Vous êtes sur la page 1sur 13

INTRODUO

Sempre que o Combofix finaliza o scan, ele gera um relatrio (log) de tudo que ocorreu enquanto ele fazia a verificao. Para analisar este log, confesso que voc deve ter uma noo boa dos arquivos do Windows. Afinal, no log no constam apenas vrus e malwares, mas tambm inmeros ficheiros legtimos do Windows, que se porventura forem deletados erroneamente, deixar o sistema bastante instvel ou inoperante. Alis, a maioria dos arquivos so seguros e legtimos. O primeiro passo ir visualizando entrada por entrada. Veja o nome dos arquivos, a localizao deles (pois muitos malwares com nomes de arquivos legtimos ficam em diretrios diferentes) e pesquise no Google para saber do que se tratam. Quem utiliza o Firefox pode tentar o add-on Malware Search para facilitar, pois muito til. Suspeita de algum arquivo? Submeta-o para uma anlise no VirusTotal ou VirSCAN antes de qualquer atitude precipitada, que possa colocar em risco seu sistema operacional.

Informaes do log
No log voc ir se deparar com as seguintes informaes e sees: Outras Excluses => Nesta rea esto listados os arquivos que foram removidos pelo ComboFix. Arquivos/Ficheiros criados => Arquivos e pastas criados e/ou modificados numa data ou num determinado perodo. Relatrio Find3M => o relatrio final do scan. Esta rea lista os arquivos que esto fora da data ou de um perodo especfico. SigCheck => Lista de arquivos assinados digitalmente. Geralmente so legtimos da Microsoft, normalmente de algum service pack instalado. Pontos de Carregamento do Registro => Esta rea lista algumas entradas do Registro do Windows (regedit). Normalmente as entradas de programas que esto iniciando com o Windows (no msconfig), entradas associadas a toolbars, dentre outras, sempre aparecem. Drivers/Servios => Aqui esto listados alguns dos servios e drivers presentes na mquina. Tarefas Agendadas => Quando houver esta seo, listar o contedo presente na pasta Tarefas Agendadas do Windows em: C:\WINDOWS\Tasks. ORFOS REMOVIDOS => Esta rea mostra entradas invlidas no registro que foram removidas. Geralmente so entradas que no incluiam arquivos, como de programas recm desinstalados. Scan Suplementar => Aqui so fornecidas informaes sobre os navegadores, seus plugins (activeX, toolbars), opes do menu de contexto do Windows, configurao de rede do computador, e domnios confiveis. CATCHME => Esta rea apresenta o relatrio da ferramenta anti-rootkit GMER. CHAVES DO REGISTRO BLOQUEADAS => Esta seo contm as entradas que esto inacessveis ou bloqueadas no registro. Muitos programas bloqueiam as chaves mesmo, normal. Porm, alguns malwares tambm criam chaves bloqueadas. Neste caso, muita ateno nesta rea.

Analisando o log
Arquivos/Ficheiros criados ou Relatrio Find3M 2011-03-13 20:32 . 2010-11-02 16:14 135096 ----a-wc:\windows\system32\drivers\avipbb.sys As descries em azul indicam a data em que o arquivo foi criado/modificado A descrio em preto indica a hora A descrio em laranja indica o tamanho do arquivo A descrio em roxo revela que trata-se de um arquivo A descrio em verde mostra o caminho para chegar at o arquivo E descrio vermelha o nome do arquivo final Ateno: Quando a letra das linhas pontilhadas for "d" quer dizer que trata-se de um diretrio (pasta) e no arquivo. Exemplo: Pasta 2011-03-20 21:10 . 2011-03-20 21:12 -------- d-----w- c:\arquivos de programas\The KMPlayer Arquivo 2011-03-13 20:32 . 2010-11-02 16:14 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys Sigcheck
Citao:

