INTRODUCCIÓN:

Hoy vamos a tratar de explicar el funcionamiento de Panda Cloud Antivirus Free. Lo primero que hay que decir es que Panda Cloud antivirus es un producto basado en el novedoso concepto, aunque cada vez menos, de la “NUBE”. Qué quiere decir ésto, pues que gracias a la tecnología de Inteligencia colectiva de PandaLabs, es posible identificar nuevos ejemplares de malware con la ayuda de la información recopilada a través de la comunidad de usuarios de una manera rápida y eficaz.

Ventajas, pues hay varias, y es que aparte de la rapidez en la clasificación de nuevos ejemplares de “bichos”, otra de las grandes características de Panda Cloud es que no necesita actualizar su base de firmas, puesto que todo se encuentra en los servidores de PandaLabs. Esto garantiza una gran capacidad de detección sin depender de la actualización de firmas como hacen los antivirus tradicionales. La mayoría de los procesos se realizan en la “nube”, y no en los PCs de los usuarios, minimizando así el impacto sobre el consumo de los recursos de la máquina.

Dicho todo ésto, creo que el concepto se entiende, Panda Cloud Antivirus es de lo mas simple, su interfaz es austera, incluso podríamos decir que hasta es fea, mas si cabe tras la inclusión de un banner en la última versión (1.4), horroroso. Posee protección antispyware, antirootkit, antimalware en general, además de detección proactiva (Heurística), y una lista blanca de programas (+ de 10 millones de ficheros), lo cuál evita el tener que analizar archivos que se conocen que son “buenos”, aumentando la velocidad de análisis y el consumo de recursos.

Después del “rollo” este de la nube surge un a pregunta, se puede utilizar Panda Cloud si no se dispone de conexión a Internet? La respuesta es si, puesto que cuenta con una caché de firmas integrada de forma local, aunque la protección será menor puesto que no está diseñado para trabajar de esa manera. Por lo tanto cabe concluir, que si se tiene un equipo que no dispone de conexión a Internet existen otro tipo de soluciones que trabajarán de manera más eficaz.

Lo primero que tenemos que hacer es descargarnos el programa desde el siguiente enlace: CLOUD: Antivirus GRATUITO – Descargar – Inteligencia Colectiva – CLOUD ANTIVIRUS

El proceso de instalación es el habitual, por lo que no vamos a entretenernos con demasiadas explicaciones. Sólo un par de cosas que hay que tener en cuenta, desmarcar las casillas que invitan a la instalación de una toolbar, y la que invita a poner Yahoo! como motor de búsqueda predeterminado, si lo deseas claro está. Al final del proceso de instalación te preguntará si quieres utilizar la versión FREE o la PRO. Si dispones de un código de activación o quieres comprarlo, éste es el momento. Nosotros con la versión FREE nos apañamos la mar de bien.

Bien, ya lo tenemos instalado y estamos viendo la ventana principal del programa, que como ya comentamos anteriormente, es bastante simple, aquí la vemos:

Podemos observar 4 botones que se corresponden de izquierda a derecha con los siguientes apartados: Análisis, Informes, Papelera y Estado. Profundicemos un poco.

ANÁLISIS: Nos encontramos con las típicas opciones que nos podemos imaginar

ANÁLISIS OPTIMIZADO: Sirve para inspeccionar las áreas críticas del sistema, lo que usualmente llamamos “análisis rápido”

OTROS ANÁLISIS: Si pulsamos este botón nos aparecerán 2 nuevas opciones, “Analizar todo mi pc” y “Analizar otros elementos”, que permite hacer un análisis personalizado de cualquier carpeta o archivo

El tipo de análisis recomendado es el completo, para ello pulsamos en “Otros análisis” y a continuación en “Analizar todo mi pc”. Se abrirá la ventana de progreso donde podremos pausar o detener el análisis. En caso de detección pueden ocurrir 2 cosas, que el archivo sea neutralizado (lo mandará directamente a la papelera de reciclaje, que hace las veces de cuarentena), o que no sea neutralizado, en cuyo caso, si pulsamos en la leyenda “No neutralizados” se nos mostrará una ventana con el resultado del análisis. Aquí podemos ver el tipo de amenaza, el nombre, la ruta y la acción recomendada.

INFORME: En este apartado tenemos acceso para revisar todas las incidencias.

Vemos la pestaña “MOSTRAR”, si la pulsamos podemos elegir el rango de fechas que queremos revisar. Justo debajo, nos es mostrado el número de detecciones y el tipo de éstas. En la parte inferior de esta ventana podemos hacer clic en “Ver el informe detallado”, que nos dará acceso al “informe de sucesos”.

