DOCUMENTO: MANUAL – TUTORIAL HijackThis

Definiciones y Consideraciones Previas 

En este Manual – Tutorial sobre HijackThis vamos a ver como funciona este fantático programa que permite detectar y en ocasiones eliminar todas las modificaciones hechas por programas espia , Toolbars, a Paginas de Inicio, Busqueda. etc.

Antes de continuar quiero que tengas presente lo siguiente:

Esta herramienta está orientada a usuarios avanzados, pues todo lo que se muestra en el Log del programa no es Spyware, y que podemos borrar por descuido o por no saber lo que estamos haciendo entradas del registro importantes que pueden hacer que nuestro sistema no vuelva a funcionar más

Una vez aclarado esto, tambien el programa incluye la posibilidad de hacer una copia de seguridad de tu configuración original por si borras algo importante.

Veamos ahora unas definiciones básicas que creo que debes conocer ( gracias dunanea)

¿Qué es el spyware? Son pequeños programas que se instalan en nuestro sistema operativo con la única finalidad de robar nuestros datos y espiar nuestros movimientos por la red, con la finalidad de comercializarlos enviando esa información a empresas de publicidad de Internet.
Trabajan en segundo plano, para que no nos demos cuenta que están ahí, hasta que empiezan a aparecer los primeros síntomas.

¿De que forma entran en nuestro sistema? Al visitar algunos sitios en Internet que descargan su código malicioso (ActiveX, JavaScrips, cookies), sin nuestro consentimiento.
Ocultos en programas gratuitos (Freeware) que al aceptar sus condiciones de uso (casi siempre viene en ingles y no leemos), estamos aceptando que nos espíen.
Acompañando algún virus o llamado por un Troyano.

¿Què información pueden obtener? Pues por ejemplo pueden tener acceso a nuestro correo electronico, passwor, pais, telefono, IP, DNS, paginas que visitamos, software que tenemos instalado, cuentas bancarias y un largo etc….
Spywares más comunes: Gator, Alexa, Cydoor, Hotbar, Adsofware, y un largo etc…

Los cinco principales síntomas de infección son…
Se nos cambia sola la página de inicio, error y búsqueda del navegador.
Se abren ventanas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría de la veces pornográficas.
Barras de búsqueda de sitios como Alexa, Hotbar que no podemos eliminar.
Botones que aparecen en la barra de herramientas del navegador y que no podemos eliminar.
La navegación por la red se hace cada vez más lenta.

¿ Qué es el Adware (ADvertising-Supported softWARE):?muy similar a lo anterior. La diferencia estriba en que suele venir incluido en programas shareware y por tanto, al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello (aunque en la práctica no sea así, ya que pocas personas prestan atención a los contratos o licencias de uso mostradas durante la instalación). Un ejemplo de ésto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudogratuita.

¿ Qué son Hijackers? se encargan de modificar las opciones de configuración del navegador (tradicionalmente, Internet Explorer de MS) para apuntar hacia otros sitios, cambiar nuestra página de inicio, la página de error, etc.
Habitualmente capturan nuestras peticiones de navegación, de manera que ralentizan el comportamiento del navegador, aparte de obligar a éste a obedecer a sus propósitos.
Para comprender mejor el término es bastante descriptivo mencionar que, en otros ámbitos, esta palabra es empleada para definir a personas que empleando la fuerza, secuestran/roban un vehículo (típicamente un avión) para obligar a cambiar su ruta y lugar de destino.
Vendría a ser lo mismo, aplicado a los navegadores. Suelen valerse de ActiveX maliciosos o de agujeros de seguridad del navegador, por ello es conveniente protegernos de ellos con la protección preventiva de Spybot S&D y Spywareblaster.

BHO (Browser Helper Object): se podría dar una definición técnica al estilo de es un objeto COM dentro de una DLL que se carga automáticamente con el IE… si buscáis algo así, mejor os remito a la amplia exposición de un artículo de MS.
Para el objetivo de este artículo, es mucho más asequible decir que es un pequeño programa que se ejecuta automáticamente cada vez que abrimos el navegador de Internet.
Suele instalarse a la vez que instalamos otros programas (como se mencionaba en el caso del adware, por ejemplo) o también mediante ActiveX y sus funciones pueden ser muy diversas, desde capturar eventos, lanzar pop ups, ventanas de mensajes, cambiar nuestra página de inicio, páginas de búsqueda, banners adware, crear toolbars, monitorizar y reportar nuestros hábitos, etc.
En ocasiones pueden provocar errores en nuestro sistema, conflictos con otras aplicaciones, disminuir el rendimiento del navegador… poco agradable, ¿verdad?.
Por desgracia no son detectados por los firewall

Toolbars: grupo de botones situados generalmente bajo la barra de herramientas del navegador. Pueden deberse a aplicaciones normales (limpias) que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.