[-] 2008-04-14 . 698F9583D1EB213B09F12DD5826A46E2 . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\f7670e43b 3c19680acdc044a1fbe993f\sfcfiles.dll [-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll Quando houver a seo "Sigcheck" geralmente mostrar arquivos que incluem assinatura digital. Resumindo, na maioria das vezes, so arquivos legtimos do SO, os quais no devem ser removidos ou alterados antes de uma verificao minuciosa. Pontos de Carregamento do Registro Esta a rea onde constam as principais entradas do registro. Antes de qualquer coisa, altamente recomendvel que voc tenha no mnimo um nvel intermedirio de conhecimento sobre o registro do Windows. Pois ele o 'corao' do SO. Em todo caso, um backup dele cai bem. Pode-se usar o ERUNT para isso.
Citao:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] "PcSync"="c:\arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 0] Olhando a entrada acima, dizemos que: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run => caminho do registro que leva at a chave Run Run => chave de destino do caminho percorrido acima (esta chave est relacionada com a inicializao do sistema) "PcSync" => geralmente denominamos que tudo que encontra-se dentro de uma chave, chamado de valor. Portanto, PcSync o valor do programa Nokia Pc Suite 6 localizado dentro da chave Run no registro. c:\arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe => caminho que leva at o arquivo final

PcSync2.exe => arquivo final responsvel por iniciar o programa Nokia PC Suite 6 quando o Windows carregado [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List] Esta acima uma entrada referente ao firewall do Windows. Os aplicativos presentes nesta entrada esto como exceo no firewall. Para quem perguntar sobre aquele sinal de 'til' ali presente aps o HKLM, um resumo de: SYSTEM\CurrentControlSet. Claro que no log voc poder visualizar inmeras entradas do registro. Mas so parecidas com a primeira linha. Somente o caminho que ser distinto. Drivers/Servios
Citao:

R2 AntiVirSchedulerService;Avira AntiVir Programador;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [2/11/2010 13:14 135336] R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [16/11/2009 13:33 50704] R2 Proteq;Proteq;c:\windows\system32\drivers\Proteq.s ys [17/7/2003 14:02 7598] R2 WinDefend;Windows Defender;c:\arquivos de programas\Windows Defender\MsMpEng.exe [3/11/2006 18:19 13592] S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [1/1/2002 01:16 136176] S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUS HWIO.SYS [20/8/2010 13:16 5824] Os Drivers so simplesmente os servios presentes no services.msc do Windows. No entanto, nem todos os servios so listados no log. Apenas alguns deles. Tipicamente so os drivers que so utilizados com mais frequncia, que foram modificados ou at mesmo removidos. Leitura: R2 AntiVirSchedulerService;Avira AntiVir Programador;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe Olhando o caminho acima, dizemos que: O nome preenchido de roxo representa o nome principal do servio no services.msc. O nome preenchido de rosa o nome secundrio do servio. O caminho em negrito onde o arquivo responsvel pelo servio est localizado. E o que est em azul o nome do arquivo. No exemplo acima, trata-se do servio da soluo antivirus Avira AntiVir e jamais deve ser deletado. A menos que o software j tenha sido desinstalado pelo usurio. Tarefas Agendadas
Citao:

Contedo da pasta 'Tarefas Agendadas' . 2002-01-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2002-01-01 04:16] Muitos programas, ou at mesmo o usurio, agendam algo para fazer periodicamente. Por exemplo, voc configurou para que um programa realizasse um scan em seu PC diariamente com hora marcada. Um arquivo ser guardado na pasta Tasks para que o agendamento funcione devidamente. As tarefas possuem a extenso .job no arquivo. Ex: GoogleUpdateTaskMachineCore.job.

Scan Suplementar
Citao:

------- Scan Suplementar ------. uStart Page = hxxp://www.terra.com.br/portal/ IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183 CA64F05FDD98.dll/cmsidewiki.html TCP: {5B71003C-857A-4B68-B7B7-9A13338A758B} = 200.204.0.10 200.204.0.138 DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} - hxxp://jiassuncao.noip.org:8010/cab/OCXChecker_8000.cab DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://jiassuncao.noip.org:8010/cab/DownloadFile_8000.cab FF - ProfilePath - d:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\bz358q01.defa ult\ O Scan Suplementar pode corresponder a partes como: - Home page do IE
Cdigo:

uStart Page = hxxp://www.terra.com.br/portal/ - Opo do menu de contexto do Windows - Dados do perfil e configuraes do Mozilla Firefox
Cdigo:

FF - ProfilePath - d:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\bz358q01.default\ - Arquivos activeX instalados no PC (observe que eles possuem a extenso .cab no final do arquivo)
Cdigo:

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} - hxxp://jiassuncao.noip.org:8010/cab/OCXChecker_8000.cab DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://jiassuncao.noip.org:8010/cab/DownloadFile_8000.cab - Configurao de rede do PC
Cdigo:

TCP: {5B71003C-857A-4B68-B7B7-9A13338A758B} = 200.204.0.10 200.204.0.138 - Barras de busca presentes no IE


Cdigo:

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183 CA64F05FDD98.dll/cmsidewiki.html O Scan Suplementar geralmente est ligado aos browsers instalados no computador. No log pode vir outras partes do scan suplementar, mas estas so as mais comuns.

