[Thiago®]

bom, eu fiz um tutorial em outro forum, e pelo que eu vi não tem nada referente a isso aqui. tem muita gente que ainda não sabe que da pra fazer essa analise online e tem muita gente que nem conhece esse programa, é bom saber como esse programa funciona por que ele é muito util. enfim, esse tutorial é para fazer uma analise do log online.

"O HijackThis é capaz de achar entradas de registro, detectar e remover estas ameaças que tanto causam dores de cabeça, o programa é atualizado quase sempre, oferecendo defesa as novas pragas."

Hijackthis - Download

1- ao abrir o hijackthis, clique em "Scan"



2- salve no seu computador o log.




3- entre na página http://www.hijackthis.de/

carregue o log e clique em "analyse"



com isso irá dar o resultado da analise e mostrar o nível de perigo que se encontra cada arquivo.



4- veja se existe algum arquivo inseguro na analise.


se houver algum. basta ir em "fix cheked"



para limpar o registro e varrer chaves inválidas, eu uso o "CCleaner" e o "MV RegClean 5.0".



é isso, não sei explicar muito bem. mas acho que da pra ajudar um pouco sobre essa parte de "analise de log online"
espero ter ajudado alguem de alguma forma.



//COMPLEMENTO por coxinha

Só completando o ótimo Tutorial do nosso amigo Thiago®

:: O que são aquelas letras e números antes de cada ítem analisado? ::
Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos ajudam a identificar em qual deles o ítem analisado se encaixa.

- R0,R1,R2,R3: Hook de buscadores de URL
- F0,F1,F2,F3: Inicialização rara, arquivos .ini
- N1, N2, N3, N4: Página inicial do navegador e buscador utilizado
- O1: Redirecionamentos do arquivo Hosts
- O2: BHOs (Browser Helper Objects)
- O3: Barras de ferramentas do navegador (toolbars)
- O4: Programas da inicialização
- O5: Configurações do Painel de Controle
- O6: Configurações Administrativas
- O7: Configurações do Regedit
- O8: Ítens do menu de contexto
- O9: Botões da barra de ferramentas
- O10: Hijackers de Winsock / LSP'S (Layered Service Providers)
- O11: Opções Avançadas do Internet Explorer
- O12: Plugins do Internet Explorer
- O13: Hijackers de DefaultPrefix
- O14: Hijackers para "Resetar as configurações da web"
- O15: Área Segura do Internet Exporer e padrões de protocolos
- O16: Módulos ActiveX
- O17: Hacks DNS
- O18: Hijackers de protocolo e protocolos extras
- O19: Hijackers da folha de estilo do usuário
- O20: Sub-chaves de AppInit_DLL/Winlogon Notify
- O21: Chave de registro do ShellServiceObjectDelayLoad
- O22: Valor de registro do SharedTaskScheduler
- O23: Serviços do Windows XP, NT e 2003

Tipo (Kind)
É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são identificados como:

Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina

Esse ítem refere-se ao Antivírus instalado em seu sistema

São entradas identificadas como seguras segundo o banco de dados do HijackThis. No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto, veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo escrito como Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as informações se divergirem, faça uma busca pelo nome do arquivo através do Google ou mande o arquivo para análise no site VirusTotal

São ítens desnecessários para o sistema que podem ser removidos

São ítens que representam risco ao sistema e devem ser corrigidos/removidos. Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada. Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso ao sistema. Um bom exemplo é o arquivo vsnpstd.exe que fica localizado na pasta C:\WINDOWS. Apesar de ser analisado como danoso, ele faz parte de um programa de certas câmeras/webcams. Outro exemplo é o caso do Internet Explorer quando este está na versão desatualizada (versão 6.0) ou o famoso arquivo ptsnoop.exe que pode ser tanto um executável de certos modens ou um raro trojan. É altamente recomendável enviar o arquivo para o VirusTotal caso esteja em dúvida

São ítens desconhecidos. Quando houver um ítem nesse estado que você desconheça, faça uma busca pelo arquivo através do Google. Há diversos sites como o WinTasks que mostram informações de determinados arquivos. É só procurar... Se não encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para análise no VirusTotal

Avaliação dos visitantes (Visitor's assessment)
São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao usuário conforme segue:

Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito seguro"
Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro"
Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso"
Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso"
Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como "Muito danoso"

É isso ai....espero ter ajudado

[Astaroth]

Vai ser de grande ajuda na hora de resolver problemas.

[]'s

[Tiago Santos]

Thiago®,

Parabéns pelo Tutorial, muito útil.

