manual hijack this 2.0.2

Manual Hijack This 2.0.2 by Trend Micro Publicado en Forospyware

Adaptado al formato pdf por: Cazador Asesino - http://cazadorasesino.blogspot.com/

INTRODUCCIÓN – MANUAL HIJACK THIS

Últimamente cada vez es más frecuente la aparición de morralla en los ordenadores. La palabra

morralla aparecerá con frecuencia en este artículo y estará referida a toda esa fauna, con

frecuencia no detectada por muchos antivirus (este aspecto está cambiando y, probablemente,

más lo hará en el futuro), conocida como spyware, adware, hijackers, BHO, etc.

Para defendernos de su existencia disponemos de excelentes soluciones gratuitas, caso de

Spybot Search & Destroyy la protección preventiva de Spywareblaster (ambos programas muy

recomendables). Sin embargo, no siempre es posible eliminarla a posteriori con las medidas

habituales y para esos casos puede ser bastante útil emplear, a modo de bisturí, la herramienta

que se comentará en este artículo: HijackThis (HJT) de Merijn.org.

Antes de continuar, mencionaré algunas denominaciones dentro de esta fauna (suele ser

motivo de confusión), unas más genéricas, otras más específicas, pero bastante típicas en los

tiempos actuales:

Spyware: son programas que, sin conocimiento por parte del usuario, corren en segundo plano

recolectando información sobre éste y sus hábitos de navegación. Esta información puede

abarcar desde el navegador que utilizamos, páginas visitadas, duración de nuestra estancia en

ellas, nuestra IP... inclusive el SO y la CPU que utilizamos. Dicha información es enviada a los

responsables del programa y con ello no sólamente atentan contra nuestra privacidad, también

hacen uso del ancho de banda de nuestra conexión para llevar a cabo su propósito. En

resumen: no existe conocimiento ni consentimiento por parte del usuario.

Adware: (ADvertising-Supported softWARE): muy similar a lo anterior. La diferencia estriba en

que suele venir incluido en programas shareware y por tanto, al aceptar los términos legales

durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros

equipos y afirmando que estamos informados de ello (aunque en la práctica no sea así, ya que

pocas personas prestan atención a los contratos o licencias de uso mostradas durante la

instalación). Un ejemplo de ésto pueden ser los banners publicitarios que aparecen en software

diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera

pseudogratuita.

Hijackers: se encargan de modificar las opciones de configuración del navegador

(tradicionalmente, Internet Explorer de MS) para apuntar hacia otros sitios, cambiar nuestra

página de inicio, la página de error, etc. Habitualmente capturan nuestras peticiones de

navegación, de manera que ralentizan el comportamiento del navegador, aparte de obligar a

éste a obedecer a sus propósitos. Para comprender mejor el término es bastante descriptivo

mencionar que, en otros ámbitos, esta palabra es empleada para definir a personas que

empleando la fuerza, secuestran/roban un vehículo (típicamente un avión) para obligar a

cambiar su ruta y lugar de destino. Vendría a ser lo mismo, aplicado a los navegadores.



Suelen valerse de ActiveX maliciosos o de agujeros de seguridad del navegador, por ello es

conveniente protegernos de ellos con la protección preventiva de Spybot S&D y

Spywareblaster.

BHO (Browser Helper Object): se podría dar una definición técnica al estilo de es un objeto

COM dentro de una DLL que se carga automáticamente con el IE... si buscáis algo así, mejor os

remito a la amplia exposición de un artículo de MS. Para el objetivo de este artículo, es mucho

más asequible decir que es un pequeño programa que se ejecuta automáticamente cada vez

que abrimos el navegador de Internet. Suele instalarse a la vez que instalamos otros programas

(como se mencionaba en el caso del adware, por ejemplo) o también mediante ActiveX y sus

funciones pueden ser muy diversas, desde capturar eventos, lanzar pop ups, ventanas de

mensajes, cambiar nuestra página de inicio, páginas de búsqueda, banners adware, crear

toolbars, monitorizar y reportar nuestros hábitos, etc. En ocasiones pueden provocar errores en

nuestro sistema, conflictos con otras aplicaciones, disminuir el rendimiento del navegador...

poco agradable, ¿verdad?