CHAVES DO REGISTRO BLOQUEADAS


Citao:

[HKEY_USERS\S-1-5-21-1645522239-1844823847-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:00,15,68,79,5d,6d,97,eb,04,2d,f e,48 ,54,f5,e2,58,fd,72,41,a5,f5, 90,85,64,b8,12,3f,a4,29,a3,ae,f8,20,c7,1a,6a,1c,f5 ,b8,85,a0,f9,b6,15,90,27,\ "rkeysecu"=hex:3d,39,77,9b,45,f0,26,53,0f,02,e 1,90 ,4c,ae,fa,2b Muita cautela na anlise desta seo. Algumas chaves so bloqueadas por padro no registro. A entrada acima, por exemplo, uma proteo anti-cpia criada pela fabricante Sony DADC. Portanto, legtima! Mas nem sempre as entradas presentes a so boas. No entanto, recomendo que voc pergunte a algum especialista na rea da segurana e anlises, se a entrada que voc suspeita boa ou ruim. Em todo caso, pesquise no Google. No h dica quanto esta entrada. O jeito realmente pesquisar.

CFScript.txt - Como montar um script


Uma das perguntas que a maioria dos users fazem : Como fazer um script do ComboFix? Mas afinal de contas, o que este script? Nada mais do que uma linha de comandos que executa uma tarefa preparada manualmente e cuidadosamente definida pelo prprio usurio. O script feito atravs do Bloco de Notas e salvo com o nome CFScript.txt no exato local onde o ComboFix est salvo. Em seguida o CFScript.txt arrastado para o cone do ComboFix e a ferramenta mais uma vez executada.

Mas o que contm no script? Esta a questo principal. Como dito anteriormente, o script composto por comandos que, ao serem unidos ao ComboFix, executam mais uma vez a ferramenta e, com a leitura do script, a ferramenta consegue dar conta das contaminaes restantes. Mas lgico, para que isso ocorra, preciso que voc saiba quais so os malwares restantes, seus arquivos e caminhos. Para isso necessrio que voc avalie o log e identifique a infeco. Se no souber identificar, pesquise ou pergunte aqui no frum. As linhas de comando mais comuns so: File:: A sintaxe File tem a funo de remover apenas arquivos. Folder:: A sintaxe Folder tem a funo de remover apenas pastas. Registry:: A sintaxe Registry tem a funo de remover chaves e valores do registro. Driver:: A sintaxe Driver tem a funo de remover os servios e drivers. Rootkit:: A sintaxe Rootkit tem a funo de remover malwares identificados como rootkit. No entanto, a sintaxe File tambm remove rootkits. KILLALL:: A sintaxe KILLALL tem a funo de matar/finalizar os processos ativos no sistema para que a remoo seja efetuada com mais eficcia. recomendado para infeces mais graves e complexas, ou em situaes em que o PC encontra-se muito debilitado. FileLook:: A sintaxe FileLook tem a funo de verificar a integridade dos arquivos. DirLook:: A sintaxe DirLook tem a funo de averiguar o que h dentro de uma determinada pasta. FCopy:: A sintaxe FCopy tem a funo de substituir arquivos legtimos que foram contaminados, por arquivos legtimos novos/no contaminados. Reglock:: A sintaxe Reglock tem a funo de remover chaves bloqueadas do registro. RegNull:: A sintaxe RegNull tem a funo de remover chaves nulas do registro. DDS::

A sintaxe DDS tem a funo de remover entradas geralmente presentes no Scan Suplementar explicado anteriormente - como: home page do IE, toolbars, plugins activeX e etc. SysRst:: A sintaxe SysRst tem a funo de listar os arquivos da restaurao do sistema. Pois muitos malwares armazenam ficheiros na pasta da restaurao. NetSvc:: A sintaxe NetSvc tem a funo de remover servios listados na seo 'Netsvcs' do log. Claro, quando esta seo est presente. Firefox:: A sintaxe Firefox tem a funo de remover somente entradas relacionadas ao Firefox no log. As entradas deste browser ficam presentes na seo Scan Suplementar. Existem vrios outros comandos. Mas estes so os mais utilizados. Dificilmente voc precisar de outros comandos.