Abraços,

Tiago

[Bueno]

Muito bom.
Eu normalmente fazia a minha análise mesmo, olhava todas as entradas, as que eu não conhecia procurava no google e tal, assim fica bem mais fácil.

[Paulo Higa]

Movendo de Windows > Softwares para Windows > Segurança.

[FernandoHR]

Ótimo tutorial
está de parabéns
vai me ajudar e muito

[coxinha]

Só completando o ótimo Tutorial do nosso amigo Thiago®

:: O que são aquelas letras e números antes de cada ítem analisado? ::
Cada ítem está relacionado a um determinado tipo de serviço/aplicação. Esses códigos ajudam a identificar em qual deles o ítem analisado se encaixa.

- R0,R1,R2,R3: Hook de buscadores de URL
- F0,F1,F2,F3: Inicialização rara, arquivos .ini
- N1, N2, N3, N4: Página inicial do navegador e buscador utilizado
- O1: Redirecionamentos do arquivo Hosts
- O2: BHOs (Browser Helper Objects)
- O3: Barras de ferramentas do navegador (toolbars)
- O4: Programas da inicialização
- O5: Configurações do Painel de Controle
- O6: Configurações Administrativas
- O7: Configurações do Regedit
- O8: Ítens do menu de contexto
- O9: Botões da barra de ferramentas
- O10: Hijackers de Winsock / LSP'S (Layered Service Providers)
- O11: Opções Avançadas do Internet Explorer
- O12: Plugins do Internet Explorer
- O13: Hijackers de DefaultPrefix
- O14: Hijackers para "Resetar as configurações da web"
- O15: Área Segura do Internet Exporer e padrões de protocolos
- O16: Módulos ActiveX
- O17: Hacks DNS
- O18: Hijackers de protocolo e protocolos extras
- O19: Hijackers da folha de estilo do usuário
- O20: Sub-chaves de AppInit_DLL/Winlogon Notify
- O21: Chave de registro do ShellServiceObjectDelayLoad
- O22: Valor de registro do SharedTaskScheduler
- O23: Serviços do Windows XP, NT e 2003

Tipo (Kind)
É uma avaliação feita pelo próprio banco de dados do HijackThis. Os ítens são identificados como:

Esse ítem refere-se ao Firewall ou kit Internet Security instalado na sua máquina

Esse ítem refere-se ao Antivírus instalado em seu sistema

São entradas identificadas como seguras segundo o banco de dados do HijackThis. No entanto, há alguns casos em que essa avaliação é feita de forma errada. Portanto, veja nas avaliações dos visitantes (os quadrinhos que ficam ao lado) se não há algo escrito como Nasty. Se não houver nada ou estiver neutro, não se preocupe. Se as informações se divergirem, faça uma busca pelo nome do arquivo através do Google ou mande o arquivo para análise no site VirusTotal

São ítens desnecessários para o sistema que podem ser removidos

São ítens que representam risco ao sistema e devem ser corrigidos/removidos. Como no primeiro ítem, há alguns casos em que essa avaliação é feita de forma errada. Verifique também a avaliação dos visitantes para ver se o arquivo é realmente danoso ao sistema. Um bom exemplo é o arquivo vsnpstd.exe que fica localizado na pasta C:\WINDOWS. Apesar de ser analisado como danoso, ele faz parte de um programa de certas câmeras/webcams. Outro exemplo é o caso do Internet Explorer quando este está na versão desatualizada (versão 6.0) ou o famoso arquivo ptsnoop.exe que pode ser tanto um executável de certos modens ou um raro trojan. É altamente recomendável enviar o arquivo para o VirusTotal caso esteja em dúvida

São ítens desconhecidos. Quando houver um ítem nesse estado que você desconheça, faça uma busca pelo arquivo através do Google. Há diversos sites como o WinTasks que mostram informações de determinados arquivos. É só procurar... Se não encontrar nada ou quiser uma resposta mais simples e direta, envie o arquivo para análise no VirusTotal

Avaliação dos visitantes (Visitor's assessment)
São avaliações feitas pelos visitantes, seja ela identificando o ítem como danoso, seguro ou neutro. Com essas informações, é feito uma média e apresentado o resultado ao usuário conforme segue:

Very Safe - são ítens em que a maior parte das avaliações foram feitas como "Muito seguro"
Safe - são ítens em que a maior parte dos visitantes avaliaram como "Seguro"
Neutral - são ítens cuja média não aponta nem para "Seguro" nem para "Danoso"
Nasty - são ítens cuja maior parte das avaliações foram apontadas como "Danoso"
Extremely Nasty - são ítens em que a maior parte das avaliações foram feitas como "Muito danoso"

É isso ai....espero ter ajudado

[Ultimate The One]

Putz, EXCELENTÍSSIMO tutorial mesmo, Thiago!!! Caraca, isso com toda certeza vai ser de grande ajuda para todo mundo. Eu nem sabia que dava para fazer essa análise Online dos arquivos no site do HijackThis.

