Tema Jannah A licença não é validada, vá para a página de opções do tema para validar a licença, você precisa de uma única licença para cada nome de domínio.

HijackThis Guia para remover sequestrador de navegador e spyware

Atenção

A ferramenta HijackThis só deve ser usada se os problemas do navegador ou do computador persistirem após a execução do Spybot ou outra ferramenta de remoção de spyware ou sequestrador. HijackThis é uma ferramenta avançada e, portanto, requer conhecimento avançado de Windows e de sistemas operacionais em geral. Se você excluir itens que a ferramenta mostra sem saber o que são, isso pode levar a outros problemas, como a interrupção do funcionamento da Internet ou problemas com o funcionamento do próprio sistema Windows. Você também deve tentar limpar spyware/sequestradores/trojans usando todos os outros métodos antes de usar o HijackThis. Se você permitir que o HijackThis remova entradas antes que outra ferramenta de remoção verifique seu computador, os arquivos do sequestrador/spyware permanecerão no seu computador e futuras ferramentas de remoção não serão capazes de encontrá-los. É altamente recomendável pesquisar Fóruns de suporte técnico Especialista ou consulte um especialista antes de usar o HijackThis.

Se você não possui conhecimentos avançados de informática, não deve reparar entradas com o HijackThis sem consultar um especialista no uso deste software. Se você já executou o Spybot – S&D e Ad-Aware e ainda está tendo problemas, siga este tutorial e poste seu login do HijackThis Fórum HijackThis Nossas informações, incluindo detalhes sobre o seu problema, irão aconselhá-lo sobre o que corrigir. Lembre-se de que a remoção incorreta das entradas do HijackThis pode levar à instabilidade do sistema ou perda de dados. Para obter melhores resultados, procure a ajuda de um especialista em remoção de spyware ou de um especialista técnico.

HiJackThis+ 3.2.0.1 Alfa - Neowin

Introdução à ferramenta de remoção de malware HijackThis

HijackThis é um utilitário poderoso que verifica seu computador e produz uma lista de configurações específicas encontradas nele. A importância desta ferramenta reside na sua capacidade de pesquisar no registro e em vários arquivos do sistema em busca de entradas semelhantes às deixadas por spyware ou sequestro de navegador. No entanto, a interpretação desses resultados requer extrema cautela, pois muitos programas legítimos instalados no seu sistema operacional são semelhantes aos usados ​​por spyware. Portanto, você deve ser extremamente cuidadoso ao usar o HijackThis para corrigir quaisquer problemas. Ressaltamos fortemente a importância de seguir este aviso para evitar qualquer dano potencial ao seu dispositivo.

Existem muitos tutoriais disponíveis online sobre como usar o HijackThis, mas poucos deles explicam o significado de cada seção dos resultados de uma forma que o usuário médio possa entender. Este guia, além de explicar como usar o HijackThis, visa explicar detalhadamente o significado de cada seção de resultados. Não há razão para que você não consiga entender o que está reparando ao examinar os registros do HijackThis e obter orientação de especialistas.

Se você quiser ler primeiro um guia sobre como usar o Spybot, pode clicar aqui: Como usar o Spybot – Search & Destroy que é um complemento do HijackThis na luta contra spyware e malware.

Após esta introdução, vamos explicar como usar o HijackThis. Você pode clicar nas capturas de tela para visualizá-las em seu tamanho normal. Observe que uma nova janela será aberta quando você fizer isso, portanto, os bloqueadores de pop-up podem impedir a abertura da janela da imagem. Neste guia, veremos como baixar e executar o HijackThis, entender sua saída e corrigir com segurança os problemas detectados.

Como usar o HijackThis

O HijackThis pode ser baixado como um arquivo executável independente ou como um instalador. O aplicativo independente permite salvar e executar o HijackThis.exe de qualquer pasta desejada, enquanto o instalador instala o HijackThis em um local específico e cria atalhos na área de trabalho para este executável. Ao usar a versão autônoma, você não deve executá-la a partir da pasta Arquivos Temporários da Internet, pois sua pasta de backup não será salva após fechar o programa. Para evitar a exclusão de backups, salve o arquivo executável em uma pasta específica antes de executá-lo. Recomendamos usar o instalador do HijackThis porque ele se tornou a forma padrão de usar o software e fornece um local seguro para backups do HijackThis. O uso do instalador garante um gerenciamento eficiente de arquivos e facilita futuras atualizações de software.

O primeiro passo é baixar o HijackThis para o seu computador em um local onde você possa encontrá-lo novamente. HijackThis é uma poderosa ferramenta de verificação para detectar e remover malware, spyware e outras ameaças que podem afetar o desempenho do seu sistema. Você pode baixar o HijackThis no seguinte link: (insira o link aqui). Certifique-se de baixar o software de uma fonte confiável para evitar malware em potencial. Após o download, siga as instruções na tela para instalar ou executar o software. Recomenda-se a leitura do guia do usuário para compreender totalmente como usar o software e seus recursos.

Tutorial e guia do HijackThis

Algumas chaves de registro importantes no Internet Explorer: HKLMSoftwareMicrosoftInternet ExplorerPrincipal,Página inicial
HKCUSoftwareMicrosoftInternet ExplorerPrincipal: Página inicial
HKLMSoftwareMicrosoftInternet ExplorerMain: Default_Page_URL (URL da página padrão nas configurações do sistema)
HKCUSoftwareMicrosoftInternet ExplorerMain: Default_Page_URL (o URL da página padrão nas configurações do usuário atual)
HKLMSoftwareMicrosoftInternet ExplorerPrincipal: Página de pesquisa
HKCUSoftwareMicrosoftInternet ExplorerPrincipal: Página de pesquisa
HKCUSoftwareMicrosoftInternet ExplorerSearchURL: (Padrão) (URL de pesquisa padrão)
HKCUSoftwareMicrosoftInternet ExplorerPrincipal: Título da janela
HKCUSoftwareMicrosoftWindowsCurrentVersionConfigurações da Internet: ProxyOverride
HKCUSoftwareMicrosoftAssistente de conexão com a Internet: ShellNext
HKCUSoftwareMicrosoftInternet ExplorerPrincipal: Barra de pesquisa
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks (extensões de pesquisa do Internet Explorer)
HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = (Personalizar pesquisa nas configurações do sistema)
HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch (personalizar pesquisa nas configurações do usuário atual)
HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant (Assistente de pesquisa nas configurações do sistema)
Entrada de exemplo R0 – HKCUSoftwareMicrosoftInternet ExplorerPrincipal,Página inicial = http://www.google.com/

Uma pergunta comum é o que significa a palavra “ilegível” ao lado de uma dessas entradas. Quando algo é confuso, significa que é difícil de entender ou compreender. No contexto do spyware, isso significa que o spyware ou sequestrador esconde uma entrada que ele fez, convertendo valores em outra forma que ele entende facilmente, mas que é difícil de ser reconhecida pelos humanos, como adicionar entradas a um registro em hexadecimal. Esta é apenas mais uma forma de ocultar a sua presença e dificultar a sua remoção. A distorção é comumente usada por malware para ocultar suas atividades maliciosas.

Se você não reconhece para qual site R0 ou R1 aponta e deseja alterá-lo, você pode usar o HijackThis para reparar essas entradas com segurança, pois elas não prejudicarão a instalação do Internet Explorer. Se quiser saber o que são esses sites, você pode visitá-los e, se contiverem muitos pop-ups e links suspeitos, quase sempre poderá excluí-los. É importante observar que se R0/R1 se referir a um arquivo e você reparar a entrada com HijackThis, o HijackThis não excluirá esse arquivo específico e você terá que excluí-lo manualmente. A remoção de entradas de registro desconhecidas é uma etapa importante na limpeza do sistema contra malware.

Existem algumas entradas R3 que terminam com um sublinhado (_). Um exemplo de como é:

R3 – URLSearchHook: (sem nome) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ – (sem arquivo)

Observe que o CLSID, os números entre { }, tem _ no final e às vezes pode ser difícil de remover usando o HijackThis. Para corrigir isso, você precisará excluir manualmente a entrada de registro atribuída acessando a seguinte chave:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks

Em seguida, exclua a entrada CLSID da qual deseja remover. Deixe o CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, como está, pois é a entrada padrão correta. Compreender a estrutura de URLSearchHooks é crucial para gerenciar com eficácia as extensões de pesquisa do Internet Explorer.

A menos que você reconheça o software usado como UrlSearchHook, geralmente você deve pesquisar no Google e, depois de fazer alguma pesquisa, deixar o HijackThis corrigi-lo. A busca por CLSIDs desconhecidos é essencial para determinar se eles são maliciosos ou não.

Seções F0, F1, F2 e F3

Estas seções abrangem aplicativos carregados a partir de arquivos .INI, system.ini e win.ini, no Windows ME e anteriores, ou em seus locais equivalentes no registro para versões do Windows NT. As versões do Windows NT são XP, 2000, 2003 e Vista. Estas seções fornecem informações sobre os processos de inicialização do sistema.

