Nesta Página

O15 — Sites confiáveis

A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet Explorer.

No Registro
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
  • HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapRanges
  • HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapRanges
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapProtocolDefaults
No Disco
Observações

Detalhes

As entradas O15 mostram os sites presentes na lista de “Sites confiáveis” do Internet Explorer. Diversos hijackers se adicionam nessa lista para que possam executar livremente qualquer código no computador da vítima.

O15 – Trusted Zone: http://www.linhadefensiva.org
O15 – Trusted IP range: 206.161.125.149
O15 – Trusted IP range: 206.161.125.149 (HKLM)

O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um (HKLM) ao lado do site como:

O15 – Trusted Zone: http://www.linhadefensiva.org (HKLM)

Nesse caso é preciso baixar o DelDomains, clicar com o botão direito no DelDomains.inf e clicar em Instalar. Isso removerá todas as entradas presentes nos sites confiáveis e nos sites restritos. Portanto se você tinha alguma entrada nos sites restritos, é necessário adicioná-las novamente.

A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos, Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma entrada como a exibida abaixo:

O15 – ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone (HKLM)

Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiáveis!

Observações

  1. O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains para remover as entradas que o HijackThis não consegue remover

Como saber

As entradas iniciadas com ProtocolDefaults são sempre ruins, então marque-as.

Já as entradas que listam sites, você deve verificar os sites como faz com as R0.

O16 — ActiveX

As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer (Downloaded Program Files).

No Registro
  • HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units
No Disco
Observações As entradas O16 fazem o uso de GUIDs/CLSIDs

Detalhes

Essas entradas mostram os programas ActiveX instalados pelo usuário.

O16 – DPF: {11120607-1001-1111-1000-110199901123} – C:x.cab
O16 – DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) – http://www.ipix.com/download/ipixx.cab

Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornográficos e GAIN. Por outro lado, eles também são usados por programas legítimos, como antivírus online.

Observações

Como saber

O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins. Você pode usar a opção “Find” para procurar pelo CLSID no banco de dados do programa. Se ele estiver lá, é ruim.

Se a entrada apontar para um arquivo local (como o c:x.cab no exemplo), ela é provavelmente resultado da exploração de alguma falha no Internet Explorer e é, portanto, ruim.

Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem começa a usar o HijackThis (mas não seja enganado pelos sites falsos como akamai.downloadv3.com).

O17 — Configurações da rede

A entrada O17 lista diversas configurações de rede/Internet do Windows.

No Registro O HijackThis exibe a chave de onde ele tirou a configuração em questão
No Disco
Observações Marcar entradas O17 legítimas vão desconfigurar a rede!

Detalhes

Depois que o hijacker da C2Media começou a modificar as configurações de rede, o HijackThis adicionou a entrada O17 para exibir essas configurações. O HijackThis não consegue “consertar” as configurações da rede e apenas as apaga caso você marque e “corrija” a entrada.

017 – HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175

Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É importante lembrar que nem todos os computadores são reconfigurados automaticamente na ausência de um servidor de DNS.

A entrada O17 também exibe o nome de domínio ao qual o computador pertence, se estiver em um.

Observações

  1. Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador da rede para saber como reconfigurá-la.
  2. Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na Internet para efetuar a reconfiguração.

Como saber

Para servidores de DNS (como no exemplo), você precisa saber se os endereços pertencem ao seu provedor. O Brasil só utiliza endereços IP que iniciam com 200 e 201, portanto qualquer outro endereço provavelmente é ruim. Na dúvida, fale com seu provedor.

Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu provedor ou administrador de rede.

O17 – HKLMSystemCCSServicesVxDMSTCP: Domain = provedor.com.br

Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu provedor ou administrador de rede se há um domínio configurado para o seu sistema e se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim.

Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.