PAPELERA DE RECICLAJE: Nos da un informe de los archivos neutralizados, desde aquí podremos recuperarlos.

Si pulsamos en el botón “Ver detalles y recuperar archivos neutralizados” se nos muestra el informe detallado. Desde aquí puedes restaurar el archivo que desees, siempre y cuando estés seguro de que se trata de un falso positivo. También puedes eliminar definitivamente cualquier archivo de tu equipo

ESTADO: En este apartado debemos observar que el funcionamiento del programa es o no correcto. También tienes la posibilidad de actualizar a la versión PRO desde aquí (Ver captura 1)

CONFIGURACIÓN:

Para acceder a este apartado tenemos que pulsar en el icono que representa un “engranaje” situado en la parte inferior derecha de la ventana principal del programa (Ver captura 1)

Como podemos observar, no hay demasiadas opciones. En primer lugar vemos el botón “Configurar la conexión”, si trabajas a través de un Proxy aquí tendrás que configurarlo.

En la parte central de esta ventana vemos el apartado “Autorun y vacunación USB”. Desde éste podrás desactivar la ejecución automática en tu ordenador (desactivar autorun) o vacunar automáticamente las unidades USB que conectes en tu máquina (disponible sólo para la versión PRO, aunque en este caso puedes utilizar la herramienta Panda USB & Autorun Vaccine, que es gratuita y hace lo mismo)

Si necesitamos configurar mas cosas, un poquito mas abajo está el botón “Opciones para expertos”, lo pulsamos y nos aparece la siguiente ventana:

Vemos 4 pestañas: “Análisis, “Papelera de reciclaje”, “Alertas e informes” y “Exclusiones”. Las más interesantes aquí son la primera y la última.

ANÁLISIS: Desde aquí podemos activar/desactivar el “Bloqueo de comportamiento” y el “Análisis de comportamiento” (sólo en la versión PRO).
Tenéis mas información acerca de esta tecnología en el siguiente enlace: TECNOLOGIA ANTIVIRUS – Inteligencia – CLOUD – Seguridad – Internet – PANDA SECURITY
EXCLUSIONES: En este apartado podemos incluir un archivo a la lista de ignorados para que no sea analizado (botón “Añadir”). También podemos eliminar una exclusión de esta lista marcando el archivo deseado y pulsando en “Eliminar”.

Bien, ésto es todo, como veis no da mucho mas de sí, se trata de un antivirus muy sencillo pero que realiza su trabajo de manera eficaz. Le vendrá de maravilla a máquinas que dispongan de recursos limitados.

Espero que os haya sido de utilidad.

Bien bien bien, lo primero, ¿Qué es Dropbox?….

Dropbox es un servicio de alojamiento de archivos multiplataforma en la nube, operado por la compañía Dropbox. El servicio permite a los usuarios almacenar y sincronizar archivos en línea y entre computadoras y compartir archivos y carpetas con otros.1 Existen versiones gratuitas y de pago, cada una de las cuales con opciones variadas.
Via wikipedia

¿Aún no te a quedado claro?, ¿Qué funcionalidades tiene?
El cliente de Dropbox permite a los usuarios dejar cualquier archivo en una carpeta designada. Ese archivo es sincronizado en la nube y en todas las demás computadores del cliente de Dropbox.2 Los archivos en la carpeta de Dropbox pueden entonces ser compartidos con otros usuarios de Dropbox o ser accedidos desde la página Web de Dropbox. Asimismo, los usuarios pueden grabar archivos manualmente por medio de un navegador web
Via Wikipedia

Ahora te pica la curiosidad, ¿verdad?, tipos de cuenta
Dropbox, permite elegir entre tres tipos de cuentas; la primera llamada “Basic” es gratuita, la segunda, llamada “Pro50″, y la tercera, llamada “Pro100″, son de pago. las diferencias se encuentran en la cantidad de espacio disponible para poder utilizar, mientras que la “Basic”, dispone de 2Gb, la “Pro50″ dispone de 50Gb y la “Pro100″ de 100Gb. El precio de las dos cuentas de pago son; 9,99$ al mes para la cuenta “Pro50″ y 19,99$ al mes para la cuenta “Pro100″.
Via Wikipedia

¿Y que seguridad me ofrece?
La sincronización de Dropbox usa transferencias SSL y almacena los datos mediante criptografía AES-256
Via Wikipedia

¿Ya te a quedado un poco mas claro todo?, bien ahora procedo a explicar como se utiliza, y como sacarle provecho.

Para empezar a utilizar Dropbox, lo primero que tenemos que hacer, es registrarnos e instalar su aplicación

Para ello vamos a la siguiente dirección https://www.dropbox.com/register

Rellenamos los datos y ….