Instalacion de HijackThis 1.99 

Lo primero que haremos sera descargarnos el programa HijackThis 1.99 de aqui: http://www.spywareinfo.com/~merijn/downloads.html el programa es muy pequeño, tan solo 193 kb.

Una vez descomprimido, lo ejecutaremos, te saldrá inmediatamente un aviso como este:

No te preocupes es un aviso de que debes manejar este programa con precaución. Dale a aceptar y después te saldrá una pantalla como esta:

Te recomiendo que crees una carpeta exclusivamente para este programita, alli se almacenarán tambien los Logs del mismo y que deberás consultar más tarde.

Antes de nada vamos a comprobar y observar una serie de parámetros muy importantes del programa, para ello haz click en: Open the Misc Tools Section, se mostrará una pantalla como esta:

Como ya hemos dicho en el preambulo de este manual – tutorial, el uso de esta herramienta no esta exenta de riesgos, si eliminamos alguna entrada erronea podemos hacer que el sistema funcione mal o incluso que no vuelva arrancar.

Por ello marcaremos siempre la casilla: Make Backups before fixing items Así si en un futuro debemos restaurarlo, no tendremos más que acudir a Backups, seleccionar el apartado correspondiente y pulsar en Restore.
Tambien podemos eliminar backups no útiles desde la opción Delete

Como ya hemos advertido, ni los responsables de este programa, ni el que realiza este manual – tutorial nos hacemos responsables de problemas derivados del mal uso de esta aplicacion, te recuerdo que trastear con el registro de Windows puede traer consecuencias graves, y solo usuarios con conocimientos deben realizar estas modificaciones, bajo su responsabilidad.
Por ello y si te encuentras con problemas con el arranque, será muy difícil la restauración a través de los propios backups propios de HijackThis, te recomiendo que utilices la herramienta ERUNT que sí te permitirá hacerlo.
En un futuro tutorial explicare como hacerlo.

RECOMENDACION

Aunque no es necesario, te recomiendo que antes de ejecutar HijackThis 1.99 cierres el mayor numero de aplicaciones posibles, así el futuro estudio del Log de HijackThis será menor y con menos aplicaciones superfluas.
Para ello cierra todos los programas que puedas residentes en el Systray ( donde está el reloj ). Tambien puedes hacerlo desde Inicio > Ejecutar > msconfig > Servicios > Inicio, y desmarcar lo no imprescindible. ( Recuerda de anotar lo que tienes activado antes para volver todo a la normalidad despues)

Lo ideal es dejar los servicios basicos del sistema y los relativos a tu tarjeta gráfica . Puedes cerrar antes de hacer el scan: antivirus, antispy, cortafuegos, winamp, acdsee, programas de grabacion, mensajeria instantanea, correo electronico, etc.

Por supuesto, en estas condiciones, No comiences una conexion a internet por el riesgo que supone!!

Funcionamiento de Hijack This 1.99 

Despues del preámbulo que es necesario que conozcas de este software, vamos a adentrarnos ya en el funcionamiento de Hijack This. Para ejecutar el programa ( una vez abierto ) haz click en Do a system Scan and save a Log File:

En breves instantes obtendremos un resultado visible desde la ventana del programa ( Si utilizas el antivirus de Panda quiza te aparezca una ventanita advirtiendote que el programa está realizando un operación sospechosa ).

Al mismo tiempo aparecerá una ventana donde se nos pedira la ubicación para guardar el Log de Hijack This 1.99, que nos será muy util para analizarlo despues.
Una vez guardado, ha llegado la hora de analizar este Log:

Como se puede observar en el log, cada línea o ítem va precedida de una letra más uno ó dos números y hacen referencia a lo siguiente.:

R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE)

F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini…).

N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

O1: Redirecciones mediante modificación del fichero HOSTS.

O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones maliciosas.

O3: Toolbars para IE.

O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, bien mediante las claves oportunas en el registro, bien por aparecer en la carpeta del grupo Inicio.

O5: Opciones de IE no visibles desde Panel de Control.