A entrada F0 corresponde a uma declaração Shell =, dentro da seção [Bota], no arquivo System.ini. A frase é usada Shell = No arquivo system.ini, especifique o programa que atuará como interface de usuário para o sistema operacional. Compreender a função da instrução shell= é crucial para gerenciar o processo de inicialização do Windows.

Exemplo de lista: F0 – system.ini:shell=Explorer.exe badprogram.exe
Arquivos usados: c:windowssystem.ini

O “shell” é o programa responsável por carregar o desktop, gerenciar janelas e permitir ao usuário interagir com o sistema. Qualquer programa listado após “shell” será carregado quando o Windows for iniciado e executado como o “shell” padrão. Costumava haver alguns programas que serviam como alternativas válidas ao “Shell”, mas geralmente não são mais usados. Windows 95, 98 e ME usaram Explorer.exe como “shell” padrão. Enquanto o Windows 3.X usava Progman.exe como seu “shell”. Também é possível listar outros programas para serem executados quando o Windows carrega na mesma linha shell=, como shell=explorer.exe badprogram.exe. Esta linha iniciará ambos os programas quando o Windows for carregado. Isso é importante no contexto da segurança do sistema, pois o malware pode se inserir em um shell para ser executado automaticamente, o que é conhecido como “sequestro de shell”.

A entrada F1 corresponde a uma entrada Corre= أو Carregar = No arquivo win.ini. Assim como o arquivo system.ini, o arquivo win.ini normalmente é usado apenas no Windows ME e versões anteriores. Essas entradas são usadas para configurar programas para serem iniciados automaticamente na inicialização do sistema e fazem parte do mecanismo de gerenciamento de inicialização em versões mais antigas do Windows.

Exemplo de menu de reprodução automática F1 – win.ini: load=bad.pif F1 – win.ini: run=evil.pif
Arquivos usados: c:windowswin.ini

Todos os programas listados após “run=” ou “load=” são iniciados quando o Windows é iniciado. Esta instrução “run=” foi usada em todo o Windows 3.1, 95 e 98 e foi mantida para compatibilidade com versões anteriores de software mais antigo. A maioria dos programas modernos não usa essa configuração ini e, se você não estiver usando um programa antigo, poderá suspeitar de malware. A frase “load=” foi usada para carregar drivers de dispositivos. Em sistemas Windows NT (como Windows 2000, XP, etc.), o HijackThis exibirá as entradas em win.ini e system.ini, mas os sistemas Windows NT não executarão os arquivos listados ali. Isso é importante para a segurança do sistema e deve ser monitorado.

As entradas F2 e F3 correspondem aos locais equivalentes de F0 e F1, mas são armazenadas no registro do sistema para versões do Windows XP, 2000 e NT. Essas versões do Windows não usam arquivos system.ini e win.ini. Em vez disso, para compatibilidade com versões anteriores, ele usa uma função chamada IniFileMapping. O IniFileMapping coloca todo o conteúdo do arquivo .ini no registro do sistema, com chaves para cada linha da chave .ini armazenada lá. Então, quando você executa um programa que normalmente lê suas configurações de um arquivo .ini, ele primeiro verificará a chave de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping para um mapeamento .ini e, se for encontrado, lerá as configurações de lá. Você pode ver que essas entradas, nos exemplos abaixo, apontam para o registro do sistema porque ele conterá o REG e depois o arquivo .ini para o qual o IniFileMapping aponta. Este mecanismo é importante para entender como funciona a execução de programas em segundo plano.

As entradas F2 são exibidas quando há um valor que não está na lista de permissões ou é considerado inseguro na chave de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Dentro dos dois valores concha و userinit. É recomendável revisar essas entradas regularmente para garantir a integridade do sistema e evitar a infiltração de malware.

Listar exemplos: F2 – REG:system.ini:UserInit=userinit,nddeagnt.exe
F2 – REG:system.ini:shell=explorer.exe beta.exe
Chaves de registro: HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonShell

Equivalente a um valor de registro concha Trabalho Shell = no arquivo system.ini Como mostrado acima. Especifica um valor userinit O programa que deve ser executado imediatamente após o usuário fazer login no Windows. O programa padrão para esta chave é C: windowssystem32userinit.exe. Preparar Userinit.exe Um programa que recupera seu perfil, fontes, cores, etc. para seu nome de usuário. É possível adicionar mais programas para serem executados a partir desta chave separando os programas por vírgula. Por exemplo: HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit =C:windowssystem32userinit.exe,c:windowsbadprogram.exe. Isso executará ambos os programas quando você fizer login, que é um local comum para a execução de cavalos de Tróia, sequestradores e spyware. Deve-se notar que as entradas userinit و concha F2 só aparecerá no HijackThis se houver um valor que não esteja na lista de permissões.

As entradas F3 são exibidas quando há um valor não incluído na lista de permissões na chave de registro HKCUrsoftwareMicrosoftWindows NTCurrentVersionWindows Dentro do meu valor carregar و corrida. Essas entradas são equivalentes no Windows NT daquelas nas entradas F1 conforme descrito acima. Essas chaves são usadas para configurar programas de inicialização automática e representam uma vulnerabilidade de segurança que spyware e vírus podem explorar.

Exemplo de uma lista O1 – Hosts: 192.168.1.1 www.google.com

Arquivos usados: Um arquivo Hosts é um arquivo de texto que pode ser editado usando qualquer editor de texto. Por padrão, ele é armazenado nos seguintes caminhos para cada sistema operacional, a menos que sejam escolhidos caminhos de instalação diferentes. O arquivo Hosts é usado para mapear nomes de host (como www.google.com) para endereços IP específicos (como 192.168.1.1). Isso permite ignorar o Sistema de Nomes de Domínio (DNS) e rotear o tráfego de rede diretamente para o endereço IP especificado. Isso é útil para fins de desenvolvimento, teste e resolução de problemas de rede, bem como para bloquear sites maliciosos. Os caminhos dos arquivos hosts variam dependendo do sistema operacional:

Sistema operacional
الموقع
Windows 3.1 C: WINDOWSHOSTS
Windows 95 C: WINDOWSHOSTS
Windows 98 C: WINDOWSHOSTS
Windows ME C: WINDOWSHOSTS
Windows XP C: WINDOWSSYSTEM32DRIVERSETCHOSTS
Windows NT C:WINNTSYSTEM32DRIVERSETCHOSTS
Windows 2000 C:WINNTSYSTEM32DRIVERSETCHOSTS
Windows 2003 C: WINDOWSSYSTEM32DRIVERSETCHOSTS

A localização do arquivo Hosts pode ser alterada modificando a chave de registro abaixo para sistemas Windows NT/2000/XP. O arquivo Hosts é usado para mapear nomes de host para endereços IP, permitindo ignorar o Sistema de Nomes de Domínio (DNS).

Chave de registro: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters:DatabasePath

Se você encontrar entradas como o exemplo acima e elas não estiverem lá por um motivo específico que você conhece, você poderá removê-las com segurança. Estas entradas desconhecidas podem indicar a presença de malware ou spyware.

Se você vir uma entrada que diz que o arquivo Hosts está localizado em C:WindowsHelphosts، Isso significa que o seu dispositivo está infectado com o spyware CoolWebSearch. Se o arquivo Hosts estiver localizado em um local diferente do local padrão do seu sistema operacional (veja a tabela acima), você deve usar a ferramenta HijackThis para corrigir isso, pois provavelmente é causado por uma infecção por malware. HijackThis é uma ferramenta útil para analisar e identificar problemas relacionados a malware.

Você também pode baixar um programa HostsXpert O que lhe dá a capacidade de restaurar o arquivo Hosts padrão no seu dispositivo. Para fazer isso, baixe e execute HostsXpert. Ao abrir, clique no botão Restaure o arquivo Hosts originale saia do HostsXpert. Recomenda-se usar este software para corrigir quaisquer modificações não autorizadas no arquivo Hosts.

Seção de O2

Esta seção corresponde aos Objetos Auxiliares do Navegador (BHOs).

Os objetos auxiliares do navegador são extensões do seu navegador que ampliam sua funcionalidade. Eles podem ser usados ​​por spyware e também por programas legítimos, como a Barra de Ferramentas Google e o Adobe Acrobat Reader. Você deve fazer sua pesquisa ao decidir se deseja ou não remover algum desses objetos, pois alguns deles podem ser legítimos. Recomenda-se revisar regularmente a lista de BHOs ​​instalados para garantir que não haja nenhum malware presente.