Descargamos su soft (en la parte inferior izquierda

Bien una vez hecho esto instalamos el programa, simplemente es next next next….
PERO cuando salga esta pantalla, tenemos que seleccionar la dirección en donde queremos tener nuestra carpeta dropbox, que es donde compartiremos ficheros y los recibiremos.

Ale ya está lo básico hecho, ahora volvamos a la página web un instante, que os voy a explicar cuatro cosas

En la pestaña “Get started” vereis esto

Que como podéis ver al completar los 5 primeros pasos recibiremos 250 megas mas en nuestra nube

Bien en la segunda pestaña, podemos ver los archivos que tenemos en la nube, en mi caso tengo mis apuntes de clase

Pues voy a invitaros a utilizar mis apuntes, de forma que le doy a “share folder”, selecciono la carpeta que quiero compartir, y…. bien creo que la foto habla por si misma.

Ahora las personas invitadas podrán ver mis apuntes o bien a traves de el navegador con su cuenta, o bien a traves de la aplicación que descargamos antes.

Bien, como las personas invitadas a tus carpetas tienen total control sobre ellas, hay un registro sobre quien borra el que, o quien agrega algo.

Después está el apartado “sharing”, que sirve para lo que hicimos antes, compartir ficheros, y “help”

Esto es todo acerca de la aplicación web, pero si recordais bien antes bajamos el soft de Dropbox, bien voy a explicar un poco que función tiene

La funcionalidad, es practicamente la misma, simplemente que con la aplicación instalada los archivos subidos a dropbox se nos bajaran automáticamente a cualquier otro ordenador, por ejemplo me voy a pasar mis apuntes desde mi windows asta mi linux

Así de simple y funcional es la llamada “nube”

Espero que os halla gustado, cualquier cosa no dudéis en preguntar, saludos

Se trata de un ejecutable que no necesita instalación, no tiene protección en tiempo real y ya se encuentra actualizado al momento de descargarlo, por lo que normalmente lo vamos a utilizar en equipos que ya se encuentran infectados, o si tenemos sospechas de la presencia de malware en el equipo, y nuestro antivirus no detecta nada.

Lo primero que necesitamos es descargar el programa, para ello nos dirigimos al siguiente enlace: Dr.Web CureIt

Guardamos el ejecutable en el escritorio:

Como vemos en la imagen, el ejecutable tiene un nombre compuesto por caracteres al azar, técnica utilizada para impedir que ciertos malwares lo detecten y bloqueen su funcionamiento.

Una vez descargado, nos vamos al escritorio y hacemos doble clic sobre el archivo descargado (en Vista/7 ejecutar como administrador), se abrirá la siguiente ventana:

En la imagen se nos indica que el programa se va a ejecutar en modo de protección mejorada (EPM), esto permite la ejecución de la herramienta incluso si la máquina se encuentra bloqueada por la acción de algún malware. Para ejecutar en dicho modo pulsamos en “Aceptar”, para ejecutarlo en modo normal, pulsamos “Cancelar”. Normalmente se ejecutará en modo normal.

A continuación nos saldrá lo siguiente:

Pulsamos en “No” para continuar.

La siguiente ventana en aparecer será la siguiente:

Aparecen dos opciones, la primera es “Iniciar”, que es la opción que nos interesa para empezar a analizar la máquina. La otra opción que aparece es “Actualizar”, que nos llevará a la página de descarga del programa; como ya comentamos antes, el programa ya viene actualizado cuando lo descargamos, por lo que sólo pulsaremos esta opción si nuestra versión está ya obsoleta. Recordamos que el programa es actualizado bastante a menudo.

Continuamos:

En esta ventana se nos advierte de que el programa va a efectuar un análisis rápido de las áreas críticas del sistema, pulsamos en “Si” para que comience el examen, nos aparecerá una ventana mostrando el progreso del mismo.

Si durante el análisis el programa encuentra que el fichero hosts ha sido modificado, le dará la posibilidad de restaurarlo a su estado original.

Tenga en cuenta que si usted ha modificado el fichero hosts intencionalmente, el programa lo detectará, por lo tanto es usted quien decidirá si restaurarlo o no; normalmente aceptaremos restaurar el hosts pulsando en “Si”.

Una vez terminado el análisis rápido, si se han detectado infecciones procederemos a su tratamiento, lo veremos mas adelante. Si no hay detecciones nos aparecerá la ventana principal del programa.

Aquí vemos las diferentes opciones de análisis:

.- Rápido: es el tipo de análisis que el programa ha efectuado por defecto al ejecutarlo, como ya comentamos analizará las áreas críticas del sistema.

