Nesta Página
- O8, O9 — Novas Opções
- O10 — LSP
- O11 — Grupos de Opções
- O12 — Plugins do IE
- O13 — Prefixos
- O14 — Configurações Padrão do IE
O8, O9 — Novas Opções
As entradas O8 e O9 indicam novas opções no Internet Explorer.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | – |
Detalhes
As entradas O8 se tratam de novas opções no menu de contexto (clique inverso), enquanto entradas O9 aparecerão quando houver botões adicionais na barra de ferramentas ou no menu Ferramentas do Internet Explorer.
O9 – Extra ‘Tools’ menuitem: Messenger (HKLM)
Observações
–
Como saber
Algumas entradas O9 estão no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para verificar, fica mais fácil.
O10 — LSP
Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao arquivo encontrado será exibida.
| No Registro | HKLMSYSTEMCurrentControlSetServicesWinSock2Parameters |
|---|---|
| No Disco | – |
| Observações | Essa entrada não deve ser marcada no HijackThis! |
Detalhes
Entradas O10 são referentes aos Provedores de Serviço em Camada (Layered Service Providers) — LSP. Sempre que o HijackThis encontrar algum LSP que ele não conhece, uma entrada O10 irá aparecer no log. Se o HijackThis encontrar LSPs do New.net ou do webHancer, entradas específicas para essas infecções serão mostradas, porém não é recomendado marcá-las. A utilização de um programa de desinstalação é preferível.
Qualquer outra entradas O10 simboliza arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram que alguns arquivos referenciados no registro não estão presentes, o que significa que a conexão com a Internet pode não estar funcionando.
O documento sobre LSPs entra em mais detalhes sobre a utilização e funcionamento dos LSPs.
Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e não marque nada no HijackThis.
Nota: A presença de uma O10 não necessariamente significa que há algo errado, apenas que o HijackThis encontrou um arquivo que ele não conhece.
Observações
O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes.
Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a “corrente/escada LSP está quebrada”, como no exemplo acima, quando na verdade tudo vai bem. Verifique você mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença a um programa seguro, você deve deixar tudo como está, pois o “problema” é apenas um erro no HijackThis.
Se a entrada pertence a um programa malicioso, basta remover usando o LSPFix. Nenhuma entrada O10 deve ser marcada no HijackThis.
Como saber
Existe a lista de LSPs do SystemLookup. Você precisa verificar nessa lista se os arquivos estão marcados como seguros ou não.
011 — Grupos de Opções
Essa entrada mostra grupos de opções adicionais no Internet Explorer.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | – |
Detalhes
Quando há um grupo novo de opções na aba “Avançado” das configurações do Internet Explorer, uma entrada O11 será exibida.
Marcando a entrada, o grupo de opções vai sumir.
Observações
–
Como saber
Somente o CommonName (do exemplo) utiliza essa entrada. Portanto só marque se você ver a entrada do CommonName.
O12 — Plugins do IE
As entradas O12 representam plugins do Internet Explorer.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | – |
Detalhes
Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador.
Observações
- Essa entrada é raramente utilizada para objetivos malicioso, mas aparece com entradas legítimas com freqüência.
Como saber
A única maneira é fazendo uma busca na Internet. Os plugins da Onflow, que possuem uma extensão .OFB, são maliciosos.
O13 — Prefixos
Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o Internet Explorer.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | Existem diversos prefixos diferentes que serão denominados no início da entrada |
Detalhes
Os prefixos de URL são adicionados em todas as URLs que você visita sem definir o protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o protocolo, o Internet Explorer redireciona você automaticamente, adicionando um HTTP:// ou FTP:// no endereço. O navegador pode ser configurado para adicionar qualquer coisa antes do endereço.
Esse prefixo, por exemplo, faz com que todas as URLs que começam com WWW sem o HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar http://www.example.com, você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba quais os sites que você visita. Se você digitar http://www.example.com, entretanto, nada vai acontecer.
Se você não consegue navegar devido aos redirecionamentos, tente colocar o HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados.
Observações
–
Como saber
Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve marcar a entrada.
O14 — Configurações Padrão do IE
As entradas O14 mostram as configurações do IE que serão ativadas quando você selecionar as opções padrão da Internet.
| No Registro | – |
|---|---|
| No Disco |
|
| Observações | – |
Detalhes
O arquivo IERESET.INF guarda as configurações que serão usadas quando as configurações do Internet Explorer forem resetadas.
No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um redirecionamento através do site da Microsoft.
Observações
–
Como saber
Faça como nas entradas R0.
Linha Defensiva 