Chaves de registro: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerObjetos auxiliares do navegador

Exemplo de restrição O2 – BHO: Norton Antivirus Navigation Assistant – {BDF3E430-B101-42AD-A544-FADC6B084872} – C:Arquivos de programasNorton AntivirusNavShExt.dll

Uma lista abrangente de CLSIDs conhecidos associados a utilitários e barras de ferramentas do navegador, compilada por Tony Klein, está disponível aqui: Lista de CLSIDs. Ao retornar à lista, use o CLSID, que é o número entre colchetes na entrada. O CLSID na restrição refere-se a entradas de registro que contêm informações sobre utilitários ou barras de ferramentas do navegador. Essas entradas também são conhecidas como Objetos Auxiliares do Navegador (BHO).

Ao reparar esses tipos de entradas usando o HijackThis, o HijackThis tentará excluir o arquivo problemático listado. Às vezes, o arquivo pode estar em uso mesmo se o Internet Explorer estiver fechado. Se o arquivo ainda estiver lá após ser reparado com o HijackThis, é recomendável reiniciar o computador no modo de segurança e excluir o arquivo com problema. Isso pode exigir privilégios de administrador.

Seção de O3

Esta seção corresponde às barras de ferramentas do Internet Explorer. Faz parte da análise do log do HijackThis.

Estas são as barras de ferramentas localizadas abaixo da barra de navegação e menu do Internet Explorer. Essas barras são usadas para fornecer funcionalidades e atalhos adicionais.

Chaves de registro: HKLMSOFTWAREMicrosoftInternet ExplorerToolbar Este caminho contém configurações de registro para barras de ferramentas do Internet Explorer.

Exemplo de inserção O3 – Barra de ferramentas: Norton Antivirus – {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} – C:Arquivos de programasNorton AntivirusNavShExt.dll

Uma lista abrangente de CSLIDs associados aos itens de ajuda e barras de ferramentas do navegador, compilada por Tony Klein, está disponível aqui: Lista CSLID . Ao retornar à lista, use o CSLID, que é o número entre chaves na listagem. O CSLID na listagem indica entradas de registro que contêm informações sobre “itens de ajuda do navegador” ou barras de ferramentas. Quando esses tipos de entradas são corrigidos, o HijackThis não excluirá o arquivo ofensivo listado. Recomenda-se reiniciar no modo de segurança e excluir o arquivo incorreto manualmente. Manter esses arquivos DLL pode causar problemas de desempenho ou vulnerabilidades de segurança.

Seção de O4

Esta seção corresponde a determinadas chaves de registro e pastas de inicialização usadas para iniciar automaticamente um aplicativo quando o Windows é iniciado. As teclas O4 são as entradas HJT que a maioria dos programas utiliza para automação, portanto deve-se ter muito cuidado ao verificar essas chaves. As chaves de registro e locais de diretório do O4 estão listadas abaixo e se aplicam, em sua maior parte, a todas as versões do Windows. Gerenciar itens de inicialização é crucial para melhorar o desempenho do sistema e impedir a execução automática de malware.

A partir do HijackThis 2.0, o HijackThis também listará as entradas de outros usuários que estão ativamente conectados ao computador no momento da verificação, lendo informações da chave de registro HKEY_USERS. Se o usuário não estiver logado no momento da verificação, sua chave de usuário não será carregada e, portanto, o HijackThis não listará suas automações. Ao trabalhar com logs do HijackThis, não é recomendado usar o HijackThis para reparar entradas no log de uma pessoa quando o usuário tiver várias contas conectadas. Recomendamos isso porque as operações de outros usuários podem entrar em conflito com as correções que solicitamos ao usuário para executar. A análise dos logs do HJT pode revelar processos de automação maliciosos ou desnecessários.

Os locais atuais dos quais as entradas O4 são listadas são:

Sites de diretório:

Pasta de inicialização do usuário: Todos os arquivos localizados na pasta Inicialização são listados no menu Iniciar do usuário como O4 – inicialização. Nas versões mais recentes do Windows, esta pasta está localizada em C: Documentos e configurações NOME DO USUÁRIO Menu Iniciar Programas Inicialização Ou dentro C:UsersUSERNAMEAppDataRoamingMicrosoftWindowsMenu Iniciar No Vista. Essas entradas serão executadas quando o usuário especificado fizer logon no computador. Essa pasta também é conhecida como pasta Autostart do usuário e é usada para iniciar programas quando o Windows é iniciado.

Pasta de inicialização para todos os usuários: Esses itens indicam quais aplicativos são carregados, localizados na pasta Inicializar no menu Iniciar para todos os usuários e serão listados como O4 – Inicialização geral. Nas versões mais recentes do Windows, esta pasta está localizada em C: Documentos e configuraçõesTodos os usuáriosMenu IniciarProgramasInicialização Ou dentro C:ProgramDataMicrosoftWindowsMenu IniciarProgramasInicialização No Vista. Essas entradas serão executadas sempre que qualquer usuário fizer logon no computador. Esta pasta é para programas que devem ser executados em todas as contas de usuário do dispositivo.

Chaves de registro de inicialização: As entradas O4 que usam chaves de registro começam com a chave de atalho do registro na lista de entradas. Exemplos e suas descrições podem ser vistos abaixo. Para todas as chaves mencionadas abaixo, se a chave estiver em HKCU, significa que o programa será executado somente quando aquele usuário específico estiver conectado ao computador. Se a entrada estiver em HKLM, o programa será executado para todos os usuários que fizerem login no computador. Essas chaves de registro são usadas para gerenciar a inicialização e configuração de programas no Windows.

Nota: Na lista abaixo, HKLM significa HKEY_LOCAL_MACHINE e HKCU significa HKEY_CURRENT_USER. Esses são os dois caminhos principais para chaves de registro relacionadas à inicialização.

Chaves são usadas Execute Para iniciar automaticamente um programa quando um usuário, ou todos os usuários, fizerem login no dispositivo. Essas chaves permitem um controle refinado sobre os processos de inicialização e podem ser usadas para iniciar programas ou executar comandos quando o Windows é iniciado.

Chaves de execução:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun (para todos os usuários)
HKCUSoftwareMicrosoftWindowsCurrentVersionRun (para o usuário atual)

Chaves são usadas RunOnce Para iniciar um serviço ou processo em segundo plano quando um usuário ou todos os usuários fazem logon no computador. Essas chaves são usadas apenas uma vez. Depois que o programa for executado com êxito pela primeira vez, sua entrada será removida do registro do sistema para que não seja executado novamente em logins subsequentes. Isso é útil para instalar software, aplicar atualizações ou definir configurações que precisam ser executadas apenas uma vez após o login do usuário. Observe a diferença entre as chaves Execute Que inicia programas sempre que você faz login e chaves RunOnce Que executa programas apenas uma vez.

Chaves RunOnce:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

Chaves são usadas RunServices Para iniciar um serviço ou processo em segundo plano quando um ou todos os usuários fazem logon no computador. Essas chaves fazem parte do registro do Windows, um banco de dados hierárquico que contém definições de configuração para o sistema operacional Windows e aplicativos. As chaves RunServices são usadas para garantir que programas e serviços importantes sejam iniciados automaticamente quando o sistema for inicializado. Administradores e usuários podem configurar essas chaves para gerenciar processos de inicialização. HKLM…RunServices refere-se à chave RunServices em HKEY_LOCAL_MACHINE, que se aplica a todos os usuários, enquanto HKCU…RunServices refere-se à chave em HKEY_CURRENT_USER, que se aplica apenas ao usuário atual. O uso indevido dessas chaves por malware pode iniciar automaticamente processos maliciosos. Portanto, é necessário ter cuidado ao modificar essas chaves.

Chaves RunServices:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices

Chaves são usadas RunServicesOnce Para iniciar um serviço ou processo em segundo plano quando um ou todos os usuários fazem logon no computador. Ao contrário das chaves RunServices, quando um programa é executado a partir da chave RunServicesOnce, sua entrada é removida do registro para que não seja executado novamente em logins subsequentes. Isso garante que o serviço ou processo seja executado apenas uma vez quando o sistema for iniciado. As chaves RunServicesOnce normalmente são usadas para instalar software ou executar tarefas de configuração únicas. As chaves RunServices e RunServicesOnce estão localizadas no registro do Windows, especificamente em HKLM (Chave de Máquina Local) para todos os usuários e Hkcu (chave do usuário atual) para o usuário atual. Usuários avançados e administradores de sistema podem usar essas chaves para gerenciar processos de inicialização e configurar o ambiente do sistema.

Chaves RunServicesOnce:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

Chaves são usadas ExecutarOnceEx Para iniciar um programa apenas uma vez, ele será automaticamente removido do registro do sistema. Esta chave é usada especificamente por programas de instalação ou atualização. O uso da chave RunOnceEx é uma parte essencial do software Windows e do processo de instalação de atualização, garantindo que as tarefas necessárias sejam executadas apenas uma vez após a reinicialização do sistema ou login do usuário. Isso pode incluir definir configurações, registrar componentes do sistema ou aplicar alterações de configuração. A diferença entre as chaves RunOnceEx e RunServicesOnce é que a última é usada para iniciar serviços, enquanto RunOnceEx é usada para iniciar aplicativos e programas. Usuários avançados podem acessar o Registro para verificar e gerenciar essas chaves, mas é aconselhável extremo cuidado ao modificar o Registro para evitar problemas no sistema.

