tecnicamente,um programa capaz de danificar outros softwares e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo que, quando executado, aciona o invasor.

Worms

São programas que usam falhas em sistemas para se instalar e enviar copias para outras pessoas.

Agora vamos ao HijackThis... :w00t:

HijackThis é um programa que fornece informação sobre seu sistema.

Com ele é possível verificar se a algum programa malicioso no seu sistema, mais ele não informa onde está o problema ele somente cria um LOG que mostra o quem tem em seu computador, por isto é necessário muito cuidado no seu uso!!

(Recomendo passar ferramentas de remoção e se não obtiver resultados utilizar o HijackThis. Crie um LOG e poste em algum forum de segurança.)

O criador do HijackThis foi um alemão chamado Merijn.Ele definiu seu programa como o único capaz de remover hijackers.

(Bem modesto )

Mas ele faz muito mais! Ele é capaz de achar trojans, spywares, adwares, worms e até mesmo rootkits.

O HijackThis verifica varias entradas do sistema e as define desta forma: R0, R1, R3, 02, 03, 04, etc.

R0, R1, R3: O que seria estas entradas, são entradas relacionadas com a configuração do Internet Explorer.

02- São programas instalados no Internet Explorer.

03- São ferramentas adicionais instaladas no Internet Explorer.

04- São programas que iniciam automaticamente com o seu sistema operacional está entrada são umas das mais importantes.

E com essas informações ele cria um LOG.

Aqui vai um LOG do HijackThis:

ps: Não é meu não, eu tirei da net...

Logfile of HijackThis v1.99.1

Scan saved at 18:31 HERLON, on 29/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\SysMetrix\SysMetrix.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.itelefonica.com.br

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\system32\scpsssh2.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sysMetrix] C:\Arquivos de programas\SysMetrix\SysMetrix.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Microsoft® ActiveX Debugger NT] "C:\windows\setdebugnt.exe"

O4 - HKLM\..\RunServices:

 hhs.pif

O4 - HKCU\..\Run:

 hhs.pif

O4 - HKCU\..\RunServices: [html Help System] hhs.pif

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARQUIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARQUIV~1\Yahoo!\MESSEN~1\YPager.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F1E0409-3006-4B84-A906-AF1C0A91ACF4}: NameServer = 200.204.0.138 200.204.0.10

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StyleXPService - Unknown owner - C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe

"Ai kct!! e agora como eu sei se eu estou infectado???"

Abrem paginas sozinhas sem que você tenha dado esse comando?

O seu pc está anormalmente lerdo?

Sua internet está devagar? (Não vale para 56k :grin: )

Abrem sites de conteudo erotico (Sem que você queira..rs) ?

Pop-Ups em excesso?

Quando você usa o comando Crtl+Alt+del ( Ou Crtl+Shift+Esc) você constata muitos processos, antes nunca vistos? (Cuidado com isso)

Se você constatar algum desses sintomas é ALTAMENTE recomendavel você utilizar alguns programas para DETECÇÃO E REMOÇÃO, principalmente se seus pais (ou você mesmo) utilizam o computador para coisas importantes, entrar em sites de banco, por exemplo.

Eu vou colocar agora links para download de algumas ferramentas de Remoção.

Microsoft - Anti Spyware Beta Esse é bom.

SpyBot - Search and Destroy Se o Anti Spyware da Microsoft é bom. Esse é execelente. Tem varias opções!

Ad-Aware Não é tão completo quanto o SpyBot, mas mesmo assim não deixa de ser bom, porém não contém proteção em tempo real.

::::::::::::::::::::::::::::::::::::::::

::::::::::::::ATENÇÃO::::::::::::::::::::::

:::::::DANOS CAUSADOS PELO HIJACKTHIS::::::::::::

::::::::::::::::::::::::::::::::::::::::

Desabilitar programas

    Marcando certas entradas incorretas você pode desabilitar programas como antivírus, drivers, firewalls e diversos outros utilitários. Reinstalar os programas sempre resolve o problema.

Retirar funcionalidades

    É possível, por exemplo, desabilitar barras de ferramentas ou programas de proteção do Internet Explorer, assim como retirar vários botões, menus e plugins do navegador.

Desconfigurar a rede

    O HijackThis também pode zerar a configuração de rede, como servidores DNS e o domínio ao qual o computador pertence. Os proxies utilizados pelo Internet Explorer também são mostrados e, ao marcar a entrada, são zerados. Isso pode ocasionar perda de conectividade com a web e outros serviço. Nesse caso é necessário reconfigurar a rede.