Hay que reseñar que este tipo de aplicaciones no son frenadas por los cortafuegos ya que, por

sus características, son vistas como si fueran el propio navegador (ver símil con dll/code

injection en nuestra guía del SSM, programa cada vez más recomendable).

Toolbars: grupo de botones situados generalmente bajo la barra de herramientas del

navegador. Pueden deberse a aplicaciones normales (limpias) que tengamos instaladas, al

integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de

la presencia de BHO maliciosos.

Hay muchos más, pero esta muestra sirve de ejemplo para ver cómo esta fauna cada vez posee

más elementos específicos, adquiriendo protagonismo propio por encima de denominaciones

genéricas como spyware/adware. De la misma manera, hay que decir que no es infrecuente

que se presenten simultáneamente en un mismo spyware, cada vez más complejos y con más

ramificaciones por nuestro sistema



Introducción al Manual de HijackThis™ v2.0.2 (by Trend Micro™)

¿Que es HijackThis?

Es una pequeña herramienta (Para usuarios avanzados) que nos permite

detectar y eventualmente, eliminar las modificaciones hechas por Browsers

hijackers tales como: "Toolbars, Páginas de Inicio, Páginas de búsqueda,

Spywares, Adwares, Troyanos, Malwares, Bho, etc..

Generando un Log (Reporte) Cita:

Descargar el fichero HJTInstall.zip que contiene el nuevo instalador automático de HJTInstall.exe

Con todos los programas cerrados (MSN, IE, KaZaa, etc..) ejecute el instalador HJTInstall.exe y presione el botón de Install.

Cuando este termine abrirá el programa HijackThis donde hay que presionar el botón "Do a system scan and save a logfile"

HijackThis escaneara nuestro sistema y nos dará automáticamente la opción de guardar el 'Log' para poder copiarlo y pegarlo en un nuevo tema en el Foro de HijackThis.



Analizando los resultados de un log: Cada línea de la lista de resultados del HijackThis empieza con un nombre de sección. A continuación se presenta un lista de los nombres de sección y su descripción, tomados del sitio de Merijn's (el creador de HijackThis).

• Entradas - R0, R1, R2, R3 URL's de páginas de inicio y búsqueda del Internet Explorer

• Entradas - F0, F1, F2, F3 Programas autoejecutables

• Entradas - N1, N2, N3, N4 URL's de páginas de inicio y búsqueda de Netscape y Mozilla

• Entradas - O1 Archivo redireccionador de hosts

• Entradas - O2 BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador)

• Entradas - O3 Barras de Herramientas del Internet Explorer

• Entradas - O4 Programa autoejecutables desde el registro

• Entradas - O5 Iconos no visibles de IE en el Panel de Control

• Entradas - O6 Opciones del IE con acceso restringido por el administrador

• Entradas - O7 Acceso restringido al Regedit por el administrador

• Entradas - O8 Objetos extras del IE

• Entradas - O9 Botones extras en el botón principal de la barra de herramientas del IE o objetos extra en el menú "Herramientas"

• Entradas - O10 Hijacker del Winsock

• Entradas - O11 Grupo extra en la ventana de Opciones Avanzadas del IE

• Entradas - O12 Plug-ins para el IE

• Entradas - O13 Hijacker del prefijo por defecto de IE

• Entradas - O14 Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web)

• Entradas - O15 Sitio no deseado en la Zona de Sitios de Confianza

• Entradas - O16 Objetos ActiveX (Archivos de Programa Descargados)

• Entradas - O17 Hijacker Lop.com

• Entradas - O18 Protocolos extras y protocolo de Hijackers

• Entradas - O19 Hijacker de Hojas de Estilo



• Entradas - O20 Valores de Registro autoejecutables AppInit_DLLs

• Entradas - O21 Llaves de Registro autoejecutables ShellServiceObjectDelayLoad

• Entradas - O22 Llaves de Registro autoejecutables SharedTaskScheduler

• Entradas - 023 Servicios de Windows XP/NT/2000

• Entradas - 024 Componentes de escritorio activos de Windows. (Wallpapers)

Es importante aclarar que ciertas secciones usan una lista blanca interna así que el HijackThis no

mostrará archivos legítimos. Para desactivar esta lista blanca, puedes ejecutar HijackThis de esta

forma: HijackThis.exe /ihatewhitelists.