Chave RunOnceEx:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

Chaves são usadas PolíticasExplorerRun No registro do Windows, os administradores de rede devem definir as configurações de Política de Grupo que executam automaticamente um programa quando um usuário, ou todos os usuários, fazem logon em um computador. As chaves PolicyExplorerRun contêm uma sequência de valores, incluindo o nome do programa como seus dados. Quando um usuário, ou todos os usuários, fazem logon no computador, cada valor da tecla Executar é executado e os programas correspondentes são executados. Isso é especialmente útil em ambientes corporativos para gerenciar aplicativos de inicialização e implementar software necessário, como antivírus ou ferramentas de monitoramento de sistema. Deve-se observar que o uso indevido dessas chaves pode levar a problemas de desempenho ou até mesmo vulnerabilidades de segurança, portanto, os administradores de sistema devem ter cuidado ao configurá-las. Para obter mais informações sobre o gerenciamento de Política de Grupo, consulte a documentação oficial da Microsoft.

Teclas de atalho nas políticas do Explorer:
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

Para obter uma lista completa de outros locais de inicialização do Windows que o HijackThis pode não incluir necessariamente, visite o seguinte link: Por onde começar a inicialização automática de aplicativos do Windows. Esses sites são essenciais para entender como gerenciar a inicialização de programas e melhorar o desempenho do sistema, pois permitem controlar quais programas são executados automaticamente quando o computador é inicializado.

Você pode ver um exemplo do menu O4 do HijackThis abaixo. Este módulo ajuda você a entender como analisar o log de inicialização e detectar software malicioso ou indesejado que pode ser iniciado automaticamente com o sistema. O menu O4 é útil para diagnosticar problemas de inicialização e identificar programas que estão causando lentidão no desempenho do sistema.

Exemplo de inserção O5 – control.ini: inetcpl.cpl = não

Se você vir uma linha como a acima, pode ser um sinal de que um programa está tentando impedir que você altere suas configurações. A menos que exista por um motivo específico conhecido, como o seu administrador definiu esta política ou o Spybot – Search & Destroy definiu esta restrição, você pode usar a ferramenta HijackThis para corrigi-lo. Isso geralmente indica uma tentativa maliciosa de controlar as configurações do navegador da Internet e é importante resolver isso para manter a segurança do sistema.

Seção O6: Configurações seguras do Internet Explorer

Esta seção corresponde a um bloqueio administrativo para alterar as opções ou a página inicial do Internet Explorer alterando determinadas configurações no registro do sistema. Esse tipo de segurança é normalmente usado em ambientes corporativos ou educacionais para impedir que os usuários modifiquem as configurações do navegador e ajuda a manter a consistência e a segurança. Esse bloqueio normalmente impede o acesso às opções da Internet, limitando a capacidade dos usuários de alterar configurações importantes.

Chave de registro: HKCUSoftwarePolíticasMicrosoftInternet ExplorerRestrições

Exemplo de uma lista O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrições

Essas opções aparecem apenas se o administrador do sistema as tiver definido intencionalmente ou se você tiver usado os recursos e opções de bloqueio da página inicial do Spybot no Situação -> modo avançado -> Ferramentas -> Configurações do Internet Explorer. Observe que essas configurações foram projetadas para proteger seu navegador e evitar alterações não autorizadas e são normalmente usadas em ambientes corporativos ou educacionais.

Seção O7: Impedir a execução do Editor do Registro

Esta seção trata de impedir que o Editor do Registro (Regedit) seja iniciado alterando uma entrada no registro do sistema. Esta é uma medida de segurança e é frequentemente usada para evitar que usuários não autorizados modifiquem configurações confidenciais do sistema.

Chave de registro: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Exemplo de inserção O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem: DisableRegedit=1

Observe que muitos administradores de sistema de escritório bloqueiam intencionalmente essa configuração, portanto, usar o HijackThis para corrigi-la pode ser uma violação da política da empresa. Se você é um administrador de sistema e esta configuração foi habilitada sem sua permissão, use o HijackThis para corrigir o problema. Revise as políticas da sua empresa antes de fazer qualquer alteração nas configurações do sistema.

Seção O8: Corrigir problemas de menu de contexto no Internet Explorer

Esta seção corresponde a itens adicionais no menu de contexto (o menu que aparece quando você clica com o botão direito) no Internet Explorer. Esses itens adicionais podem incluir spyware, malware ou complementos indesejados. HijackThis fornece informações sobre esses itens para ajudá-lo a determinar se eles são legítimos ou não.

Chave de registro: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt Esta chave é usada para armazenar configurações do menu de contexto no Internet Explorer. O conteúdo desta chave pode ser analisado para determinar quais programas e extensões modificaram o menu de contexto.

Exemplo de inserção O8 – Item adicional no menu de contexto: Google Search – &Google Search – res://c:windowsGoogleToolbar1.dll/cmsearch.html

Cada entrada do O8 representa uma opção de menu que aparece quando você clica com o botão direito no Internet Explorer. O programa mencionado na entrada será executado quando esta opção for selecionada. Alguns programas, como o Browser Pal, devem sempre ser removidos, enquanto outros devem ser pesquisados ​​no Google. Um exemplo de programa legítimo que você pode encontrar aqui é a Barra de Ferramentas Google. Isso afeta o menu de contexto do navegador da Internet e a presença de software desconhecido pode indicar a presença de malware ou spyware.

Ao reparar esses tipos de entradas, o HijackThis não exclui o arquivo listado na entrada. Se você precisar excluir este arquivo, é recomendável reiniciar o computador em modo de segurança e excluir o arquivo de lá. A exclusão de alguns arquivos associados ao O8 pode exigir privilégios de administrador.

Seção O9

Esta seção corresponde aos botões da barra de ferramentas principal do Internet Explorer ou aos itens do menu Ferramentas do Internet Explorer que não fazem parte da instalação padrão. Esses complementos podem incluir barras de ferramentas ou extensões de navegador. É recomendável que você analise cuidadosamente esses complementos para garantir que sejam legítimos e não malware ou spyware.

Chave de registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensões. Esta chave contém informações sobre extensões do navegador Internet Explorer. Verificar esta chave pode ajudá-lo a identificar extensões indesejadas ou maliciosas.

Entrada de exemplo O9 – Botão adicional: AIM (HKLM)

Se você não precisar desses botões ou itens de menu ou suspeitar que sejam malware, poderá removê-los com segurança.

Quando esses tipos de entradas são reparados, o HijackThis não excluirá o arquivo problemático listado. Recomenda-se reiniciar no modo de segurança e excluir manualmente o arquivo com problema.

Seção O10: Verificação e análise do Winsock

Esta seção corresponde a **Winsock Hijacking** ou também conhecido como LSP (Layered Service Provider). LSP é uma forma de encadear um programa com o aplicativo Winsock 2 em seu computador. Como os LSPs estão encadeados, quando você usa o Winsock, os dados também são transferidos por meio de cada LSP da cadeia. Spyware e software de sequestro podem usar LSPs para ver todo o tráfego transmitido pela sua conexão com a Internet. A varredura O10 do HijackThis visa detectar provedores de camadas suspeitas que podem afetar o desempenho da Internet ou representar uma ameaça à segurança.

Você deve ter muito cuidado ao excluir esses itens. Se o LSP for removido sem reparar adequadamente a lacuna na cadeia, poderá resultar na perda de acesso à Internet. Portanto, é recomendável usar ferramentas especializadas para gerenciar LSPs em vez de excluí-los manualmente por meio do HijackThis para evitar problemas de conexão.

Exemplo de uma lista O10 – Conexão com a Internet interrompida devido à falta do provedor LSP 'spsublsp.dll'

Muitos programas antivírus iniciam a verificação de vírus, cavalos de Tróia, etc. no nível Winsock. O problema é que muitos deles não recriam os LSPs na ordem correta após excluir o LSP malicioso. Isso pode fazer com que o HijackThis veja um problema e emita um aviso, que pode ser semelhante ao exemplo acima, mesmo que a Internet ainda esteja funcionando. Portanto, você deve procurar aconselhamento de um usuário experiente ao corrigir esses erros. Também é recomendado usar LSPFix, veja link abaixo, para consertar. Este erro às vezes é conhecido como “Erro do provedor LSP” ou “Erro Winsock LSP”.

lata Robô espião Esse problema geralmente é corrigido, mas certifique-se de ter a versão mais recente, pois as versões mais antigas apresentavam problemas. Existe uma ferramenta projetada para esse tipo de problema que talvez seja melhor usar, chamada LSPFix. Para obter uma grande lista de LSPs e se eles são válidos ou não, você pode visitar Página de listagem LSP do SystemLookup. Esses recursos ajudam a solucionar erros do Winsock.