Preparando o Script
Ateno! Antes de qualquer coisa, saiba que a responsabilidade pela preparao do script totalmente sua. altamente recomendvel que voc estude e treine em uma mquina virtual, antes de realizar qualquer procedimento aqui descrito. Em caso de dvidas, pea auxlio a usurios mais experientes no assunto. A preparao incorreta de um script, e a remoo de arquivos legtimos importantes, pode deixar seu sistema literalmente inoperante e/ou instvel. Aps ler e compreender sobre os comandos explicados anteriormente, mos obra! Adendos importantes e fundamentais: 1) Nunca aja por impulso ou por 'achismo'. Pesquise sobre o arquivo antes de tentar qualquer coisa contra ele. Especialmente se o PC no for de sua pessoa. 2) Nunca se esquea do par de dois pontos no final dos comandos. Ex: File :: 3) A ordem do script no faz diferena, contanto que esteja correto. 4) O caminho completo do arquivo malicioso, ou da entrada maliciosa, deve ser colocado embaixo do comando. Nunca antes! 5) O script deve ser colado sempre no Bloco de Notas e salvo no lugar onde o ComboFix est, com o nome CFScript.txt 6) Aps feito, o arquivo CFScript.txt deve ser arrastado para o cone do ComboFix. 7) Depois de concluir o script, releia-o para ver se est tudo ok. 8) Pronto? Ento vamos l...

Utilizando o comando File::


Se voc conseguiu identificar um arquivo malicioso no log, ento use a tag File:: (no esquecendo sempre do par de dois pontos) e logo abaixo dela insira o caminho completo para o arquivo, do mesmo jeitinho que est no log. Exemplo: File:: C:\WINDOWS\system32\arquivo malicioso.exe

Utilizando o comando Folder::


Se identificou uma pasta maliciosa no log, use a tag Folder:: seguido do caminho completo para a pasta. Exemplo: Folder:: C:\Arquivos de programas\AskToolbar

Utilizando o comando Registry::


Aqui preciso ateno! H pequenos detalhes para a utilizao do comando Registry que no devem ser deixados de lado. Veja a diferena.
Citao:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] "Malware"="C:\WINDOWS\arquivo malicioso.exe" [HKEY_CLASSES_ROOT\CLSID\{Malware}] Descobriu a diferena entre as duas entradas do QUOTE? Simples. Na primeira entrada, voc tem de remover um "valor" (no caso "Malware") que esta sob a chave Run. J na segunda entrada voc tem de remover a "chave" "Malware". Veja como fica no script. Para valor use: Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] "Malware"=Veja que na hora do script no h necessidade de colocar o caminho do arquivo. Apenas o nome entre as aspas. Contudo, alm da entrada no registro, voc tambm deve remover o arquivo responsvel por esta entrada. Ento o script correto seria:
Citao:

File:: C:\WINDOWS\arquivo malicioso.exe Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] "Malware"=Para chave use: Registry:: [-HKEY_CLASSES_ROOT\CLSID\{Entrada Maliciosa}]] Observe que em ambos os scripts, um sinal de travesso (-) adicionado. Na primeira entrada o travesso colocado no final do script aps o sinal de igual (=), "Malware"= "-" Na segunda entrada o travesso adicionado logo no incio do script aps o primeiro colchete, [ ""HKEY.... Nunca se esquea do travesso, pois sem ele, o script no funciona corretamente. s lembrar: para valor o travesso no final. Para chave no comeo.