    Também é possível corromper as entradas da escada LSP do Winsock. Nesse caso é necessário desinstalar o TCP/IP em todos os adaptadores de rede e reinstalar para que a escada seja reconstruída. Se você reinstalar o Windows (usando a opção “Reparar”), o problema não será resolvido. Existem outras maneiras de recuperar a escada — veja o documento sobre LSP.

A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta própria como ‘C:\HijackThis’. Desse modo ele criará backups de cada entrada marcada, sendo apenas necessário recuperar o backup.

(Creditos para Linha Defensiva)

Por isso é melhor utilizar o Hijackthis com cuidado.

Aqui está o link para o HijackThis HijackThis - Baixaki

Eu tinha esquedido de colocar o link...

Olha kra realmente gostei muito desse tutorial ajuda muito e é muito bem explicado

Só q preciso de ajuda:

ja tentei muitos anti-virus mas nenhum deles detectaram

é um virus tipo assim:

quando conecto na internet é como se fosse por tempo aparece uns quadros de menssagens falando q tem um virus no pc e fla pra mim entra num site baixar um anti virus deles mas acho q isso é q é um vírus

preciso de ajuda pra remove isso

Opa! valeu cara. =)

______________________________________________________________________

Você passou um Anti Spyware??

Isso não é causado por virus (Não diretamente pelo menos...)

Baixe e use o SpyBot - Search and destroy. (Link no tutorial)

Se não resolver experimente este Scan online:

Housecall - TrendMicro

Se mesmo assim não resolver seu problema use o Hijackthis e poste o Log dele aqui.

(Ufa!)

Somente crie o log.

Eu vou dar uma analisada e se não reconhecer nada de errado levo para outras pessoas analisarem.

Dai então podemos usar ele (Muhaha! )

Lembre-se: Não use o Hijackthis sem saber oque você está removendo. Não me responsabilizo...

___________________________________________________________________

E vocês se perguntam..."Esse mlk doido postou um Tuto sobre esse programa e manda eu usar outros e somente em ultimo caso esse."

O Hijackthis é bem poderoso e se existem soluções mais praticas (e Automaticas) prq não utiliza-las?

____________________________________________________________________

"O medico dificilmente usa o remedio Tarja Preta se pode usar o tarja vermelha..."

caracas mano vc é fda

Um tuto maneirissimo

merece ate ser um fixo gostei mesmo, bom pra quem não tem como eu

vlwwwww

olha manow não irei mover para a seção oficial, por que muita gente vai ter duvidas, mas enquanto isso irei fixar nesta seção pois achei importantissimo

Ok!

Muito obrigado, só tenho que agradecer mesmo

otimississississimo tuto!!

meu pc ta uma *****!!

acho que isso vai melhorar...

obrigadooo

edit

desculpa o palavrao la emcima.. ja editei heehe

Nunca tinha ouvido falar neste programa..]

lol

=]

parece ser bom..

muito maniero esse prog xDDDDDDDD.

aew manow...o troço e rox mermo...mais dps q cria o log e etc, pede pra selecionar oq deletar (tenham cuidado ) ai eu qria sabe cmo vejo c to infectado ow n...c n for mto complicado...

Desculpe a demora >.<

Agora que eu vi.. :confused:

Você pode ir verificando na internet os arquivos que podem ser apagados (Não recomendavel)

OU

Pode postar num fórum exclusivo para isso.

Linha defensiva

Poste seu LOG aqui:

Remoção de malware

Nussa...Depois dessa meu pc acho q nunk mais vai ser infectado...Tomara....Mtu bom...Tah ai explikado pq vc sabe tanto de computador.... xD ......

@eigenlieb

Adorei, tipo eu nunca tinha visto esse prog vou até colocar na lan do meu primo é muito bom mesmo amei ele x] vlw mesmo =*******

@Tópico

Nussa muito bom gostei muito.

Ta de parabéns sempre com bons turoriais heim x].

Ae vim aqui tambem pra pedi FIXO pra ele, é muito bom e é mutio importante.

Vlw

Atenciosamente,

Sir Picaralhos.

esse Tuto merece meu comentario

gostei muito dele eu precisava

MEU :w4: TAVA ORRIVEL NAO AGUENTAVA MAIS EU USAVA O AVAST MAISNAO E TAO BOM ENTAO RECOMENDO ESSE TUTO MERECIA FICAR FIXO VC MERECE PARABENS MUITO BOM O TUTO. SEJA FELIZ E MUITO SUCESSO COM SEUS TUTOS E TRABALHO

Cara, gostei muito do seu tutorial, ajuda bastante

e eu acho que você esqueceu de coloca

que sempre deletar arquivos que não

tem mais importancia também ajuda muito

na rapidez do micro.

flw.

Abraços,

Favorefty.