Seção de O11

Esta seção corresponde a um conjunto de opções não padrão que foram adicionadas ao Guia de opções avançadas Em Opções da Internet no Internet Explorer. Esta seção permite personalizar configurações avançadas do navegador.

Se você procurar nas Opções da Internet o Internet Explorer, verá a guia Opções avançadas. É possível adicionar uma entrada em uma chave de registro para que um novo grupo apareça lá. A modificação desta chave afeta o comportamento do Internet Explorer.

Chave de registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions Esta chave é usada para adicionar opções avançadas personalizadas ao Internet Explorer.

Exemplo de inserção O11 – Conjunto de opções: [CommonName] CommonName

De acordo com Merijn, o desenvolvedor do HijackThis, existe apenas um programa de sequestro conhecido que usa isso e é o CommonName. Se você vir CommonName na lista, poderá removê-lo com segurança. Se for outra entrada, você deve pesquisar no Google para fazer alguma pesquisa. Aconselha-se cautela ao remover quaisquer entradas desconhecidas do registro do sistema.

Seção de O12

Esta seção está em conformidade com Extensões do Internet Explorer. As extensões do Internet Explorer são programas carregados quando você inicia o Internet Explorer para adicionar funcionalidade ao navegador. Eles também são conhecidos como “complementos” ou “plug-ins”.

Existem muitas extensões legítimas disponíveis, como visualizadores de PDF e visualizadores de imagens não padrão. Essas extensões ajudam a melhorar sua experiência de navegação, fornecendo suporte para diferentes tipos de conteúdo e mídia. No entanto, algumas extensões maliciosas podem ser usadas para espionar sua atividade online ou danificar seu computador. Portanto, é importante ter cuidado ao instalar novas extensões.

Chave do registro: HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins Esta chave armazena informações sobre todas as extensões do Internet Explorer instaladas em seu sistema. Você pode acessar essa chave através do Editor do Registro.

Exemplo de inserção Extensão para .PDF: C:Arquivos de ProgramasInternet ExplorerPLUGINSnppdf32.dll

A maioria das extensões é legítima, então você deve pesquisá-las no Google se não as reconhecer antes de excluí-las. Uma extensão bem conhecida que deve ser excluída é a extensão Onflow com a extensão .OFB. Ao reparar esses tipos de entradas usando o HijackThis, o HijackThis tentará excluir o arquivo problemático listado. Às vezes, o arquivo pode estar em uso mesmo se o Internet Explorer estiver fechado. Se o arquivo ainda estiver lá após ser reparado com o HijackThis, é recomendável reiniciar o computador no modo de segurança e excluir o arquivo com problema.

Seção O13 – Corrigir sequestro de DefaultPrefix no Internet Explorer

Esta seção corresponde ao sequestro do IE DefaultPrefix. O sequestro de DefaultPrefix é um tipo de malware que altera as configurações do navegador para direcionar os usuários a sites indesejados. Compreender como funciona o sequestro de DefaultPrefix é crucial para remover malware e proteger seu computador.

O prefixo de URL padrão é uma configuração do Windows que determina como os URLs inseridos sem um prefixo, como http://, ftp://, etc., serão tratados. Por padrão, o Windows adicionará http:// ao início, pois é o prefixo padrão do Windows. É possível alterar para um prefixo padrão de sua escolha editando o registro. O sequestrador conhecido como CoolWebSearch altera o prefixo padrão para http://ehttp.cc/?. Isso significa que quando você chama um URL, por exemplo www.google.com, você realmente se mudará para http://ehttp.cc/?www.google.com, que na verdade é o site do CoolWebSearch. Esse tipo de redirecionamento pode expor você a riscos de segurança.

Chave de registro para corrigir o sequestro de DefaultPrefix: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix

Exemplo de inserção O13 - WWW. Prefixo: http://ehttp.cc/?

Se você estiver enfrentando problemas semelhantes aos mencionados no exemplo acima, como redirecionamento do mecanismo de pesquisa ou alteração da página inicial, execute o CWShredder. Este programa foi projetado para remover todos os tipos conhecidos de CoolWebSearch que possam estar presentes no seu dispositivo. CoolWebSearch é um malware que altera as configurações do navegador e causa problemas de navegação.

Se o CWShredder não encontrar e corrigir o problema, ou se você ainda estiver enfrentando problemas como sequestro de navegador ou alteração nas configurações da Internet, você deve sempre deixar o HijackThis corrigir essa entrada quando a encontrar. HijackThis é uma ferramenta eficaz para detectar e corrigir problemas de sequestro de navegador.

Seção O14

Esta seção corresponde ao sequestro “Redefinir configurações da Web”. O sequestro de redefinição de configurações da Web ocorre quando um malware modifica o arquivo iereset.inf, redefinindo as configurações da Internet para valores comprometidos em vez das configurações padrão.

Há um arquivo em seu computador que o Internet Explorer usa para redefinir as opções para seus padrões no Windows. Este arquivo é armazenado em c:windowsinfiereset.inf e contém todas as configurações padrão que serão usadas. Quando você redefine uma configuração, o Internet Explorer lê esse arquivo e altera a configuração específica para o que está indicado no arquivo. Se um programa sequestrador alterar as informações deste arquivo, você será infectado novamente ao redefinir essa configuração, pois o Internet Explorer lerá as informações incorretas do arquivo iereset.inf. Isso permite que o malware permaneça no seu dispositivo mesmo depois de você tentar redefinir as configurações do navegador.

Exemplo de uma lista O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com (Redefinir página inicial no Internet Explorer)

Esteja ciente de que esta configuração pode ter sido alterada legitimamente pelo fabricante do seu computador ou administrador do dispositivo. Se você não reconhece o endereço, você deve corrigi-lo. Certifique-se de que a página inicial exibida seja aquela que você deseja evitar ser redirecionado para sites maliciosos ou indesejados.

Seção O15: Configurações de segurança no Internet Explorer (zonas confiáveis ​​e configurações de protocolo padrão)

Esta seção corresponde aos sites ou endereços IP na zona Sites Confiáveis ​​e às configurações padrão do Protocolo da Internet no Internet Explorer. Compreender essas configurações é fundamental para manter seu computador seguro.

Zona confiável

A segurança do Internet Explorer é baseada em um conjunto de zonas. Cada zona possui um nível de segurança diferente em termos de scripts e aplicativos que podem ser executados a partir de um local nessa zona. Existe uma zona de segurança chamada “Zona Confiável”. Esta zona tem o nível mais baixo de segurança e permite que scripts e aplicativos sejam executados em sites desta zona sem o seu conhecimento. Portanto, é uma configuração comum usada por sites de malware para que futuros hacks possam ser realizados em seu computador sem o seu conhecimento, pois esses sites estarão na zona confiável. Recomendamos que você revise regularmente os sites listados nesta área e remova completamente todos os sites nos quais não confia para reduzir o risco de exposição a malware e outras ameaças à segurança. Você deve ter muito cuidado ao adicionar sites à zona confiável.

Chaves de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZoneMapDomains
(Chave de registro do sistema: usada para definir configurações de zona de segurança para sites em todo o sistema.)
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZoneMapDomains
(Chave de registro do usuário atual: usada para definir configurações de zona de segurança para sites apenas para o usuário atual.)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZoneMapRanges
(Chave de registro do sistema: usada para definir configurações de zona de segurança para intervalos de endereços IP de todo o sistema.)
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZoneMapRanges
(Chave de registro do usuário atual: usada para definir configurações de zona de segurança apenas para os intervalos de endereços IP do usuário atual.)
Exemplo de uma lista O15 – Zona confiável: https://www.bleepingcomputer.com
O15 – Faixa de IP confiável: 206.161.125.149
O15 – Faixa de IP confiável: 206.161.125.149 (HKLM)

A chave que o Internet Explorer utiliza, seja Domínios ou Intervalos, é determinada pela URL que o usuário está tentando acessar. Se o URL contiver um nome de domínio, ele pesquisará uma correspondência nas subchaves de Domínios. Se contiver um endereço IP, ele procurará uma correspondência nas subchaves Ranges. Quando você adiciona domínios como site confiável ou site restrito, um valor é atribuído para indicar isso. Se o valor estiver definido *=4Este domínio será inserido na área Sites Restritos. Se o valor estiver definido *=2, este domínio será adicionado à zona de Sites Confiáveis. Esta é uma parte essencial das configurações de segurança do Internet Explorer e afeta a forma como o navegador lida com diferentes sites.

