Hijackthis - Para Quem Não Conhece

[Eigenlieb 9]

Me espanta a quantidade de pessoas que são infectadas com as chamas "pragas virtuais".

Trabalho com manutenção de computadores e sei muito bem o que é isso. Estou sempre buscando opções para remove-los sem a necessidade de formatar a maquina do cliente (Mesmo tendo a opção de salvar dados.)

Um dos programas que tem me ajudado bastante nessa verdadeira luta é o HijackThis !

Dei uma pesquisadinha na net e juntei com o que eu sei e.... saiu esse tutorial, aproveitem :laughing:

E Moderadores...devia lançar um Fix pra mim né? :whistling:

_______________________________________________________________________

As pragas virtuais - Apresento aqui as pragas virtuais (Não todas)

Phishing Scam

É um e-mail não solicitado que tem como objetivo fazer com que o destinatario entre em paginas falsas. Tem a intenção de roubar dados de clientes. Tenho certeza que vocês já ouviram alguma vez sobre esses

e-mails fraudulentos.

Spyware

São softwares espiões. Ele coleta informações de navegação sem o conhecimento do usuario e manda essas informções para um servidor, normalmente usado para descobrir quais são os interesses do usuario e assim mandar o SPAM correto .

VÍRUS

Termo popularmente utilizado para definir qualquer praga virtual, o vírus é, tecnicamente,um programa capaz de danificar outros softwares e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo que, quando executado, aciona o invasor.

(retirado da PCWORLD)

Worms

São programas que usam falhas em sistemas para se instalar e enviar copias para outras pessoas.

Agora vamos ao HijackThis... :w00t:

HijackThis é um programa que fornece informação sobre seu sistema.

Com ele é possível verificar se a algum programa malicioso no seu sistema, mais ele não informa onde está o problema ele somente cria um LOG que mostra o quem tem em seu computador, por isto é necessário muito cuidado no seu uso!!

(Recomendo passar ferramentas de remoção e se não obtiver resultados utilizar o HijackThis. Crie um LOG e poste em algum forum de segurança.)

O criador do HijackThis foi um alemão chamado Merijn.Ele definiu seu programa como o único capaz de remover hijackers.

(Bem modesto )

Mas ele faz muito mais! Ele é capaz de achar trojans, spywares, adwares, worms e até mesmo rootkits.

O HijackThis verifica varias entradas do sistema e as define desta forma: R0, R1, R3, 02, 03, 04, etc.

R0, R1, R3: O que seria estas entradas, são entradas relacionadas com a configuração do Internet Explorer.

02- São programas instalados no Internet Explorer.

03- São ferramentas adicionais instaladas no Internet Explorer.

04- São programas que iniciam automaticamente com o seu sistema operacional está entrada são umas das mais importantes.

E com essas informações ele cria um LOG.

Aqui vai um LOG do HijackThis:

ps: Não é meu não, eu tirei da net...

Logfile of HijackThis v1.99.1

Scan saved at 18:31 HERLON, on 29/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\SysMetrix\SysMetrix.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.itelefonica.com.br

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\system32\scpsssh2.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sysMetrix] C:\Arquivos de programas\SysMetrix\SysMetrix.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Microsoft® ActiveX Debugger NT] "C:\windows\setdebugnt.exe"

O4 - HKLM\..\RunServices:

 hhs.pif

O4 - HKCU\..\Run:

 hhs.pif

O4 - HKCU\..\RunServices: [html Help System] hhs.pif

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARQUIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARQUIV~1\Yahoo!\MESSEN~1\YPager.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F1E0409-3006-4B84-A906-AF1C0A91ACF4}: NameServer = 200.204.0.138 200.204.0.10

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StyleXPService - Unknown owner - C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe

"Ai kct!! e agora como eu sei se eu estou infectado???"

Abrem paginas sozinhas sem que você tenha dado esse comando?

O seu pc está anormalmente lerdo?

Sua internet está devagar? (Não vale para 56k :grin: )

Abrem sites de conteudo erotico (Sem que você queira..rs) ?

Pop-Ups em excesso?

Quando você usa o comando Crtl+Alt+del ( Ou Crtl+Shift+Esc) você constata muitos processos, antes nunca vistos? (Cuidado com isso)

Se você constatar algum desses sintomas é ALTAMENTE recomendavel você utilizar alguns programas para DETECÇÃO E REMOÇÃO, principalmente se seus pais (ou você mesmo) utilizam o computador para coisas importantes, entrar em sites de banco, por exemplo.

Eu vou colocar agora links para download de algumas ferramentas de Remoção.

Microsoft - Anti Spyware Beta Esse é bom.

SpyBot - Search and Destroy Se o Anti Spyware da Microsoft é bom. Esse é execelente. Tem varias opções!

Ad-Aware Não é tão completo quanto o SpyBot, mas mesmo assim não deixa de ser bom, porém não contém proteção em tempo real.

::::::::::::::::::::::::::::::::::::::::

::::::::::::::ATENÇÃO::::::::::::::::::::::

:::::::DANOS CAUSADOS PELO HIJACKTHIS::::::::::::

::::::::::::::::::::::::::::::::::::::::

Desabilitar programas

    Marcando certas entradas incorretas você pode desabilitar programas como antivírus, drivers, firewalls e diversos outros utilitários. Reinstalar os programas sempre resolve o problema.

Retirar funcionalidades

    É possível, por exemplo, desabilitar barras de ferramentas ou programas de proteção do Internet Explorer, assim como retirar vários botões, menus e plugins do navegador.