O6: Acceso restringido -por el Administrador- a las Opciones de IE.

O7: Acceso restringido -por el Administrador- al Regedit.

O8: Items extra encontrados en el menú contextual de IE.

O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluídas en la instalación por defecto).

O10: Winsock hijackers.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).

O12: Plugins para IE.

O13: Hijack del prefijo por defecto en IE.

O14: Hijack de la configuración por defecto de IE.

O15: Sitios indeseados en la zona segura de IE.

O16: Objetos ActiveX.

O17: Hijack de dominio / Lop.com.

O18: Protocolos extra / Hijack de protocolos.

O19: Hijack de la hoja de estilo del usuario.

Grupo N1, N2, N3, N4 

URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.

El uso de estos navegadores no está tan extendido como el de IE y por tanto, están menos expuestos a la acción de spyware y demás especializada; sin embargo existen (de la extensa familia Lop.com por ejemplo).

Si os aparece una entrada de este nivel y no la reconocéis como vuestra página deseada de inicio/búsqueda, lo indicado es marcarla y aplicarle el "fix" de HJT.

O1: Redireccionamientos por modificación del fichero HOSTS 

El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el windows empleado. Se localiza en C:WINDOWS en los Win 9x/Me y en [**]SYSTEM32DRIVERSETC en los Win NT/2000/XP/2003.

Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com …al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS.

De esta manera evitamos que se pueda acceder a dicho dominio indeseable.

Sin embargo, puede ser empleado con fines maliciosos por el Spyware que tratamos de combatir en este Manual – Tutorial, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP spyware) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP Spyware.

Este redireccionamiento suele ser frecuente de ver por parte de los hijackers.

Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el "fix" de HJT.

Si nos muestra O1 – Hosts file is located at C:WindowsHelphosts …casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el "fix", aunque mejor si previamente lo intentamos con herramientas específicas contra CWS como pueden ser (en este orden) delcwssk y CWShredder

O2: BHO (Browser Helper Object) 

Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones Spyware.

Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha. En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}). Las allí señaladas en Status como "X" son catalogadas de spyware, las "L" como normales o limpias.

Ejemplo normal:
O2 – BHO: (no name) – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:Archivos de programaAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
…si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, os lo mostrará catalogado como "L", es decir, normal, ya que está originado por nuestro Adobe Acrobat Reader.

Si por el contrario el resultado de vuestra búsqueda os lo mostrara como "X", ya sabéis que se trata de spyware y conviene aplicarle el "fix".

Es preciso que en ese momento no tengáis abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si tras aplicar el "fix" veis que vuelve a salir en el listado, será preciso reiniciar en modo a prueba de fallos (modo seguro) para erradicarlo.

O3: Toolbars para IE 

Recordamos la definición de Toolbar: suelen ser un grupo de botones situados generalmente bajo la barra de herramientas del navegador, que pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.

Su ubicación en el resgistro depende de esta cadena: HKLMSoftwareMicrosoftInternet ExplorerToolbar

Ejemplo normal:
O3 – Toolbar: Web assistant – {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} – C:Archivos de programaArchivos comunesSymantec SharedAdBlockingNISShExt.dll

…como se ve en el ejemplo, esa toolbar está originada por el Norton Internet Security de Symantec. Sin embargo, en caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseñado para los ítems O2 para tratar de salir de dudas respecto a su identidad.

El procedimiento es el mismo: buscar en función del CLSID y comprobar si está referenciado como "X" (spyware) o "L" (limpio).

En caso de ser spyware, conviene marcar el ítem y aplicar el "fix" de HJT.

O4: Aplicaciones de carga automática en inicio de Windows por Registro/grupo Inicio 

La carga automática de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en directorios del grupo Inicio.

Claves del Registro implicadas

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunServicesOnce
RunServices
Run
RunOnce
RunOnceEx
PoliciesExplorerRun

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit

HKCUSoftwareMicrosoftWindowsCurrentVersion
RunServicesOnce
RunServices
Run
RunOnce
PoliciesExplorerRun

Ejemplo: O4 – HKCU..Run: [SystemSafe] C:Archivos de programaSSMSysSafe.exe

Los directorios del grupo Inicio pueden tener estas ubicaciones:
C:Documents and SettingsAll UsersMenú InicioProgramasInicio …reflejado en el log de HJT como Global Startup; son programas que se cargan para el perfil de todos los usuarios.
Ejemplo: O4 – Global Startup: TeleSA.lnk = C:Archivos de programaAVer TeletextAVerSA.exe

R:Documents and SettingsUSUARIOMenú InicioProgramasInicio …reflejado en el log de HJT como Startup: programas que se cargan sólo para el perfil de ese USUARIO.
Ejemplo: O4 – Startup: Microsoft Office.lnk = C:Archivos de programaMicrosoft OfficeOffice10OSA.EXE

Al igual que para el Grupo F, ante la duda, el Pacman's Startup List os podría servir a nivel orientativo para identificarlos.