Adicionar um endereço IP é um pouco diferente. Na chave SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapRanges, você pode encontrar outras chaves chamadas Ranges1, Ranges2, Ranges3, Ranges4, etc. Cada uma dessas subchaves corresponde a uma zona/protocolo de segurança específico. Se você adicionar um endereço IP a uma zona de segurança, o Windows criará uma subchave começando com Ranges1 e atribuirá essa subchave para conter todos os endereços IP de uma determinada zona de segurança para um determinado protocolo. Por exemplo, se você adicionar http://192.168.1.1 como local confiável, o Windows criará a primeira chave de intervalos disponível (Ranges1) e adicionará o valor http=2. Quaisquer endereços IP confiáveis ​​futuros começando com http:// serão adicionados à chave Range1. Agora, se você adicionar um endereço IP a sites restritos ao protocolo http (como http://192.16.1.10), o Windows criará outra chave em ordem sequencial, chamada Range2. Seu valor será http=4, e quaisquer endereços IP futuros adicionados a sites restritos serão colocados nesta chave. Isso continua para cada combinação de configurações de protocolo e zona de segurança. Este mecanismo garante que a segurança da Internet seja gerenciada de forma eficaz.

Se você vir algum domínio ou endereço IP listado aqui, geralmente deverá removê-lo, a menos que o URL seja bem conhecido, como o que sua empresa usa. A lista mais comum que você encontrará aqui é free.aol.com, que você pode corrigir se desejar. Pessoalmente, removo todas as entradas da zona confiável porque, em última análise, são desnecessárias. Padrões de protocolo Define configurações padrão para diferentes protocolos.

Quando você usa o Internet Explorer para se conectar a um site, as permissões de segurança concedidas a esse site são determinadas pela zona à qual ele pertence. Existem 5 zonas, cada uma associada a um número de identificação específico. Essas zonas e seus números associados são: Essas zonas afetam o nível de acesso que os sites têm permissão aos recursos do computador.

المنطقة Defina a região
meu computador
0
Intranet
1
Sites confiáveis
2
الإنترنت
3
Sites restritos
4

Cada protocolo usado para se conectar a um site, como HTTP, FTP e HTTPS, é mapeado para uma dessas zonas. Esses mapeamentos ajudam a gerenciar configurações de segurança para diferentes tipos de conexões. A seguir estão os mapeamentos padrão para protocolos comuns da Internet, que determinam o nível de segurança aplicado a cada zona:

Protocolo Defina a região
HTTP
3
HTTPS
3
FTP
3
@ivt
1
concha
0

Por exemplo, se você se conectar a um site usando http://, ele fará parte da zona da Internet por padrão. Isso ocorre porque a zona HTTP padrão é 3, que corresponde à zona da Internet. O problema surge se o malware alterar o tipo de zona padrão de um protocolo específico. Por exemplo, se o malware alterar a zona HTTP padrão para 2, qualquer site ao qual você se conectar usando HTTP será considerado parte da zona confiável. Até o momento, não há nenhum malware conhecido que cause isso, mas podemos ver a situação diferente agora que o HijackThis (HJT) verifica essa chave no registro. Esta tabela mostra atribuições de zonas de segurança para vários protocolos e mostra como o malware pode alterar essas atribuições para manipular configurações de segurança, permitindo obter acesso não autorizado ao sistema. Essas informações são usadas por ferramentas de análise de malware, como o HijackThis, para identificar alterações não autorizadas nas configurações de segurança. Compreender essas atribuições de zona é fundamental para manter a segurança do sistema e proteger seus dados contra ameaças cibernéticas.

Chaves de registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZoneMapProtocolDefaults
(Essa chave de registro é usada para definir as configurações de protocolo da Internet em todo o sistema.)
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZoneMapProtocolDefaults
(Essa chave de registro é usada para definir as configurações do protocolo da Internet para o usuário atual.)

Se as configurações padrão dos protocolos da Internet, como HTTP, HTTPS e FTP, tiverem sido alteradas, você verá uma entrada no HijackThis (HJT) semelhante a esta:

Exemplo de inserção O15 – ProtocolDefaults: O protocolo 'http' está na zona confiável, deve estar na zona Internet (HKLM)

Para redefinir essas configurações para seus valores padrão, basta corrigir a entrada HijackThis (HJT).

Seção de O16

Esta seção corresponde a objetos ActiveX, também conhecidos como arquivos de programas baixados, para o Internet Explorer. Objetos ActiveX são programas baixados de sites e armazenados em seu computador. Quando você inicia o Internet Explorer, esses programas também são carregados para fornecer funcionalidades adicionais. Esses objetos são armazenados em C: arquivos de programas baixados do Windows. Eles também são referidos no registro por seu CLSID, que é a longa sequência de números entre chaves. Para encontrar uma lista de todos os CLSIDs dos componentes ActiveX instalados, você pode pesquisar na seguinte chave de registro do Windows: HKEY_LOCAL_MACHINESOFTWAREMicrosoftCode Store DatabaseDistribution Units. É importante revisar regularmente os objetos ActiveX para garantir que sejam provenientes de fontes confiáveis ​​e evitar vulnerabilidades de segurança.

Existem muitos controles ActiveX legítimos, como o exemplo mencionado que é o visualizador iPix. Este tipo de objeto é usado para exibir imagens interativas e é um exemplo de uso útil da tecnologia ActiveX. No entanto, tome cuidado com objetos ActiveX de origem desconhecida, pois eles podem representar uma ameaça à segurança.

Exemplo de uma lista O16 – DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (controlador iPix ActiveX) – http://www.ipix.com/download/ipixx.cab

Se você vir nomes ou endereços que não reconhece, pesquise no Google para verificar sua legitimidade. Se você acha que é ilegal, você pode consertar. Você não terá problemas para excluir a maioria dos itens ActiveX do seu computador, pois poderá baixá-los novamente. Esteja ciente de que alguns aplicativos corporativos usam elementos ActiveX, portanto, tome cuidado. Você deve sempre excluir entradas O16 que contenham palavras como sexo, pornografia, conexão automática, grátis, cassino, adulto, etc. Esta medida protege seu dispositivo contra malware e spyware.

Existe um programa chamado SpywareBlaster Possui um enorme banco de dados de elementos ActiveX maliciosos. Você pode baixá-lo e pesquisar em seu banco de dados elementos ActiveX conhecidos. SpywareBlaster é uma ferramenta eficaz para remover spyware e proteger seu computador. Você pode encontrar um tutorial sobre como usar o SpywareBlaster aqui:

Use o SpywareBlaster para proteger seu computador contra spyware, software sequestrador e malware. Quando as entradas O16 forem reparadas, o HijackThis tentará excluí-las do disco rígido. Normalmente, isso não seria um problema, mas às vezes o HijackThis não consegue excluir o arquivo malicioso. Neste caso, reinicie o computador em modo de segurança e exclua-o em seguida.

Seção O17

Esta seção corresponde a hacks de domínio Lop.com. Os sequestros de domínio representam uma séria ameaça à segurança, pois os invasores podem redirecionar os usuários para sites maliciosos.

Quando você acessa um site usando um nome de host, como www.bleepingcomputer.com, em vez de um endereço IP, seu computador usa um servidor DNS para resolver o nome de host para um endereço IP como 192.168.1.0. O sequestro de domínio ocorre quando o software de sequestro altera os servidores DNS do seu dispositivo para apontar para os seus próprios, onde podem direcioná-lo para qualquer site que desejarem. Ao adicionar google.com ao servidor DNS, eles podem fazer com que, quando você acessar www.google.com, eles o redirecionem para um site de sua escolha. Este tipo de ataque pode levar ao roubo de informações pessoais e outros ataques cibernéticos.

Entrada de exemplo 017 – HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175

Se você encontrar entradas como esta e não conhecer o domínio em questão ou se ele não pertence ao seu ISP ou empresa, e os servidores DNS não pertencem ao seu ISP ou empresa, você deve usar o HijackThis para consertar. Você pode visitar o site ARIN Para realizar uma pesquisa Whois nos endereços IP dos servidores DNS para determinar a qual empresa eles pertencem. Isso ajuda a detectar quaisquer hacks ou modificações não autorizadas nas configurações do seu Sistema de Nomes de Domínio (DNS).

Seção de O18

Esta seção é compatível com protocolos adicionais e sequestradores de protocolo. É uma parte essencial da análise do HijackThis.

O sequestro de protocolo é feito alterando os drivers de protocolo padrão usados ​​pelo seu computador para outros fornecidos pelo sequestrador. Isso permite que o sequestrador controle certas maneiras pelas quais seu computador envia e recebe informações, o que pode afetar a segurança da Internet e colocar seus dados em risco. Portanto, é necessário verificar esta seção no HijackThis para garantir a integridade do seu sistema.