Entradas - R0, R1, R2, R3

Esta sección abarca la página de inicio y búsqueda del Internet Explorer.

R0 es para las páginas de inicio y el asistente de búsqueda del IE.

R1 es para las funciones de búsqueda de IE y otras características.

R2 no es usado actualmente.

R3 es para un Buscador de URL's.

Mostrará algo parecido a esto:

Ejemplo: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.infospyware.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.infospyware.com/

Si la pagina web que aparece tanto en la entrada R0 con en la R1, es reconocida por pertenecer a

algún malware o el usuario no ha puesto esta y la desconoce y quiere cambiarla, se puede usar

HijackThis para removerlas de forma segura o también la herramienta IniRem.exe

Para los objetos de R3, siempre arréglalos a menos que se mencione un programa que

reconozcas, como Copernic.

Una pregunta común es que qué significa cuando la palabra Obfuscated (Ofuscado) sigue a una

de esas entradas. Cuando algo está ofuscado significa que es algo difícil de percibir o entender.

En términos de spyware esto sginifica que el spyware o hijacker está escondiendo una entrada

hecha por él convirtiendo los valores en otra forma que él entienda fácilmente, pero las personas

tengas problemas reconociendolas, como agregando entradas en el registro en hexadecimal. Ésto

es solo otro método de esconder su prescencia y de hacer difícil el removerlos.

Si no reconoces la página web que señala tanto el punto R0 como el R1, y deseas cambiarla,

entonces puedes usar HijackThis para removerlos de forma segura, no serán perjudiciales para el

IE. Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro

con HijackThis, HijackThis no borrará ese archivo en particular y usted tendrá que borrarlo

manualmente.



Hay cierto tipo de entradas R3 que terminan con un guión bajo, como por ejemplo:

R3 - URLSearchHook: (no name) - _ - (no file)

Note el CLSID, los números entre las llaves, tienen un guión bajo al final y ello a veces dificulta

removerlos con el HijackThis. Para arreglar esto necesita borrar manualmente esa entrada en

particular, siguiendo esta ruta:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID, CFBFAE00-17A6-11D0-

99CB-00C04FD64497, que es válido por defecto.

Si no reconoce el software que usa en el UrlSearchHook, búsquelo en Google y dependiendo de

los resultados de la búsqueda, permita que HijackThis lo arregle.

Algunas llaves de registro:

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page

HKCU\Software\Microsoft\Internet Explorer\Main: Start Page

HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL

HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL

HKLM\Software\Microsoft\Internet Explorer\Main: Search Page

HKCU\Software\Microsoft\Internet Explorer\Main: Search Page

HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)

HKCU\Software\Microsoft\Internet Explorer\Main: Window Title

HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: ProxyOverride

HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext

HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch

HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro con

HijackThis, HijackThis no borrará ese archivo en particular y hay que borrarlo manualmente o

con KillBox.



Entradas - F0, F1, F2, F3

Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini

o sus equivalentes en el registro.

F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado

por Windows 9X y anteriores designan qué programa actuará como shell para el sistema

operativo. La Shell es el programa que carga el escritorio, controla la administración de ventanas

y permite que el usuario interactúe con el sistema. Cualquier programa listado después del shell

statement será cargado cuando Windows arranque, y actuará como la shell por defecto. Hay

algunos programas que actúan como un reemplazo válido para la shell, pero generalmente no se

usa más. Windows 95 y 98 (¿Windows ME?), ambos usan el Explorer.exe como su shell por

defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean

ejecutados cuando Windows cargue en la misma línea Shell =, como por ejemplo:

Shell=explorer.exe programa_maligno.exe. Esta línea hará que ambos programas arranquen

cuando Windows cargue.

Los objetos de F0 siempre son malos, así que conviene arreglarlos.

F0 - system.ini: Shell=Explorer.exe Abreme.exe

F1 - win.ini: run=hpfsched

F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado después de

run= o load= cargará cuando Windows cargue. Run= fue muy usado en tiempos de Windows

3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas

modernos no usan esta característica ini, y si no estás usando un programa antiguo entonces

sospecha. El load= era usado para cargar los drivers del hardware.