E excelentíssimo complemento o seu tmb, coxinha!!!

Muito, muito obrigado mesmo, obrigadão por terem postado esse maravilhoso tutorial aqui!!!

[Paulo Higa]

Pinado.

[Mário]

Paulo, em 09/04/2008 - 20:45:16, disse:

Pinado.

Adicionei o complemento do amigo coxinha ao primeiro post, caso autor original ou coxinha sejam contra a edição, por favor editem, ou entrem em contato comigo.

[Mr. Solutions]

ok, pessoal, Muito legal o tuto e muito util para os usuarios...vlw

[coxinha]

Mário, em 09/04/2008 - 20:52:53, disse:

Adicionei o complemento do amigo coxinha ao primeiro post, caso autor original ou coxinha sejam contra a edição, por favor editem, ou entrem em contato comigo.

Blz Mário, por mim tudo bem....

[Mr. Solutions]

Só adicionando uma versão do hijackthis

Versão 2.0.2
Clique abaixo para fazer o download

Clique aqui ---->>> HijackThis 2.02

[_Raul_]

Muito bom o tópico! Vou arquivá-lo no meu PC.

[]'s

[Mr.Wolf]

Apesar desse site ajudar o pessoal que está aprendendo analisar logs, não o recomendo! Uma vez fiz um teste nele, postei um log totalmente infectado e várias entradas ele apontada como legítmo, que não havia infecção. O que me deixou curioso é que, quando o malware cria uma pasta no sistema, esse site aponta como algo legítmo, por exemplo: tem um plugin chamado GbPlugin, que é instalado pela maioria dos bancos online como Banco do Brasil, Caixa entre outros, que cria uma pasta chamada GbPlugin em C:\Arquivos de Programas\GbPlugin, e simplesmente este site o aponta como legítmo.

Sim ele pode ser legítmo, mas existe um malware que também cria essa mesma pasta, com o mesmo nome, no mesmo diretório e o site também o aponta como legítmo. Por isso não aconselho este site, pois o usuário pode pensar que não tem infecção alguma, sendo que tem sim.

E também, quando a análise online aponta a entrada como uma infecção, o site manda fixar esta entrada. Isto é outra coisa errada. Pois nem todas as entradas podem ser fixadas no HijackThis porque ás vezes de nada adiantará fixar, sendo que você terá que remover com uma ferramenta apropriada para aquela infecção presente no log.

[dommarco]

Mr.Wolf, em 22/07/2008 - 20:25:59, disse:

Apesar desse site ajudar o pessoal que está aprendendo analisar logs, não o recomendo! Uma vez fiz um teste nele, postei um log totalmente infectado e várias entradas ele apontada como legítmo, que não havia infecção. O que me deixou curioso é que, quando o malware cria uma pasta no sistema, esse site aponta como algo legítmo, por exemplo: tem um plugin chamado GbPlugin, que é instalado pela maioria dos bancos online como Banco do Brasil, Caixa entre outros, que cria uma pasta chamada GbPlugin em C:\Arquivos de Programas\GbPlugin, e simplesmente este site o aponta como legítmo.

Sim ele pode ser legítmo, mas existe um malware que também cria essa mesma pasta, com o mesmo nome, no mesmo diretório e o site também o aponta como legítmo. Por isso não aconselho este site, pois o usuário pode pensar que não tem infecção alguma, sendo que tem sim.

E também, quando a análise online aponta a entrada como uma infecção, o site manda fixar esta entrada. Isto é outra coisa errada. Pois nem todas as entradas podem ser fixadas no HijackThis porque ás vezes de nada adiantará fixar, sendo que você terá que remover com uma ferramenta apropriada para aquela infecção presente no log.

Concordo com o que disse o Mr.Wolf, a análise do Hijackthis pode se transformar em algo desastroso levando-se em consideração apenas a análise feita pelo site.As vezes ele manda fixar files sadios do sistema trazendo assim muitos problemas,as vezes também deixa de indicar infecções existentes e manda fixar linhas que o programa não consegue remover,como as hosts por exemplo.É recomendável apenas pra usuários avançados que já conhecem os logs e sabem o que estão fazendo.