Chaves de registro: HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLS (chaves de protocolo do sistema)
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID (chaves de identificação de classe)
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler (chaves do manipulador de protocolo)
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSFilter (chaves de filtro de protocolo)

O HijackThis primeiro lê a seção Protocolos do registro do sistema para procurar protocolos não padrão. Quando um protocolo não padrão é encontrado, o programa consulta o identificador de classe (CLSID) listado ali para obter informações sobre o caminho do arquivo. Isso ajuda a detectar malware que pode tentar alterar as configurações do protocolo para interceptar dados ou redirecionar usuários para sites maliciosos. A verificação dessas chaves pelo HijackThis é uma parte essencial do processo de análise do sistema e identificação de possíveis ameaças à segurança.

Exemplo de uma lista O18 – Protocolo: links relacionados – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:PROGRA~1COMMON~1MSIETSmsielink.dll

Os exemplos mais famosos de sequestro de navegador são CoolWebSearch, Related Links e Lop.com. Se você vir esses itens, poderá usar a ferramenta HijackThis para corrigi-los. Essas entradas geralmente indicam a presença de malware ou spyware.

Use o Google para verificar se os arquivos são legítimos. Você também pode usar um site SystemLookup. com Para ajudar a verificar arquivos e identificar se estão associados a malware ou spyware.

É importante observar que reparar essas entradas com o HijackThis não exclui a entrada do Registro ou seu arquivo associado. Você deve reiniciar o computador no modo de segurança e excluir o arquivo malicioso manualmente para garantir que ele seja completamente removido.

Seção O19: Sequestro de folhas de estilo do usuário

Esta seção é sobre o sequestro de folhas de estilo do usuário, que é um método de sequestro de navegador.

Uma folha de estilo é um modelo que controla como os layouts, cores e fontes de uma página HTML são exibidos. Esse tipo de sequestro substitui a folha de estilo padrão, que foi desenvolvida para usuários com necessidades especiais, e causa um grande número de pop-ups e diminui a velocidade de navegação. Esse tipo de ataque pode ser usado para alterar a aparência de sites ou redirecionar usuários para sites maliciosos.

Chave de registro: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerStyles: folhas de estilo do usuário. Examinar essa chave no registro é uma etapa importante no diagnóstico de problemas de sequestro de folhas de estilo.

Exemplo de inserção O19 – Arquivo de estilos do usuário: c:WINDOWSJavamy.css

Geralmente, você pode remover esses arquivos, a menos que tenha criado um arquivo de estilos para seu próprio uso. Quando esse tipo de entrada for corrigido, o HijackThis não excluirá o arquivo ofensivo listado. Recomenda-se reiniciar o computador em modo de segurança e excluir o arquivo de estilos.

Seção de O20

AppInit_DLLs Esta seção corresponde aos arquivos carregados por meio do valor do registro AppInit_DLLs e das subchaves de notificação do Winlogon.

O valor do registro AppInit_DLLs contém uma lista de arquivos DLL que serão carregados quando user32.dll for carregado. Como a maioria dos executáveis ​​do Windows usa user32.dll, qualquer arquivo DLL listado na chave de registro AppInit_DLLs também será carregado. Isso torna muito difícil remover um arquivo DLL porque ele será carregado em vários processos, alguns dos quais não podem ser interrompidos sem causar instabilidade no sistema. O arquivo user32.dll também é usado por processos que o sistema inicia automaticamente quando você faz logon. Isso significa que os arquivos carregados no valor AppInit_DLLs serão carregados muito cedo na rotina de inicialização do Windows, permitindo que o arquivo DLL se esconda ou se proteja antes que possamos acessar o sistema. Este método é conhecido por ser usado por uma das variantes do CoolWebSearch e só pode ser visto no Regedit clicando com o botão direito no valor e escolhendo Modificar dados binários. Por outro lado, o programa Registrador Lite Mais facilmente para ver este arquivo DLL.

Chave de registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows\AppInit_DLLs

Exemplo de inserção O20 – AppInit_DLLs: C:WINDOWSSystem32winifhi.dll

Existem poucos programas legítimos que usam essa chave de registro, mas você deve ter cuidado ao excluir os arquivos listados aqui. usar Banco de dados de inicialização do Bleeping Computer أو SystemLookup. com Para verificar a autenticidade dos arquivos. Quando esses tipos de entradas são corrigidos, o HijackThis não excluirá o arquivo ofensivo listado. Recomenda-se reiniciar em modo de segurança e excluir o arquivo incorreto. Aviso de login A chave de notificação Winlogon é geralmente usada por infecções Look2Me. HijackThis lista todas as chaves de notificação não padrão do Winlogon para que você possa identificar facilmente qual chave não pertence. Você pode identificar a chave da infecção Look2Me, pois ela terá um arquivo DLL com um nome de arquivo aleatório localizado no diretório% SYSTEM%. A chave de notificação terá um nome simples, embora não pertença a esse nome. Essa chave é vulnerável à exploração por malware, incluindo spyware, vírus e cavalos de Tróia, para executar códigos maliciosos quando o Windows é iniciado.

Chave de registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

Seção O21: Carregando arquivos por meio da chave de registro ShellServiceObjectDelayLoad

Esta seção trata dos arquivos carregados por meio da chave de registro ShellServiceObjectDelayLoad. Essa chave é usada como uma forma de carregar bibliotecas de vínculo dinâmico (DLLs) adiadas quando o Windows é iniciado, o que pode torná-lo alvo de malware.

Esta chave contém valores semelhantes a uma chave Execute, mas em vez de apontar diretamente para o caminho do executável, aponta para CLSID Do InProcServer, que por sua vez contém informações sobre o arquivo DLL a ser usado. Essa abordagem adiciona uma camada de complexidade que pode ser usada para ocultar malware.

Os arquivos sob esta chave são carregados automaticamente por um processo Explorer.exe Quando você inicia seu computador. Porque Explorer.exe Assim como a interface gráfica do usuário (GUI shell) do Windows, ela é sempre iniciada, carregando os arquivos associados a esta chave no início do processo de inicialização, antes de qualquer intervenção do usuário. Esse comportamento torna essa chave um alvo atraente para malware que busca ser executado furtivamente.

O malware que usa esse método pode ser identificado pelas seguintes entradas na chave de registro ShellServiceObjectDelayLoad, o que pode indicar a presença de arquivos DLL maliciosos ou indesejados:

Exemplo de inserção R0 – HKCUSoftwareMicrosoftInternet ExplorerPrincipal, página inicial = C: WINDOWSsecure.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = C:WINDOWSsecure.html

Chave de registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad – Esta chave controla o carregamento atrasado de objetos de serviço shell, o que afeta a velocidade de inicialização do sistema e o tempo de resposta do Windows Explorer. Esta chave contém configurações importantes para configurar os serviços do sistema no ambiente Windows. A modificação desta chave pode afetar o desempenho do sistema, portanto, é aconselhável ter cuidado ao fazer quaisquer alterações.

Exemplo de uma lista O21 – SSODL: Sistema – {3CE8EED5-112D-4E37-B671-74326D12971E} – C: WINDOWSsystem32system32.dll

O HijackThis usa uma lista de permissões interna para evitar a exibição de entradas legítimas comuns do sistema sob esta chave. Se você vir uma entrada aqui, não é uma entrada padrão e deve ser considerada suspeita. Isto pode indicar a presença de malware ou spyware. usar Bleeping Banco de dados de inicialização do computador أو SystemLookup. com Para verificar arquivos e ver se eles são maliciosos. Quando esses tipos de entradas são corrigidos, o HijackThis não excluirá o arquivo ofensivo listado. Recomenda-se reiniciar o computador no modo de segurança e excluir o arquivo incorreto manualmente. Pode ser necessário procurar o nome do arquivo específico, como “system32.dll” neste caso, para entender sua função e decidir se deve ser excluído. Certifique-se de compreender a função do arquivo antes de excluí-lo para evitar problemas no sistema.

Seção O22: SharedTaskScheduler

Esta seção corresponde aos arquivos carregados através do valor de registro do sistema “SharedTaskScheduler”. É um ponto de entrada comum explorado por malware como SmitFraud e outros.

As entradas nesta chave de registro são executadas automaticamente quando o Windows é iniciado. Essa chave é comumente explorada por variantes do SmitFraud para exibir alertas de segurança falsos e para baixar software anti-spyware falso. O que constitui uma ameaça à segurança do sistema.

Chave de registro:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

Exemplo de uma lista O22 – SharedTaskScheduler: (sem nome) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:windowssystem32mtwirl32.dll

Tenha cuidado ao remover itens listados nessas chaves, pois alguns deles são legítimos. Você pode usar o Google para verificar a autenticidade do arquivo. usar Banco de dados de inicialização do Bleeping Computer أو SystemLookup. com Para ajudar a verificar a autenticidade dos arquivos. Essas entradas podem indicar a presença de malware, spyware ou vírus. É importante verificar a autenticidade dos arquivos antes de excluí-los para evitar problemas no sistema.