Si os encontráis con un ítem indeseable y deseáis aplicarle el "fix", no será exitoso mientras el proceso esté activo en memoria.

En esos casos, primero debéis acudir al Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HJT.

O5: Opciones de IE no visibles desde Panel de Control 

En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una entrada en el fichero control.ini ubicado en [**] (C:WINNT o C:WINDOWS, según versión del SO), lo que se reflejaría en el sgte. ítem del log de HJT:

O5 – control.ini: inetcpl.cpl=no

…pero este hecho, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación Spyware que de esta manera trate de dificultar que cambiemos las Opciones del IE.

Si se trata de esto último, es conveniente aplicarle el "fix" de HJT.

O6: Acceso restringido -por el Administrador- a las Opciones de IE 

Si el acceso está restringido por el Administrador o bien porque empleamos Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuración de la pág. de Inicio…), aparecerá un ítem como el sgte.:

O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso… , observaríamos este otro:

O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicarle el "fix".

O7: Acceso restringido -por el Administrador- a Regedit 

Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del registro (no es infrecuente en políticas de seguridad corporativas), se refleja en un ítem como el sgte.:

O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicarle el "fix" de HJT.

O8: Items extra en el menú contextual de IE 

El menú contextual en IE es el que obtenéis al picar con el botón derecho sobre la web que estáis viendo.

Os muestra diferentes ítems o líneas de selección y pueden deberse a aplicaciones normales, pero también a spyware.

Las diferentes opciones en ese menú se albergan en la sgte. cadena del registro:
HKCUSoftwareMicrosoftInternet ExplorerMenuExt

Ejemplo normal: O8 – Extra context menu item: E&xportar a Microsoft Excel – res://C:ARCHIV~1MICROS~3OFFICE11EXCEL.EXE/3000

Pero si no reconocéis la aplicación responsable del ítem extra en el menú contextual y sospecháis que sea por morralla, podéis aplicarle el "fix" de HJT.

O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE 

Si tenéis botones extra en la barra de herramientas principal de IE o bien ítems extra en el menú Herramientas de IE (que no sean los incluídos en la instalación por defecto) y queréis deshaceros de ellos por sospechar que provengan de Spyware, deberéis fijaros en este ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del registro:

HKLMSOFTWAREMicrosoftInternet ExplorerExtensions

Ejemplos normales:
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 – Extra button: AIM (HKLM)

En los normales no es preciso hacer nada, pero ante casos indeseables que queráis hacerlos desaparecer, el "fix" de HJT debería poder con ellos sin problemas.

O10: Winsock hijackers 

En este apartado hay que ser extremadamente cautos o podéis dañar vuestra conexión a Internet.
Desde la propia Merijn.org recomiendan, en caso de necesitar resolver reseñas mostradas en este ítem O10, emplear versiones modernas de Spybot S&D o la herramienta LSPFix de Cexx.org mejor que actuar con HJT .

Es por ello que os remitimos a esas dos alternativas en vez de profundizar en este punto.

No os preocupéis si veis aquí referencias a algún módulo de vuestro antivirus.

Puede ser normal en aquellos que actúan a nivel del winsock.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto) 

Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la sgte. cadena del registro: HKLMSOFTWAREMicrosoftInternet ExplorerAdvancedOptions

Desde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso el ítem mostrado (morralla) sería como sigue:

O11 – Options group: [CommonName] CommonName

…si tenéis ese caso, marcadlo y aplicar el "fix" de HJT.

Si es otro distinto, en principio se convierte en sospechoso y requerirá que busquéis información por la red acerca de su procedencia.

O12: Plugins para IE 

En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.

Ejemplos normales:
O12 – Plugin for .spop: C:Archivos de programaInternet ExplorerPluginsNPDocBox.dll
O12 – Plugin for .PDF: C:Archivos de programaInternet ExplorerPluginsnppdf32.dll

Generalmente son normales, pero ante la duda, conviene buscar por la red su procedencia.