Desconfigurar a rede

    O HijackThis também pode zerar a configuração de rede, como servidores DNS e o domínio ao qual o computador pertence. Os proxies utilizados pelo Internet Explorer também são mostrados e, ao marcar a entrada, são zerados. Isso pode ocasionar perda de conectividade com a web e outros serviço. Nesse caso é necessário reconfigurar a rede.

    Também é possível corromper as entradas da escada LSP do Winsock. Nesse caso é necessário desinstalar o TCP/IP em todos os adaptadores de rede e reinstalar para que a escada seja reconstruída. Se você reinstalar o Windows (usando a opção “Reparar”), o problema não será resolvido. Existem outras maneiras de recuperar a escada — veja o documento sobre LSP.

A maioria dos problemas acima pode ser evitado se o HijackThis estiver em uma pasta própria como ‘C:\HijackThis’. Desse modo ele criará backups de cada entrada marcada, sendo apenas necessário recuperar o backup.

(Creditos para Linha Defensiva)

Por isso é melhor utilizar o Hijackthis com cuidado.

Aqui está o link para o HijackThis HijackThis - Baixaki

Eu tinha esquedido de colocar o link...

[buster287 1]

Olha kra realmente gostei muito desse tutorial ajuda muito e é muito bem explicado

Só q preciso de ajuda:

ja tentei muitos anti-virus mas nenhum deles detectaram

é um virus tipo assim:

quando conecto na internet é como se fosse por tempo aparece uns quadros de menssagens falando q tem um virus no pc e fla pra mim entra num site baixar um anti virus deles mas acho q isso é q é um vírus

preciso de ajuda pra remove isso

[Eigenlieb 9]

Opa! valeu cara. =)

______________________________________________________________________

Você passou um Anti Spyware??

Isso não é causado por virus (Não diretamente pelo menos...)

Baixe e use o SpyBot - Search and destroy. (Link no tutorial)

Se não resolver experimente este Scan online:

Housecall - TrendMicro

Se mesmo assim não resolver seu problema use o Hijackthis e poste o Log dele aqui.

(Ufa!)

Somente crie o log.

Eu vou dar uma analisada e se não reconhecer nada de errado levo para outras pessoas analisarem.

Dai então podemos usar ele (Muhaha! )

Lembre-se: Não use o Hijackthis sem saber oque você está removendo. Não me responsabilizo...

___________________________________________________________________

E vocês se perguntam..."Esse mlk doido postou um Tuto sobre esse programa e manda eu usar outros e somente em ultimo caso esse."

O Hijackthis é bem poderoso e se existem soluções mais praticas (e Automaticas) prq não utiliza-las?

____________________________________________________________________

"O medico dificilmente usa o remedio Tarja Preta se pode usar o tarja vermelha..."

[flerchin 0]

caracas mano vc é fda

Um tuto maneirissimo

merece ate ser um fixo gostei mesmo, bom pra quem não tem como eu

vlwwwww

[x9kill 1]

olha manow não irei mover para a seção oficial, por que muita gente vai ter duvidas, mas enquanto isso irei fixar nesta seção pois achei importantissimo

[Eigenlieb 9]

Ok!

Muito obrigado, só tenho que agradecer mesmo

[Happy Teddy Bear 0]

otimississississimo tuto!!

meu pc ta uma *****!!

acho que isso vai melhorar...

obrigadooo

edit

desculpa o palavrao la emcima.. ja editei heehe

[GMxtibia 0]

Nunca tinha ouvido falar neste programa..]

lol

=]

parece ser bom..

[GM Skynit 0]

muito maniero esse prog xDDDDDDDD.

[GOD Foca 0]

aew manow...o troço e rox mermo...mais dps q cria o log e etc, pede pra selecionar oq deletar (tenham cuidado ) ai eu qria sabe cmo vejo c to infectado ow n...c n for mto complicado...

[Eigenlieb 9]

Desculpe a demora >.<

Agora que eu vi.. :confused:

Você pode ir verificando na internet os arquivos que podem ser apagados (Não recomendavel)

OU

Pode postar num fórum exclusivo para isso.

Linha defensiva

Poste seu LOG aqui:

Remoção de malware

[BoRoMiR 0]

Nussa...Depois dessa meu pc acho q nunk mais vai ser infectado...Tomara....Mtu bom...Tah ai explikado pq vc sabe tanto de computador.... xD ......

[Sir Picaralhos 12]

@eigenlieb

Adorei, tipo eu nunca tinha visto esse prog vou até colocar na lan do meu primo é muito bom mesmo amei ele x] vlw mesmo =*******

@Tópico

Nussa muito bom gostei muito.

Ta de parabéns sempre com bons turoriais heim x].

Ae vim aqui tambem pra pedi FIXO pra ele, é muito bom e é mutio importante.

Vlw

Atenciosamente,

Sir Picaralhos.

[GOD_Tridente 0]

esse Tuto merece meu comentario

gostei muito dele eu precisava

MEU :w4: TAVA ORRIVEL NAO AGUENTAVA MAIS EU USAVA O AVAST MAISNAO E TAO BOM ENTAO RECOMENDO ESSE TUTO MERECIA FICAR FIXO VC MERECE PARABENS MUITO BOM O TUTO. SEJA FELIZ E MUITO SUCESSO COM SEUS TUTOS E TRABALHO

[favorefty 1]

Cara, gostei muito do seu tutorial, ajuda bastante

e eu acho que você esqueceu de coloca

que sempre deletar arquivos que não

tem mais importancia também ajuda muito

na rapidez do micro.

flw.

Abraços,

Favorefty.