Utilizando o comando Driver::


Se identificou algum servio malicioso na seo driver, hora de remov-lo. Ressaltando que voc pode simplesmente parar o servio pelo prprio services.msc. Para remover um servio, no precisa colocar a descrio inteira do comeo. Coloque apenas o primeiro nome do servio. Exemplo:
Citao:

S2 serviomalicioso;Malware (malware);c:\windows\system32\drivers\arquivomalic ioso.sys [1/5/2011 01:16 136176] O script ficaria assim Driver:: serviomalicioso Porm, nesta ocasio voc deve remover tambm o arquivo responsvel pelo servio no comando File. Ento, o correto seria: Driver:: serviomalicioso File:: c:\windows\system32\drivers\arquivomalicioso.sys

Utilizando o comando Rootkit::


Se voc identificou uma infeco por rootkit no log, presente na seo CATCHME, anote o caminho completo do malware e use o seguinte comando: Rootkit:: C:\WINDOWS\system32\drivers\nome do rootkit.sys Seo anti-rootkit no log.
Citao:

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-03-27 16:21 Windows 5.1.2600 Service Pack 2 NTFS . Procurando processos ocultos ... . Procurando entradas auto inicializveis ocultas ... . Procurando ficheiros/arquivos ocultos ... C:\WINDOWS\system32\drivers\nome do rootkit.sys 16384 bytes . Varredura completada com sucesso arquivos/ficheiros ocultos: 1

Utilizando o comando FileLook::


Se voc quiser informaes mais detalhadas sobre um arquivo, pode usar a tag FileLook seguido do caminho do arquivo. Exemplo: FileLook:: C:\arquivo.exe

Utilizando o comando DirLook::


Este comando bem interessante. Caso voc queira saber o que h dentro de alguma pasta especfica, use a tag DirLook seguido do caminho da pasta. Exemplo: DirLook:: C:\Users\AppData\Local\qualquer pasta

Utilizando o comando FCopy::


Esta tag s deve ser usada quando houver um arquivo legtimo contaminado acusado na seo Outras Excluses, e existir este mesmo arquivo limpo no sistema. Observe este exemplo abaixo.
Citao:

((((((((((((((((((((((((((((((((((((( Outras Excluses )))))))))))))))))))))))))))))))))))))))))))))))))) ) . c:\windows\system32\userinit.exe . . . est infectado!! O ComboFix alertou que o ficheiro userinit.exe (legtimo do Windows) est infectado. De duas uma: ou o arquivo est realmente contaminado, ou falso positivo da ferramenta. Sempre quando instalamos o Windows, ou o service pack, uma pasta com as cpias de determinados arquivos criada. Primeiramente, veja se existe um outro userinit.exe no sistema e substitua-o pelo infectado. Se no houver uma cpia no sistema, ser necessrio utilizar o CD do Windows ou transferir de um outro PC. Todavia, havendo uma cpia do arquivo na mquina, use o comando FCopy seguido da localizao da cpia do arquivo, coloque uma barra (|), e depois a localizao do arquivo infectado. Exemplo: FCopy:: C:\WINDOWS\ServicePackFiles\i386\userinit.exe | C:\WINDOWS\system32\userinit.exe C:\WINDOWS\ServicePackFiles\i386\userinit.exe => cpia do userinit.exe limpo C:\WINDOWS\system32\userinit.exe => userinit.exe infectado Se ainda assim a descrio que o arquivo est contaminado continuar aparecendo, voc pode utilizar mtodos alternativos. Algumas timas ferramentas: Kaspersky AVP Tool, Dr. Web CureIt ou Hitman Pro. Em todo caso, voc pode enviar o arquivo para o VirusTotal para tirar concluses exatas.

Utilizando o comando Reglock::


Ao identificar que existem entradas bloqueadas maliciosas na seo "CHAVES DO REGISTRO BLOQUEADAS", elas aparecero mais ou menos assim.
Citao:

--------------------- CHAVES DO REGISTRO BLOQUEADAS --------------------[HKEY_USERS\S-1-5-21-3458104535-1627790608-1016251302-1003\Software\CrucialSoft Ltd\MALWARE] @DACL=(02 0000) "Start Counter"=dword:00000001 "InstallTime"=hex:a5,9d,86,a8,f1,74,e3,40 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents\MALWARE] @DACL=(02 0000) "Installed"="1" @="" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents\MALWARE1] @DACL=(02 0000) "NoChange"="1" "Installed"="1" @="" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents\MALWARE2] @DACL=(02 0000) "Installed"="1" @="" Para remov-las use a tag Reglock seguido das entradas. Reglock:: [HKEY_USERS\S-1-5-21-3458104535-1627790608-1016251302-1003\Software\CrucialSoft Ltd\MALWARE] [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents\MALWARE] [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents\MALWARE1] [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents\MALWARE2] OBS: Nunca acrescente as informaes embaixo das entradas no script. Isto , anote apenas o que est entre os colchetes ([]). Se voc observar melhor no script acima, o sinal de travesso (-) que deve ser colocado no script para remover chaves do registro como explicamos anteriormente, agora no aparece no Reglock. E assim que deve ser. Nunca acrescente o travesso nas entradas presentes no comando Reglock ou RegNull.