Los objetos listado en F1 usualmente son programas muy viejos, pero que son seguros, así que

puedes encontrar más información del nombre del archivo para saber si es malo o bueno.

Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que están ubicadas en el

registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows

generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan

una función llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini

en el registro, con llaves para cada línea encontradas en el .ini. Entonces cuando corre un

programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisará la

llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current

Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leerá las configuraciones desde

ahí. Puedes ver que esta llave está refiriendose al registro como si conteniera REG y entonces el

archivo .ini al cual se está refiriendo el IniFileMapping.



Otra entrada común encontrada en F2 es la entrada UserInit la cuál corresponde a la llave:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit la cuál se

encuentra en Windows NT, 2000, XP y 2003. Esta llave especifíca qué programa se debe cargar

después que un usuario se loguee en Windows. El programa por defecto para esta llave es:

C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes,

colores, etc. para tu nombre de usuario. Es posible añadir programas furtivos que inicien desde

esta llave separando los programas con una coma. Por ejemplo:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =

C:\Windows\System32\userinit.exe,C:\Windows\progra ma_maligno.exe. Esto hará que ambos

programas se ejecuten cuando te loguees y es un lugar común para ejecutar troyanos, hijackers y

spywares.

Llaves del Registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\IniFileMapping,

Archivos Usados:

c:\windows\system.ini

c:\windows\win.ini

Escriba aquí la ecuación.Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe

Something.exe

Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe

Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe

En F0 si ves una línea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces

definitivamente deberías borrarlo. Generalmente puedes borrar estas entradas, pero recuerda

consultar Google.

Para las entradas F1 es recomendable que las busques en Google y así determinar si pertenecen a

programas legales.

Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba,

entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue

estando bien, también puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces

podría ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves

explorer.exe, sólo, entonces está bien, si no, como en el ejemplo de arriba, entonces podría ser

troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google

primero.



Sitios para consultar:

http://www.bleepingcomputer.com/startups/

http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

http://greatis.com/regrun3appdatabase.htm

http://www.sysinfo.org/startuplist.php

http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS

http://www.kephyr.com/filedb/index.php

http://www.liutilities.com/products/wintaskspro/processlibrary/



Entradas - N1, N2, N3, N4

Estas secciones son para las páginas de inicio y motor de búsqueda por defecto de los

navegadores Netscape y Mozilla.

Estas entradas están guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta

C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 están

guardadas en el archivo prefs.js en el directorio de programa el cuál por lo general es

C:\Archivos de Programa\Netscape\Users\default\prefs.js.

N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4.



N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla.

Archivos usados: prefs.js

Como la mayoría de los spywares y hijackers están hechos para IE, estos navegadores

usualmente están a salvo. Si ves sitios web listados ahí que tu no hayas establecido, puedes usar

el HijackThis para arreglarlo.



Entradas - O1

Estas entradas corresponden al archivo de redirección Hosts.

El archivo hosts contiene la relación de IP's con hostnames. Por ejemplo:

127.0.0.1 www.infospyware.com

Si tratas de ir a www.infospyware.com, revisará el archivo hosts, verá la entrada y la convertirá a

la dirección IP 127.0.0.1 a pesar de la dirección correcta.

Algunos hijackers usan el archivo de redirección hosts para redirigirte a ciertos sitios en lugar de

otros. Así, si alguien inserta una entrada como esta:

127.0.0.1 www.google.com

y tratas de ir a www.google.com, serás redirigido a 127.0.0.1 la cuál es tu propia computadora.

Ejemplo: O1 - Hosts: 192.168.1.1 www.google.com

Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier

editor de texto y está guardado por defecto en los siguientes lugares dependiendo del Sistema

operativo, a menos que elijas instalarlo en un ruta diferente.

Operating System Location

Windows 3.1 C:\WINDOWS\HOSTS

Windows 95 C:\WINDOWS\HOSTS

Windows 98 C:\WINDOWS\HOSTS

Windows ME C:\WINDOWS\HOSTS

Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS

Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS

Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Windows VISTA C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

La localización del archivo hosts puede ser cambiada modificando la llave del registro (para

Windows NT/2000/XP):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Tcpip\Parameters\:

DatabasePath

Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que

deban estar ahí, puedes borrarlas con seguridad.



Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás

infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de

tu sistema operativo, entonces usa HijackThis para arreglar esto que lo más probable es que haya

sido causado por un infección.

También pueden descargar el programa IniRem.exe el cuál permite restaurar el archivo hosts

por defecto. Para hace eso, descargar el programa Hoster y ejecútarlo. Cuando abra, dar click en

el botón "Restore Original Hosts" y luego cerrar el programa Hoster.

Entradas - O2

Estas entradas corresponden con los Browser Helper Objects (o BHO, en español algo así como:

"Objetos que Ayudan al Navegador").

Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por

spywares así como programas legítimos como Google Toolbar y Adobe Acrobat Reader.

Investige cuando esté decidiendo qué quitar y qué no quitar, pues algunos de ellos podrían ser

legítimos.

Ejemplo: O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Existe una excelente lista de conocidos BHO aquí: CastleCops - CLSID BHOList ToolbarList.

Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID

en el listado hacen referencias a entradas del registro que contienen información acerca de los

BHO.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá finalizar el proceso del

archivo listado. Hay ocasiones en que el archivo sigue en uso aún después de haber cerrado el IE.

Si el archivo aún existe después de arreglarlo con HijackThis, es recomendable que reinicies el

sistema en modo seguro y borrar el archivo.



Entradas - O3

Estas entradas corresponden a las barras de herramientas del Internet Explorer.

Estas son las barras de herramientas (toolbars) debajo de su barra de navegación y menú del IE.

Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar

Ejemplo: O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll

Si no reconoces ninguno de los nombres puedes usar la lista CLSID de CastleCops - CLSID

BHOList ToolbarList para buscar la entrada o el nombre de esta barra de herramientas. Cuando

consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el

listado hacen referencias a entradas del registro que contienen información acerca de los BHO.

Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo.

Cuando arregles este tipo de entradas, HijackThis no borrará los objetos presentados en la lista.

Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y

borres lo listado.

Entradas - 04

Estas entradas corresponden a las aplicaciones que están presentes en ciertas llaves en el registro

y las carpetas de inicio y son cargados automáticamente cuando Windows inicia. Las llaves del

registro mostradas aquí son válidas para Windows XP, NT y 2000 (otros sistemas operativos ¿?).

Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves

del registro.

Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en

particular.

Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea

cualquier usuario.



Llaves del Registro del Arranque:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once

HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para

HKEY_CURRENT_USER.

Directorios usados:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup

Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Ejemplo: O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada.

Deberás borrarlos manualmente usando "FileASSASSIN".

Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos

directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside

en los directorios Global Startup o Startup entonces será borrado.

Muchos programas legítimos arrancan de esas formas, una entrada quizá parezca que les

pertenece pero sigue siendo de algún programa malicioso.

Consulta los siguientes enlaces para las entradas O4:

Bleeping Computer Startup Database

Task List Programs - AnswersThatWork's famous Database of Windows Task Manager

Processes, Windows Startup Items, XP Services, Vista Services, Process List

Application Database - Greatis Software

Sysinfo.org

Startups - Contents

Welcome to the File Database!

http://www.liutilities.com/products/...rocesslibrary/



Entradas - 05

Estas entradas corresponden a no poder acceder a las opciones de IE en el Panel de Control.

Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro

del archivo llamado control.ini la cuál está guardada (al menos para Windows XP) en

C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no

deben ser visibles.

Archivos de usuario: control.ini

Ejemplo: O5 - control.ini: inetcpl.cpl=no

Si ves una línea parecida como la de arriba quizá sea señal de que un software está tratando de

dificultar el cambio de las configuraciones. A menos que se conozca una razón específica, como

que el administrador configuró la política o SpyBot S&D colocó una restricción, puedes usar

HijackThis para arreglarlo.

Entradas - 06

Esta sección corresponde a una rstricción, por parte del administrador, de hacer cambios en las

opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el

registro.

Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Ejemplo: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Estas opciones sólo aparecen si su administrador las configuró a propósito o si el usuario usó la

opción "SpyBot Home Page and Option Lock" de la sección Inmunizar del SpyBot.

Entradas - 07

Estas entradas corresponden a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.

Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System

Ejemplo: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System: DisableRegedit=1

Por favor noten que muchos admnistradores de oficinas bloquean el Regedit a propósito, por lo

que arreglarlo con HijackThis puede romper normas corporativas. Si el usuaro es el

administrador y esta opción ha sido activada sin que este sepa, entonces usa HijackThis para

arreglarlo.



Entradas - 08 Estas entradas corresponden a los objetos extras encontrados en el Menú Contextual del Internet Explorer. Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Ejemplo legitimo: O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html Ejemplo Malware: O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZNxmk967YYES El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar. Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Entradas - 09 Estas entradas corresponden a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto. Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones Ejemplo: O9 - Extra Button: AIM (HKLM) Si no se necesitan estos botones o los ítems del menú o los se reconocen como malwares, se pueden eliminar con seguridad. Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).



Entradas - 010 Estas entradas corresponden a losHijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet. Ejemplo: O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing SpyBot S&D generalmente puede arreglar esto pero también hay una herramienta especifica para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.forospyware.com/t14.html). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (CastleCops® - LSPs (Layered Service Providers). Extrema precauciones cuando manden a borrar estas entradas, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet. En caso de perdida de la conexión podemos usar la herramienta WinsockXP Fix

Entradas - 011

Estas entradas corresponden a una grupo de opciones no por defecto que han sido agregadas en

la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.

Si buscas en el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones

Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo

una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet

Explorer\AdvancedOptions

Ejemplo: O11 - Options group: [CommonName] CommonName

De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.),

sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves

CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar

Google para investigar un poco.



Entradas - O12

Estas entradas corresponden a los Plug-ins para Internet Explorer.

Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para

agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos disponibles como por

ejemplo el visor de archivos PDF.

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Ejemplo: O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Muchos de los plug-ins son legítimos, así que deberías buscar en Google aquél que no reconoces

antes de borrarlo. Un conocido plug-in que deberías borrar es el Onflow plug-in que tiene la

extensión de .OFB.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo

listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está

cerrado. Si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis, es

recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.



Entradas - O13 Estas entradas corresponden a un hijacker del prefijo por defecto del Internet Explorer.

El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que

escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega

http:// al principio, como el prefijo por defecto.

Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El

hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a

http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.es,

en realidad irás a http://ehttp.cc/?www.google.com.es, el cuál es en realidad el sitio web para

CoolWebSearch.

Llave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\URL\DefaultPrefix\

Ejemplo: O13 - WWW. Prefix: http://ehttp.cc?

Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder.

Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en

tu máquina.

Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para

arreglar esta entrada cuando la encuentres.



Entradas - O14

Estas entradas corresponden al hijacker del "Reset Web Settings" (Reseteo de las

Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando

reseteas las opciones a las que venían por defecto. Ese fichero está guardado en

C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas.

Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén

en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás

reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del

fichero iereset.inf.

Ejemplo de entra

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Por favor esté al tanto de este fichero (en dado caso de que aparezca en el log), que es posible

que el cambio sea legítimo, que lo haya modificado la manufacturera de computadoras o el

administrador de la máquina. Si no reconoces la dirección entonces deberías arreglarlo.

Entradas - 015

Las entradas 015 corresponden con los sitios indeseados en la Zona de Sitios de Confianza. La

seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente

nivel de seguridad en términos de scripts y aplicaciones que pueden correr mientras se está

usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en

un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten

scripts, algunos potencialmente peligrosos, de algún sitio web.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Internet Settings\ZoneMap\Domains

Ejemplo: O15 - Trusted Zone: www.infospyware.com



Entradas - 016

Las entradas 016 corresponden a los objetos ActiveX, también conocidos como Downloaded

Program Files (Archivos de Programa Descargados).

Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu

computadora. Estos objetos están guardados en C:\windows\Downloaded Program Files. Estos

tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre

llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor

iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

/>

Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no

legítimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu

computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo

a la página desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de

compañías que usan objetos ActiveX así que ten cuidado. Siempre borra las entradas O16 que

tengan palabras como sex, porn, dialer, free, casino, adult, etc.

Recomendar el uso de SpywareBlaster para proteger el PC de spyware, hijackers y malware.

