Ir direto para o menu Ir direto para o conteúdo
 
Feeds RSS Principal / Textos Técnicos / Ferramentas / HijackThis Completo

HijackThis Completo

Altieres Rohr | 04/06/2005 - 01h41

Nesta Página

O15 — Sites confiáveis

A entrada O15 lista os sites confiáveis e erros na configuração das Zonas do Internet Explorer.

No Registro
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
No Disco -
Observações -

Detalhes

As entradas O15 mostram os sites presentes na lista de “Sites confiáveis” do Internet Explorer. Diversos hijackers se adicionam nessa lista para que possam executar livremente qualquer código no computador da vítima.

O15 - Trusted Zone: http://www.linhadefensiva.org
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

O HijackThis pode ter problemas para remover entradas do tipo Trusted IP Range ou entradas que tenham um (HKLM) ao lado do site como:

O15 - Trusted Zone: http://www.linhadefensiva.org (HKLM)

Nesse caso é preciso baixar o DelDomains, clicar com o botão direito no DelDomains.inf e clicar em Instalar. Isso removerá todas as entradas presentes nos sites confiáveis e nos sites restritos. Portanto se você tinha alguma entrada nos sites restritos, é necessário adicioná-las novamente.

A entrada O15 ainda mostra os padrões de protocolo. Cada protocolo utilizado pelo IE possui um mapeamento padrão para alguma Zona (Internet, Intranet, Restritos, Confiáveis). Se algum protocolo estiver mapeado para a zona incorreta, você verá uma entrada como a exibida abaixo:

O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone (HKLM)

Neste exemplo, todos os sites da internet (protocolo HTTP) haviam sido colocados na Zona de Sites Confiáveis!

Observações

  1. O HijackThis possui bugs para remover algumas entradas O15. Use o DelDomains para remover as entradas que o HijackThis não consegue remover

Como saber

As entradas iniciadas com ProtocolDefaults são sempre ruins, então marque-as.

Já as entradas que listam sites, você deve verificar os sites como faz com as R0.

O16 — ActiveX

As entradas O16 mostram os programas ActiveX instalados pelo Internet Explorer (Downloaded Program Files).

No Registro
  • HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
No Disco -
Observações As entradas O16 fazem o uso de GUIDs/CLSIDs

Detalhes

Essas entradas mostram os programas ActiveX instalados pelo usuário.

O16 - DPF: {11120607-1001-1111-1000-110199901123} - C:\x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

Os ActiveX são geralmente usados para instalar adwares, tais como Hotbar, diversos discadores pornográficos e GAIN. Por outro lado, eles também são usados por programas legítimos, como antivírus online.

Observações

-

Como saber

O programa SpywareBlaster, da JavaCool, possui uma extensa lista de ActiveX ruins. Você pode usar a opção “Find” para procurar pelo CLSID no banco de dados do programa. Se ele estiver lá, é ruim.

Se a entrada apontar para um arquivo local (como o c:\x.cab no exemplo), ela é provavelmente resultado da exploração de alguma falha no Internet Explorer e é, portanto, ruim.

Se você não encontrar informações sobre o CLSID e o arquivo for em um site, faça como nas R0 para determinar se o site é ruim ou não. Se o site for a Akamai.net, a entrada provavelmente é legítima — o Housecall, da TrendMicro, aparece como um ActiveX da Akamai. Marcar entradas da Akamai é dos erros mais comuns de quem começa a usar o HijackThis (mas não seja enganado pelos sites falsos como akamai.downloadv3.com).

O17 — Configurações da rede

A entrada O17 lista diversas configurações de rede/Internet do Windows.

No Registro O HijackThis exibe a chave de onde ele tirou a configuração em questão
No Disco -
Observações Marcar entradas O17 legítimas vão desconfigurar a rede!

Detalhes

Depois que o hijacker da C2Media começou a modificar as configurações de rede, o HijackThis adicionou a entrada O17 para exibir essas configurações. O HijackThis não consegue “consertar” as configurações da rede e apenas as apaga caso você marque e “corrija” a entrada.

017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Neste exemplo, os servidores de DNS que o Windows vai usar foram modificados. É importante lembrar que nem todos os computadores são reconfigurados automaticamente na ausência de um servidor de DNS.

A entrada O17 também exibe o nome de domínio ao qual o computador pertence, se estiver em um.

Observações

  1. Após marcar uma entrada O17 e a rede parar de funcionar, fale com o provedor ou com o administrador da rede para saber como reconfigurá-la.
  2. Utilize os backups do HijackThis se você precisa de acesso para pedir ajuda na Internet para efetuar a reconfiguração.

Como saber

Para servidores de DNS (como no exemplo), você precisa saber se os endereços pertencem ao seu provedor. O Brasil só utiliza endereços IP que iniciam com 200 e 201, portanto qualquer outro endereço provavelmente é ruim. Na dúvida, fale com seu provedor.

Se você marcar a entrada e a Internet não funcionar corretamente, sua rede ou conexão com a Internet não foi reconfigurada automaticamente. Você vai precisar dos endereços do servidor de DNS para reconfigurar sua conexão, que podem ser obtidos com o seu provedor ou administrador de rede.

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = provedor.com.br

Se houver uma entrada de Domínio (Domain), você precisa verificar com o seu provedor ou administrador de rede se há um domínio configurado para o seu sistema e se o mesmo está configurado corretamente. O único hijacker que utiliza domínios é o lop.com, então você dificilmente verá uma entrada O17 com Domain sendo ruim.

Como você pode ver, muitas vezes não é seguro marcar entradas O17 no HijackThis.

 
Compartilhar | Imprimir Imprimir
Ferramentas
 

Conteúdo Relacionado

  • Vírus da Baratinha do MSN – Passo-a-passo: Como remover o worm da Baratinha. [11/09/05]
  • HijackThis – Documento básico explicando como fazer um download e o log do HijackThis. Veja o HijackThis Completo para um documento que detalha todas as funções do programa. [29/09/04]
  • Como remover SP.DLL e SE.DLL – Saiba como remover os mais novos membros da família do CoolWebSearch. [27/03/05]
  • Repsamo/Cimuz – Remoção passo-a-passo do cavalo-de-tróia Repsamo, que também é conhecido como Cimuz. [26/11/05]
  • HijackThis Completo – Uma das perguntas mais freqüentes que recebemos é: “Como eu faço para analisar um log do HijackThis?” Existem diversos tutoriais e documentos sobre ele. Alguns são simples demais e os que possuem informações relevantes e detalhadas estão em inglês. Agora o HijackThis Completo traz em português todos os detalhes do programa, incluindo o significado de cada entrada [04/06/05]

Últimas notícias

Site Seguro

Site Seguro. Não duvide!

Publicidade

Fechar
  • Web Social
  • E-mail
Voltar ao Topo Encaminhe E-mail Suspeito | Comunidade Orkut | Alertas no Twitter | Remova Vírus
Anuncie | Termos de Uso | Política de Privacidade | WP | KP | ASAP
 ©2004-2010 Linha Defensiva. Todos os Direitos Reservados.