Nesta Página

O18 — Protocolos e MIMEs

Essa entrada se refere aos protocolos do Internet Explorer e filtros de tipos MIME.

No Registro
  • HKLMSOFTWAREClassesPROTOCOLS
  • HKLMSOFTWAREClassesCLSID
  • HKLMSOFTWAREClassesPROTOCOLSHandler
  • HKLMSOFTWAREClassesPROTOCOLSFilter
No Disco
Observações Para entender algumas entradas aqui você precisa saber o que são tipos MIME.

Detalhes

Os hijackers de protocolo podem controlar o modo pelo qual certas informações trafegam pelo computador.

O18 – Protocol hijack: http – {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Já os hijackers de tipos MIME podem controlar as informações de arquivos que possuem o determinado tipo MIME. Por exemplo, um hijack no MIME text/html pode permitir que o hijacker controle o conteúdo de todas as páginas na Internet para incluir anúncios publicitários indevidamente.

O18 – Filter: text/html – {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} – C:WINDOWSSYSTEMXPLUGIN.DLL

Observações

  1. Alguns programas instalam protocolos extras, então nem sempre essa entrada é ruim

Como saber

Essa entrada é ruim na maioria dos casos, porém alguns programas instalam protocolos adicionais para alterar certos recursos no Internet Explorer ou integrá-lo com o mesmo. Ferramentas de busca na internet podem ajudá-lo a determinar o que é bom e ruim.

O19 — Folhas de Estilo

Essas entradas listam as folhas de estilo (arquivos CSS) configurados no IE.

No Registro
  • [HKCUSoftwareMicrosoftInternet ExplorerStyles]
    User Stylesheets
No Disco
Observações

Detalhes

As folhas de estilo configuradas no Internet Explorer servem para ajudar deficientes visuais a filtrar cores difíceis de enxergar e ajustar o tamanho da letra. Uma falha no Internet Explorer permite que Javascript (para mostrar pop-ups, por exemplo) seja executado através de folhas de estilo e por isso alguns hijackers começaram a usar as folhas de estilo.

O19 – User style sheet: c:WINDOWSJavamy.css

Observações

  1. Assim como nas demais entradas, o HijackThis não apaga o arquivo listado

Como saber

Se você não configurou uma folha de estilos no IE, marque.

O20 — Inicialização Problemática

A entrada O20 lista as duas entradas de inicialização mais difíceis de serem consertadas.

No Registro
  • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
  • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
No Disco
Observações Essa entrada lista dois métodos raríssimos de inicialização que merecem extremo cuidado

Detalhes

A entrada O20 lista dois métodos raros de inicialização: AppInit e Winlogon Notify.

O AppInit_DLLs é chamado quando qualquer programa é executado, ou seja, toda vez que você executa um programa, o AppInit é executado também. Muitas vezes a chave do AppInit é escondida pelo trojan que o utiliza, dificultando ainda mais a tarefa de limpeza. Geralmente é usado por infecções de CoolWebSearch.

O20 – AppInit_DLLs: C:WINDOWSSystem32aaaaaa.dll

O WinLogon Notify é executado quando você faz logon no Windows. É usado por infecções Look2Me e trojans HaxDoor.

O20 – Winlogon Notify: drct16 – drct16.dll

Observações

  1. Não é recomendável usar o HijackThis para apagar a entrada O20 do AppInit_DLLs. Isso porque ela não possui um valor “padrão” e é uma só, ou seja, tanto os valores legítimos como os malwares ficam na mesma chave. Se você marcar a AppInit_DLLs e houver um valor legítimo junto ao valor malicioso, ambos serão removidos e o software que usava o recurso legitimamente pode ter problemas. Por esse motivo, é sempre recomendável editar a chave AppInit_DLLs manualmente no registro.
  2. Se não for possível editar a chave AppInit, é necessário renomear a chave Windows para outro nome, limpar o valor, e renomear a chave Windows novamente para Windows (a chave Windows no registro, não a pasta Windows).

Como saber

Deve-se fazer uma busca na Internet usando o nome do arquivo ou enviar o arquivo para antivírus online como o VirusTotal para saber se o arquivo é mesmo ruim. Você pode também procurar informações na Internet.

Para remover os arquivos nessas entradas recomenda-se o KillBox com a opção Delete on Reboot ou Replace on Reboot.

O21, O22 — Inicialização pelo Shell

As entradas O21 e O22 carregam arquivos que são executados pelo shell ao rodar o Windows.

No Registro
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersion
    ShellServiceObjectDelayLoad
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersion
    ExplorerSharedTaskScheduler
No Disco
Observações Utilizam CLSIDs

Detalhes

A entrada O21 se refere ao SSODL (ShellServiceObjectDelayLoad), enquanto a O22 é o SharedTaskScheduler. São métodos raríssimos de inicialização que funcionam inclusive no Modo de Segurança.

O21 – SSODL – AUHOOK – {11566B38-955B-4549-930F-7B7482668782} – C:WINDOWSSystemauhook.dllO22 – SharedTaskScheduler: (no name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:windowssystem32mtwirl32.dll

Observações

  1. Essas entradas funcionam em modo de segurança
  2. Esses métodos de inicialização não são documentados pela Microsoft

Como saber

Você pode usar o CLSID, o nome ou o nome do arquivo e, claro, passar antivírus no arquivo, se houver dúvidas.

Adwares têm utilizado entradas O21 com freqüência.

O23 — Serviços NT

As entradas O23 listam serviços não-Microsoft no Windows NT, 2000, XP e 2003.

No Registro
  • HKLMSYSTEMCurrentControlSetServices
No Disco
Observações O HijackThis não lista drivers, apenas serviços

Detalhes

A entrada O23, presente somente nas versões do Windows baseadas no NT, merecem um extremo cuidado. Elas listam diversos serviços de antivírus e os trojans que usam essa entrada sabem se disfarçar de uma maneira bem inteligente.

O23 – Service: System Startup Service (SvcProc) – Unknown owner – C:WINDOWSsvcproc.exe

Entre os parênteses o HijackThis exibe o nome interno do serviço.

Observações

  1. É importante parar o serviço relevante antes de marcar sua entrada. Clique em Iniciar -> Executar, digite services.msc e clique em OK. Lá você poderá desativar e parar o serviço que você vai marcar no HijackThis
  2. Ao marcar uma entrada, o HijackThis apenas desativa o serviço e tenta pará-lo
  3. Para apagar serviços, use o Delete an NT Service das ferramentas do HijackThis
  4. O HijackThis não apaga o arquivo

Como saber

Existem uma lista principal para entradas O23:

  1. SystemLookup O23

Para remover os arquivos em entradas O23, recomenda-se o uso do Delete on Reboot, seja do HijackThis na seção Misc Tools ou com o KillBox.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.