No obstante, se tiene reportado algún caso claro de Spyware en este apartado como es el plugin de OnFlow, que se detecta fácil por su extension *.ofb; si os lo encontráis, conviene marcarlo y aplicar el "fix".

O13: Hijack del prefijo por defecto en IE 

El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.).

Por defecto IE tratará de emplear http://, pero es posible modificar este valor en el registro mediante la sgte. cadena:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix

De hecho, existen aplicaciones spyware que lo llevan a cabo, obligando al navegante incauto a llegar hacia donde no desea.

Una de ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por "http://ehttp.cc/?", de manera que cuando el usuario introduce "www.google.com", automáticamente es derivado a "http://ehttp.cc/?www.google.com", que es un site perteneciente a CWS.

Ejemplo nocivo de CWS:
O13 – WWW. Prefix: http://ehttp.cc/?

…en estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como pueden ser delcwssk primero y CWShredder después (no olvidéis actualizarlo antes de aplicarlo). Pasar tras reiniciar el scan de HJT y comprobad si ha sido suficiente con ellas, aplicando finalmente el "fix" de HJT en caso necesario.

CWS tiene muchísimos dominios y es un listado en continua expansión.

Otros ejemplos Spyware a los que podéis aplicar el "fix":
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

O14: Hijack de la configuración por defecto de IE 

Hay una opción entre las muchas del IE, que es resetear los valores presentes y volver a la configuracion por defecto.

Los valores de esta última, se guardan en el fichero iereset.inf, ubicado en [**]inf y el problema puede aparecer si un hijacker modifica la información de dicho fichero porque, de esa manera, al resetear a la configuración por defecto, lo tendríamos presente de nuevo.

En estos casos es conveniente aplicar el "fix".

Ejemplo Spyware: O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No obstante, tened cuidado porque no todo lo que aparece en este ítem tiene que ser nocivo.

A veces puede deberse a manipulaciones legítimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc.

En estos casos seguramente reconoceréis la URL mostrada y no será necesario ningún procedimiento.

O15: Sitios indeseados en la zona segura de IE 

En IE la seguridad se establece por medio de zonas o y según éstas, la permisividad en términos de seguridad es mayor o menor.

En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos.

Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la sgte. cadena del registro:
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains

Si por ejemplo hemos añadido www.razorman.net a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:

O15 – Trusted Zone: www.razorman.net

De igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos añadido conscientemente.

Pero puede darse el caso de que alguna compañía como AOL o Spyware como CWS, introduzcan silentemente sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la sgte. manera:

O15 – Trusted Zone: http://free.aol.com
O15 – Trusted Zone: *.coolwebsearch.com

En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, le indicaremos a HJT su "fix".

O16: Objetos ActiveX 

Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files.

La ubicación de almacenamiento es [**]Downloaded Program Files

Podemos encontrar ítems normales como el del sgte. ejemplo:

O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Y otros típicos de Spyware que, con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:

O16 – DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) – http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

En casos de Spyware, podemos emplear tranquilamente el "fix" de HJT, pero si tras volver a escanear viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8…) para proceder con su eliminación.

Spywareblaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos.

Volvemos a recomendar su utilización preventiva.

O17: Hijack de dominio / Lop.com 

En condiciones normales, cuando introducimos el nombre de un site en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio.

Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual.

Si lo llevan a cabo podrán redireccionarnos a donde les apetezca, apuntando nuestras peticiones hacia los dominios de su elección (no la nuestra).

Ejemplo normal:
O17 – HKLMSystemCCSServicesTcpip..{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37

…decimos normal porque esas IPs corresponden a servidores DNS de un conocido ISP español y en estos casos no es preciso hacer nada.

Es la situación más habitual, encontrar las DNS que nos proporciona nuestro ISP.

Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex profeso o acudir a sites de fiar que ofrezcan ese servicio, como RIPE o ARIN e inclusive el propio Google. Ahora bien, si los resultados de nuestras pesquisas apuntan hacia morralla, les aplicaremos el "fix" con HJT.

O18: Protocolos extra / Hijack de protocolos 

Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocol drivers estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos "extra" o "no estándar") que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.