HijackThis excluirá o valor SharedTaskScheduler associado a esta entrada, mas não excluirá o ID de classe (CLSID) ao qual se refere e o arquivo ao qual Inprocserver32 se refere para o CLSID. Portanto, você deve sempre fazer com que o usuário reinicie no modo de segurança e exclua esse arquivo manualmente. A exclusão de alguns arquivos do sistema pode exigir a reinicialização no modo de segurança para garantir que não sejam usados ​​pelo sistema. Você deve ter muito cuidado ao excluir arquivos do sistema.

Seção O23: Análise de serviços em serviços Windows XP, NT, 2003 e 2003

Esta seção cobre o Windows Esses serviços normalmente são usados ​​para gerenciar tarefas no nível do sistema, como recursos do Windows, software antivírus e servidores de aplicativos. Recentemente, tem havido uma tendência crescente de malware usar serviços para infectar computadores. Portanto, é necessário verificar cada serviço listado para garantir sua segurança e se não há serviços suspeitos. Exemplos comuns de serviços de malware que você pode encontrar são “Home Search Assistant” e a nova variante “Bargain Buddy”. Você pode encontrar exemplos de linhas associadas a essas infecções abaixo.

A maioria dos serviços da Microsoft foram colocados na lista de permissões e não serão listados aqui. Se quiser ver esses serviços, você pode executar o HijackThis usando o sinalizador /ihatewhitelists. Isso ajuda a detectar malware oculto e a analisar o comportamento do sistema com precisão. Este recurso é recomendado apenas para usuários avançados.

Exemplo de um serviço legítimo:

Exemplo de uma lista O23 – Serviço: AVG7 Alert Management Server (Avg7Alrt) – GRISOFT, sro – C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe (caminho do arquivo do Alert Management Server)

Exemplo de assistente de pesquisa residencial:

Este exemplo mostra como o AVG 7 Alert Management Service (Avg7Alrt) da GRISOFT, s.r.o aparece na lista de processos do sistema. O caminho do arquivo “C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe” indica a localização do arquivo executável avgamsvr.exe, responsável pela execução do serviço Alert Manager. A pesquisa por esse caminho pode ser útil ao solucionar erros do AVG ou ao gerenciar processos do sistema. Compreender os caminhos dos arquivos e suas funções é fundamental para manter e proteger o desempenho do sistema. O Home Search Assistant pode ajudá-lo a localizar arquivos, serviços e outros programas em seu computador.

Exemplo de uma lista O23 – Serviço: Serviço de logon de rede da estação de trabalho – Desconhecido – C:WINDOWSsystem32crxu.exe

Exemplos de amigo de pechincha:

Este exemplo mostra um possível erro no serviço Workstation Network Logon (NetLogon) com ID O23. O caminho “C: WINDOWSsystem32crxu.exe” refere-se a crxu.exe, um arquivo que normalmente não é reconhecido como parte do sistema Windows. Este arquivo pode ser malicioso ou associado a malware. Recomenda-se verificar o sistema com software antivírus atualizado para garantir a integridade do sistema. Este erro pode indicar problemas de acesso ou compartilhamento de recursos de rede. Verifique suas configurações de rede e firewall. Para obter mais informações sobre como solucionar problemas do serviço NetLogon, consulte a documentação da Microsoft ou entre em contato com o Suporte da Microsoft.

Exemplo de uma lista O23 – Serviço: ZESOFT – Desconhecido – C:WINDOWSzeta.exe
O23 – Serviço: ISEXEng – Desconhecido – C:WINDOWSSystem32angelex.exe

Quando a entrada O23 no HijackThis for corrigida, o programa alterará o status de inicialização deste serviço para Desativado, interromperá o serviço e solicitará ao usuário que reinicie o dispositivo. O programa não excluirá o serviço real do log ou arquivo para o qual você aponta. Para excluir um serviço, você precisará saber o nome do serviço. Este nome é o texto entre parênteses. Se o nome de exibição for igual ao nome do serviço, o nome do serviço não será listado. Observe que a exclusão de serviços essenciais do sistema pode afetar a estabilidade do sistema.

Existem três métodos que você pode usar para excluir a chave de serviço do registro:

  1. Para excluí-lo usando o comando SC No Windows XP, digite o seguinte em um prompt de comando: sc excluir nome do serviço. Substitua “servicename” pelo nome real do serviço que você deseja excluir. Tenha cuidado ao usar este comando, pois a exclusão de serviços do sistema pode causar instabilidade do sistema. Para excluir o serviço usando um arquivo de registro, você pode usar o seguinte exemplo:
  2. Use um arquivo de registro para excluir o serviço. O arquivo de registro abaixo é um exemplo de como remover Angelex.exe (variante Bargain Buddy):
    REGEDIT4 [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesISEXEng] [-HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesISEXEng] [-HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesISEXEng]

    Recomenda-se fazer um backup do registro antes de aplicar qualquer alteração.

  3. Use HijackThis para excluir o serviço. Você pode clicar Configuração, Então Ferramentas diversas, depois pressione o botão . Exclua um serviço NT.. Quando abrir, digite o nome do serviço e pressione OK. Certifique-se de saber qual serviço você está excluindo para evitar problemas no sistema.
REGEDIT4
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesISEXEng]
[-HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesISEXEng]
[-HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesISEXEng]

Tenha cuidado ao remover itens listados nessas chaves de registro, pois a maioria deles são itens legítimos. A exclusão dessas chaves pode indicar problemas com o sistema operacional Windows. Para pesquisar entradas de registro O23 e verificar sua legitimidade, você pode usar Banco de dados de inicialização do Bleeping Computer أو SystemLookup. com. Isso ajuda a determinar se as entradas do registro estão relacionadas a drivers, serviços subjacentes do sistema ou malware. As chaves de registro acima são normalmente associadas ao “Intel SpeedStep eXecution Engine” (ISEXEng), uma tecnologia de gerenciamento de energia do processador. É aconselhável compreender a função de cada chave antes de excluí-la para evitar problemas de desempenho do sistema.

Seção O24: Diagnosticando componentes do Active Desktop no Windows

Esta seção aborda os componentes do Active Desktop no Windows, que são definidos como arquivos HTML locais ou remotos incorporados diretamente no plano de fundo da área de trabalho. Alguns malwares exploram esse recurso para exibir mensagens, imagens ou páginas da web diretamente na área de trabalho do usuário.

Um exemplo comum de malware que usa esse método é a família SmitFraud de falsos programas anti-spyware. Esses programas usam componentes ativos da área de trabalho para exibir avisos de segurança falsos como plano de fundo da área de trabalho do usuário. Esses avisos incluem mensagens falsas indicando que o sistema está infectado por vírus com o objetivo de induzir o usuário a comprar software falso. Outros exemplos de malware que utilizam essa técnica também podem ser encontrados, como ransomware e Trojans, que podem exibir mensagens ameaçadoras ou instruções de pagamento no desktop. Para obter mais informações sobre esses tipos de malware e como se proteger contra eles, consulte os seguintes recursos:

AVGold (spyware) Destruir AntiSpyware AlfaCleaner (software de limpeza) TopAntiSpyware

A chave de registro associada aos componentes do Active Desktop no Windows é:

Chave de registro:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents

Cada componente específico é listado como uma subchave numérica do registro da chave acima, começando com o número 0. Por exemplo:

Exemplo de inserção O24 – Componente Desktop 0: (Segurança) – %windir%index.html O24 – Componente Desktop 1: (Sem nome) – %Windir%warnhp.html

Embora seja possível que alguém tenha configurado intencionalmente um componente ativo da área de trabalho, se você vir um componente desconhecido, é uma boa ideia perguntar ao usuário se ele o adicionou intencionalmente. A presença de componentes de desktop desconhecidos pode indicar a presença de malware ou spyware, portanto, verificar sua origem é crucial para manter a segurança do sistema. Certifique-se de compreender a função de cada componente antes de realizar qualquer ação.

Quando essas entradas forem corrigidas, o HijackThis removerá apenas o componente da área de trabalho do registro. O arquivo HTML referenciado real não será excluído. Portanto, se o componente estiver associado a malware, você deve excluir manualmente esse arquivo por meio do explorador de arquivos para garantir que a ameaça seja completamente removida. Pode ser necessário encontrar o caminho do arquivo específico, como %windir%index.html ou %Windir%warnhp.html, para excluí-lo permanentemente. Recomenda-se fazer um backup do arquivo antes de excluí-lo, caso precise dele para análise ou restauração posteriormente.

Conclusão

HijackThis é uma ferramenta muito poderosa para descobrir os detalhes do seu navegador e o que está sendo executado no Windows. No entanto, diagnosticar os resultados da verificação do HijackThis pode ser complicado. Esperamos que nossas recomendações e explicações tornem esse processo um pouco mais fácil. Este programa deve ser usado com cautela, pois a remoção incorreta de alguns itens pode causar problemas com programas legítimos.

Ir para o botão superior