Nesta Página
- O18 — Protocolos e MIMEs
- O19 — Folhas de Estilo
- O20 — Inicialização Problemática
- O21, O22 — Inicialização pelo Shell
- O23 — Serviços NT
O18 — Protocolos e MIMEs
Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | Para entender algumas entradas aqui você precisa saber o que são tipos MIME. |
Detalhes
Os hijackers de protocolo podem controlar o modo pelo qual certas informações trafegam pelo computador.
Já os hijackers de tipos MIME podem controlar as informações de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir anúncios publicitários indevidamente.
Observações
- Alguns programas instalam protocolos extras, então nem sempre essa entrada é ruim
Como saber
Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo. Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.
O19 — Folhas de Estilo
Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | – |
Detalhes
As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado através de folhas de estilo e por isso alguns hijackers começaram a usar as folhas de estilo.
Observações
- Assim como nas demais entradas, o HijackThis não apaga o arquivo listado
Como saber
Se você não configurou uma folha de estilos no IE, marque.
O20 — Inicialização Problemática
A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | Essa entrada lista dois métodos raríssimos de inicialização que merecem extremo cuidado |
Detalhes
A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.
O AppInit_DLLs é chamado quando qualquer programa é executado, ou seja, toda vez que você executa um programa, o AppInit é executado também. Muitas vezes a chave do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente é usado por infecções de CoolWebSearch.
O WinLogon Notify é executado quando você faz logon no Windows. É usado por infecções Look2Me e trojans HaxDoor.
Observações
- Não é recomendável usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor malicioso, ambos serão removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, é sempre recomendável editar a chave AppInit_DLLs manualmente no registro.
- Se não for possível editar a chave AppInit, é necessário renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, não a pasta Windows).
Como saber
Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você pode também procurar informações na Internet.
Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete on Reboot ou Replace on Reboot.
O21, O22 — Inicialização pelo Shell
As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o Windows.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | Utilizam CLSIDs |
Detalhes
A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam inclusive no Modo de Segurança.
O21 – SSODL – AUHOOK – {11566B38-955B-4549-930F-7B7482668782} – C:WINDOWSSystemauhook.dllO22 – SharedTaskScheduler: (no name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:windowssystem32mtwirl32.dll
Observações
- Essas entradas funcionam em modo de segurança
- Esses métodos de inicialização não são documentados pela Microsoft
Como saber
Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no arquivo, se houver dúvidas.
Adwares têm utilizado entradas O21 com freqüência.
O23 — Serviços NT
As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003.
| No Registro |
|
|---|---|
| No Disco | – |
| Observações | O HijackThis não lista drivers, apenas serviços |
Detalhes
A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam essa entrada sabem se disfarçar de uma maneira bem inteligente.
Entre os parênteses o HijackThis exibe o nome interno do serviço.
Observações
- É importante parar o serviço relevante antes de marcar sua entrada. Clique em Iniciar -> Executar, digite services.msc e clique em OK. Lá você poderá desativar e parar o serviço que você vai marcar no HijackThis
- Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo
- Para apagar serviços, use o Delete an NT Service das ferramentas do HijackThis
- O HijackThis não apaga o arquivo
Como saber
Existem uma lista principal para entradas O23:
Para remover os arquivos em entradas O23, recomenda-se o uso do Delete on Reboot, seja do HijackThis na seção Misc Tools ou com o KillBox.
Linha Defensiva 