Utilizando o comando RegNull::


Ao identificar entradas nulas maliciosas na seo "CHAVES DO REGISTRO BLOQUEADAS", elas aparecero mais ou menos assim.

Citao:

--------------------- CHAVES DO REGISTRO BLOQUEADAS --------------------[HKEY_USERS\S-1-5-21-2000478354-261903793-18016745311003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{F8A63132-D8E8-544F5FB0-6B6B7122EBA8}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "malware"=hex:6a,61,61,6a,6c,69,6a,69,68,6e,65,61, 6c,69,64,67,65,61, 66,64,00,e8 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8A6313 2-D8E8-544F-5FB06B6B7122EBA8}\InProcServer32*] "malware"=hex:6a,61,61,6a,6c,69,6a,69,68,6e,65,61, 6c,69,64,67,65, 61,66,64,00,00 "malware"=hex:6a,61,61,6a,6c,69,6a,69,68,6e,65,61, 6c,69,64,67,65,61, 66,64,00,8e Use a tag RegNull seguido das entradas. Exemplo: RegNull:: [HKEY_USERS\S-1-5-21-2000478354-261903793-18016745311003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{F8A63132-D8E8-544F-5FB0-6B6B7122EBA8}*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8A6313 2-D8E8-544F-5FB06B6B7122EBA8}\InProcServer32*] Muitos podem ficar indecisos e com dvidas sobre quando utilizar o Reglock ou RegNull, uma vez que ambas devem ser usadas com entradas localizadas na seo 'CHAVES DO REGISTRO BLOQUEADAS'. Porm, h um pequeno detalhe que diferencia as duas, e poucos vem isso. No final da entrada, se houver um astersco (*) uma entrada nula. Se no houver o astersco uma entrada bloqueada. Veja:
Citao:

Chave nula [HKEY_USERS\S-1-5-21-2000478354-261903793-18016745311003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{F8A63132-D8E8-544F5FB0-6B6B7122EBA8}*]


Citao:

Chave bloqueada [HKEY_USERS\S-1-5-21-3458104535-1627790608-1016251302-1003\Software\CrucialSoft Ltd\MALWARE] Observe o astersco no final, antes do ltimo colchete, do primeiro exemplo.

Utilizando o comando DDS::


Ao identificar alteraes malficas na seo Scan Suplementar, com exceo das linhas referentes ao Firefox, use a tag DDS seguido da linha em questo. DDS:: uStart Page = hxxp://www.paginamalicioso.com/find.php

Utilizando o comando SysRst::


Use esta tag para averiguar os arquivos da pasta da Restaurao do Sistema, System Volume Information. No precisa colocar nenhum arquivo embaixo deste comando, apenas ele sozinho. Exemplo: SysRst:: O log vai listar tudo o que est salvo na pasta System Volume Information.

Utilizando o comando NetSvc::


Faz um tempo que no vejo ocorrncias da entrada Netsvcs no log do ComboFix, mas caso aparea, ser semelhante ao exemplo abaixo.
Citao:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs malware malware1 malware2 etc Para remover os servios maliciosos do Netsvcs, basta usar a tag NetSvc e colocar apenas os nomes dos servios. NetSvc:: malware malware1 malware2 etc

Utilizando o comando Firefox::


Use a tag Firefox seguido de entradas maliciosas (ou invlidas) do Firefox que estaro na seo Scan Suplementar. Exemplo: Firefox:: FF - ProfilePath - c:\documents and settings\user\Dados de aplicativos\Mozilla\Firefox\Profiles\xxxxxx.defaul t\ FF - prefs.js: browser.search.selectedEngine - adware (pt) FF - prefs.js: browser.startup.homepage - www.paginamaliciosa.com