Cuando arregles entradas O16, HijackThis intentará borrarlas del disco duro. Normalmente esto

no será problema, pero hay ocasiones en que HijackThis no será capaz de borrar el archivo. Si

esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces bórralo.

Entradas - 017

Las entradas 017 corresponden al los servidores DNS

El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para

que apunten a sus propios servidores, donde pueden dirigirte a cualquier sitio que ellos quieran.

Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a

www.google.com.mx, te redirijan al sitio de su elección.

Ejemplo:

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que

te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía,

entonces deberías usar HijackThis para arreglar esto. Puedes ir a Arin (American Registry for

Internet Numbers (ARIN) - Home Page) para hacer un whois a la IP del servidor DNS para

determinar a qué compañía le pertenecen.



Entradas - 018

Las entradas 018 corresponden a los protocolos extra y protocolos de hijackers.

Este método es usado para cambiar los controladores de protocolo estándar que tu computadora

usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales

en que tu computadora envía y recibe información.


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Hand ler

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filt er

HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar.

Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo:

O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~\MSIETS\msielink.dll

Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos

nombres puedes arreglarlos con HijackThis.

Entradas - 019

Las entradas 019 corresponden al hijacker de las hojas de estilo del usuario.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se

visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto,

la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas

emergentes de publicidad) y causar una lentitud potencial.


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Ejemplo:

O19 - User style sheet: c:\WINDOWS\Java\my.css

Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es

recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.



Entradas - 020

Las entradas 020 correspondem a los archivos que se cargan a través del valor del registro

AppInit_DLLs.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando

user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que

significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será

cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples

procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El

archivo user32.dll también es usado en procesos que inician automáticamente por el sistema

cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán

cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o

protegerse a sí misma antes que tengamos acceso al sistema.

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Por lo tanto

hay que usar "KillBox" para eliminar el archivo.

Entradas - 021

Las entradas 021 correspondem a los archivos que se cargan a través de la llave del registro

ShellServiceObjectDelayLoad.

Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en lugar de

apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la

información acerca del DLL en particular que se está usando.

Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu

computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a

cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto

cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención

humana.



Un hijacker que usa el método puede reconocerse por las siguientes entradas:

Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

C:\WINDOWS\secure.html

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr

entVersion\ShellServiceObjectDelayLoad

O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Por lo tanto

hay que usar "KillBox" para eliminar el archivo.

Entradas - 022

Las entradas 022 corresponden a los archivos que se cargan a través del valor del registro

SharedTaskScheduler.

Las entradas en este registro se ejecutan automáticamente cuando inicia Windows. A la fecha

sólo CWS.Smartfinder usa esta llave.

Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Explorer\SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll

HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no

borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo

tanto hay que usar "KillBox" para eliminar el archivo.



Entradas - O23

Estas entradas corresponden a los "Servicios de Windows"

Los Servicios de Windows son aplicaciones internas o pequeños programas que se cargan en el

inicio de Windows, quedando estos residentes en memoria y trabajando en segundo plano

(background), con el objetivo de conseguir una máxima funcionalidad de Windows con la

mínima intervención del usuario.

Para conocer mas tenemos un manual en el foro creado por "Jereque" donde nos explica a fondo

el tema: Los Servicios De Windows XP

Entradas - O24

Estas entradas corresponden a los "componentes de escritorio activos de Windows."

Wallpaper

Los componentes de escritorio activos son lo que comúnmente llamamos Wallpapers o "Fondos

de escritorio" y pueden ser tanto imágenes que estén en tu disco local o en algún sitio web. Hay

muchos malwares que utilizan este método de infección apoderándose del la imagen mostrada en

el escritorio de Windows.

Los ejemplos comunes de las infecciones que utilizan este método son la familia de PSGuard y

sus variantes de "Falsos Antispywares. Estas infecciones utilizan componentes de escritorio

activos para exhibir falsas advertencias de seguridad en el fondo de escritorio del usuario.



Obtenido de Forospyware.com


Si desea ver el documento original, visite: http://www.forospyware.com/t132255.html

Web oficial de HijackThis: http://www.trendsecure.com

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta

información. Si usted quisiera ayuda con cualquiera de estos arreglos, usted puede pegar su log de

HijackThis en el Foro Oficial de HijackThis en español