HJT primero busca protocolos "no estándar" en HKLMSOFTWAREClassesPROTOCOLS y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLMSOFTWAREClassesCLSID

Ejemplo spyware:
O18 – Protocol: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:ARCHIV~1ARCHIV~1MSIETSmsielink.dll

Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida morralla como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si los veis reseñados como tal en el ítem O18 de HJT, aplicadles el "fix".

O19: Hijack de la hoja de estilo del usuario 

Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle el "fix".

Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear contra él las herramientas específicas citadas anteriormente.

Señalar que puede haber usuarios que tengan prefijada una hoja de estilo a su gusto, en cuyo caso no deberían prestar atención a este ítem.

O20: AppInit_DLLs Registry value autorun 

Entradas de registro ubicadas en HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows que cargan en memoria una DLL en el logon, esta DLL permanecerá cargada hasta el logoff.

Son muy pocos los programas legales que crean estas entradas (por ejemplo Norton CleanSweep), en la mayoría de los casos se trata de entradas maliciosas que hay que remover.

O21: ShellServiceObjectDelayLoad 

Entradas de registro ubicadas en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad que son cargadas por el Explorer en el arranque del sistema.

Puesto que el HijackThis utiliza un listado de los objetos reconocidos como componentes de Windows, todas las entradas que salgan en este item deben ser consideradas muy sospechosas

O22: SharedTaskScheduler 

Estas entradas representan métodos de autorun indocumentados y son usadas muy raramente, deben ser consideradas extremadamente sospechosas
O23: Servicios 

Todos los servicios de Windows NT/XP/2000/2003
 
F.A.Q. Hijack This 

Os voy a poner la traducción del F.A.Q. oficial de Hijack This que podeis encontrar en http://www.spywareinfo.com/~merijn/faq.html

Asímismo, este Manual – Tutorial de Hijack This, está basado en el tutorial de wolfette de www.nautopia.com y en la versión oficial del tutorial de hijack This que podeis enconcrar en www.spywareinfo.com

Una vez dicho esto, aqui teneis traducido el F.A.Q. oficial de Hijack This.

P. Porque obtengo 'Unexpected error' en una DLL cuando ejecuto HijackThis?

Necesitas las librerias Visual Basic Runtime, para poder ejecutar HijackThis. Los Windows más recientes las tienen instaladas por defecto, pero en caso contrario, están disponibles en Microsoft.com.

P: Cómo se lo que se puede borrar y lo que no en los resultados de los escáneres?

Pregunta a quienes sepan. No puedes esperar comprender todos los resultados obtenidos. Puedes poner tu log en uno de los foros de ayuda y solicitar ayuda.

P: He borrado un navegador hijack pero ha vuelto a aparecer!!

Probablemente dejaste algo antes de reiniciar Hijack, o hay algo de lo contrario presente en tu sistema que no es visible a Hijack This. En ambos casos pon tu log en uno de los foros y solicitar ayuda.

P: Porque HijackThis se esta cerrando de repende cuando lo ejecuto?

La ultima version de CWS, CWS.Smartsearch.2, esta intentado cerrar CWShredder, HijackThis, Spybot S&D, Ad-aware y cualquier ayuda en linea, incluyendo los foros de ayuda cuando tratas de abrirlos. Descarga PepiMK's CoolWWWSearch.Smartsearch matador y ejecutalo primero, entonces ya puedes usar Hijackthis. Esta recomendado que uses CWShredder tan pronto como puedas eliminar el troyano CWS.Smartsearch

P: Porque "XXX" no aparece en el Log de HijackThis? Se que hay troyanos/virus que utilizan este metodo para ejecutarse.

HijackThis solo descubre malware de tu navegador, no troyanos o virus. Posiblemente en el inicio puedas verlo iniciado en la lista de inicio. Si hay varios malwares que usan el inicio para ejecutarse, son incluidos en HijackThis.

P. Porque obtengo un error en r #5 (Invalid procedure call) en modRegistry_GetFirstSubfolder()?

Si estas obteniendo este error:

An unexpected error has occurred at procedure:
modRegistry_GetFirstSubFolder(sFolder=C:Documents and Settings<username>Application DataMozillaProfilesdefault) Error #5 – Invalid procedure call or argument

Entonces estas ejecutando una versión antigua de HijackThis, v1.97.5. Por favor descarga la ultima versión que corrije este error.

P. Cómo desinstalo HijackThis?
Ejecutalo, ve a Configuracion – Herramientas – Desinstalar HIjack This. Entonces se borra HijackThis.exe. Tambien puedes borrar las copias que hayas creado

Deja un comentario