Nesta Página

O8, O9 — Novas Opções

As entradas O8 e O9 indicam novas opções no Internet Explorer.

No Registro
  • HKCUSoftwareMicrosoftInternet ExplorerMenuExt
  • HKLMSOFTWAREMicrosoftInternet ExplorerExtensions
No Disco
Observações

Detalhes

As entradas O8 se tratam de novas opções no menu de contexto (clique inverso), enquanto entradas O9 aparecerão quando houver botões adicionais na barra de ferramentas ou no menu Ferramentas do Internet Explorer.

O8 – Extra context menu item: &Google Search – res://C:WINDOWSDOWNLOADED PROGRAM FILESGOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.htmlO9 – Extra button: Messenger (HKLM)
O9 – Extra ‘Tools’ menuitem: Messenger (HKLM)

Observações

Como saber

Algumas entradas O9 estão no mesmo formato das O2 e O3 (ou seja, incluem um CLSID e um arquivo de destino). Se a entrada for como as do exemplo, você terá que ver se o nome é de algum programa conhecido. Se a entrada tiver um CLSID e um arquivo para verificar, fica mais fácil.

O10 — LSP

Se o HijackThis encontrar algum arquivo estranho nos Layered Service Providers, uma entrada referente ao arquivo encontrado será exibida.

No Registro HKLMSYSTEMCurrentControlSetServicesWinSock2Parameters
No Disco
Observações Essa entrada não deve ser marcada no HijackThis!

Detalhes

Entradas O10 são referentes aos Provedores de Serviço em Camada (Layered Service Providers) — LSP. Sempre que o HijackThis encontrar algum LSP que ele não conhece, uma entrada O10 irá aparecer no log. Se o HijackThis encontrar LSPs do New.net ou do webHancer, entradas específicas para essas infecções serão mostradas, porém não é recomendado marcá-las. A utilização de um programa de desinstalação é preferível.

Qualquer outra entradas O10 simboliza arquivos desconhecidos pelo HijackThis. Outras entradas O10 mostram que alguns arquivos referenciados no registro não estão presentes, o que significa que a conexão com a Internet pode não estar funcionando.

O documento sobre LSPs entra em mais detalhes sobre a utilização e funcionamento dos LSPs.

O10 – Broken Internet access because of LSP provider ‘imon.dll’ is missing

Sempre que você encontrar uma entrada dessas, use o LSPFix (detalhado no documento sobre LSPs) e não marque nada no HijackThis.

Nota: A presença de uma O10 não necessariamente significa que há algo errado, apenas que o HijackThis encontrou um arquivo que ele não conhece.

Observações

O HijackThis possui um bug onde ele não é capaz de determinar exatamente quando um arquivo está ou não presente. Isso não afeta somente a entrada O10, mas sim outras entradas. Com isso você verá alguns (file missing) quando os arquivos estão presentes.

Nas entradas O10, porém, isso é crítico. Quando isso acontece o HijackThis alerta que a “corrente/escada LSP está quebrada”, como no exemplo acima, quando na verdade tudo vai bem. Verifique você mesmo se os arquivos existem e, caso sua Internet esteja funcionando e a DLL pertença a um programa seguro, você deve deixar tudo como está, pois o “problema” é apenas um erro no HijackThis.

Se a entrada pertence a um programa malicioso, basta remover usando o LSPFix. Nenhuma entrada O10 deve ser marcada no HijackThis.

Como saber

Existe a lista de LSPs do SystemLookup. Você precisa verificar nessa lista se os arquivos estão marcados como seguros ou não.

011 — Grupos de Opções

Essa entrada mostra grupos de opções adicionais no Internet Explorer.

No Registro
  • HKLMSOFTWAREMicrosoftInternet ExplorerAdvancedOptions
No Disco
Observações

Detalhes

Quando há um grupo novo de opções na aba “Avançado” das configurações do Internet Explorer, uma entrada O11 será exibida.

O11 – Options group: [CommonName] CommonName

Marcando a entrada, o grupo de opções vai sumir.

Observações

Como saber

Somente o CommonName (do exemplo) utiliza essa entrada. Portanto só marque se você ver a entrada do CommonName.

O12 — Plugins do IE

As entradas O12 representam plugins do Internet Explorer.

No Registro
  • HKLMSOFTWAREMicrosoftInternet ExplorerPlugins
No Disco
Observações

Detalhes

Os plugins são instalados no Internet Explorer para fazer funções adicionais, como um BHO. Alguns plugins são comuns, como o plugin da Adobe para abrir arquivos PDF diretamente no navegador.

Plugin for .PDF: C:Program FilesInternet ExplorerPLUGINSnppdf32.dll

Observações

  1. Essa entrada é raramente utilizada para objetivos malicioso, mas aparece com entradas legítimas com freqüência.

Como saber

A única maneira é fazendo uma busca na Internet. Os plugins da Onflow, que possuem uma extensão .OFB, são maliciosos.

O13 — Prefixos

Essa entrada se refere aos prefixos adicionados nos endereços que você visita usando o Internet Explorer.

No Registro
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
No Disco
Observações Existem diversos prefixos diferentes que serão denominados no início da entrada

Detalhes

Os prefixos de URL são adicionados em todas as URLs que você visita sem definir o protocolo (HTTP:// ou FTP://, por exemplo). Caso você digite um site sem definir o protocolo, o Internet Explorer redireciona você automaticamente, adicionando um HTTP:// ou FTP:// no endereço. O navegador pode ser configurado para adicionar qualquer coisa antes do endereço.

O13 – WWW. Prefix: http://ehttp.cc/?

Esse prefixo, por exemplo, faz com que todas as URLs que começam com WWW sem o HTTP:// antes sejam redirecionados para ehttp.cc. Se você digitar http://www.example.com, você é redirecionado para http://ehttpc.cc/?www.example.com. Desse modo, todas as suas conexões passarão pelo servidor malicioso e podem permitir que o mesmo saiba quais os sites que você visita. Se você digitar http://www.example.com, entretanto, nada vai acontecer.

Se você não consegue navegar devido aos redirecionamentos, tente colocar o HTTP:// antes do endereço para fazer com que os prefixos não sejam acionados.

Observações

Como saber

Se o site listado no prefixo for ruim, da mesma forma que nas entradas R0, você deve marcar a entrada.

O14 — Configurações Padrão do IE

As entradas O14 mostram as configurações do IE que serão ativadas quando você selecionar as opções padrão da Internet.

No Registro
No Disco
  • C:WINDOWSinfiereset.inf
Observações

Detalhes

O arquivo IERESET.INF guarda as configurações que serão usadas quando as configurações do Internet Explorer forem resetadas.

O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No exemplo acima, sua página inicial seria searchalot.com se você usasse a opção “Usar padrão” nas Opções da Internet. Os padrões para essa entrada geralmente são um redirecionamento através do site da Microsoft.

Observações

Como saber

Faça como nas entradas R0.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.