.- Completo (recomendado): en este modo analizamos todo los discos locales, unidades externas, así como los sectores de arranque de todos los discos. Es el modo de análisis recomendado, por lo que una vez terminado el escaneo rápido por defecto procederemos a realizar uno completo.

.- Personalizado: aquí se nos permitirá analizar las áreas que deseemos de nuestro PC.

En la parte derecha de esta ventana, debajo del logotipo del programa nos encontramos con 3 botones: “play” que nos permitirá comenzar el análisis, “pausa” y “stop”, que lógicamente nos permitirán pausar o detener el análisis.

La acción normal aquí es la de escoger el modo de análisis completo y pulsar “play” para arrancar el análisis.

Detecciones y procedimiento:

En el caso de que durante el análisis se encuentren objetos infectados, se nos mostrará una ventana como ésta:

En esta ventana se nos ofrecerá la acción a realizar, 4 posibilidades:

Curar: intenta devolver el archivo al estado original antes de la infección. Siempre que se pueda será la acción a tomar, aunque habrá veces en que dicha acción no tendrá éxito.

Renombrar: Intentará cambiar de nombre la extensión de un archivo infectado. Esto se hace para que tras el próximo reinicio se impida la ejecución de dicho archivo.

Mover: envía a cuarentena los objetos infectados, en esta zona dichos objetos estarán aislados y no supondrán un peligro.

Eliminar: con esta acción borraremos el archivo infectado.

Siempre que se nos ofrezca la acción de “curar” procederemos a intentarlo, en caso de no poder curar el archivo la siguiente acción en orden de preferencia será la de “mover”. También podemos escoger el no realizar acción alguna, en este caso al finalizar el análisis podremos escoger las acciones a realizar sobre cada archivo manualmente.

Una vez terminado el análisis, en la parte inferior de la ventana principal se nos mostrarán las infecciones detectadas y las acciones llevadas a cabo. Si pulsamos en la pestaña “Estadísticas” (en la parte superior) se nos muestran mas detalles:

Si escogimos no realizar acción alguna durante el análisis sobre los objetos infectados, este será el momento de hacerlo. Para ésto marcamos el archivo y a continuación pulsamos en la acción elegida (de preferencia “curar”, si no es posible “mover”).

Terminado todo el proceso podremos guardar un informe de lo realizado. Para guardar el log nos dirigimos a “Archivo” ( parte superior izquierda), en el desplegable “Grabar lista de informe”, elegimos un nombre y la ruta, guardamos.

Adicionalmente, podemos realizar cambios en la configuración del programa, para ello nos dirigimos a “Opciones”, y en el desplegable a “Cambiar configuración”. Nos aparecerá una ventana con diferentes pestañas:

En cada una de las pestañas podemos configurar distintas cosas, como pueden ser el activar o no el análisis heurístico, el manejo de las exclusiones, o el tipo de archivos que se van a analizar. Por lo general, las configuraciones por defecto serán suficientes para nuestro propósito.

Nota: Si necesita ayuda en caso de infección puede abrir un tema especificando el caso en el sector del foro correspondiente.

Una vez que ejecutes el fichero instalador, Messenger te brindará la posibilidad de seleccionar una serie de programas adicionales que seguramente despertarán tu interés:

Luego de haber escogido todas las utilidades que desees, debes presionar el botón “Instalar”. De este modo, se iniciará automáticamente la instalación de Messenger, junto con todas las aplicaciones que hayas seleccionado.

Al culminar el proceso de instalación, Messenger te permitirá establecer algunas configuraciones básicas que te ayudarán a disfrutar de una mejor manera de tu cliente de mensajería instantánea.

Una vez realizados todos los ajustes necesarios, solo tendrás que presionar el botón “Continuar” para finalizar la instalación.

Así, tu Messenger estará listo para ser ejecutado.

———————————————————–
Manual de Características de Messenger

Messenger te ofrece una serie de opciones para que inicies sesión de la forma que desees. A continuación detallamos algunas de ellas:

* Recuadro Número 1: En el área central de la ventana principal de Messenger, tienes dos campos en los que deberás ingresar tu cuenta de correo electrónico y su respectiva contraseña.
* Recuadro Número 2: Messenger te brinda la posibilidad de escoger el “estado” con el que iniciarás sesión. Puedes escoger entre disponible, ocupado, ausente y desconectado.
* Recuadro Número 3 Una de las ventajas principales que Messenger pone en tus manos para que automatices tus inicios de sesión, radica en tres opciones básicas que te simplificarán la tarea. Ellas son: Recordar mi cuenta, Recordar contraseña e Iniciar sesión automáticamente. Para gozar de sus prestaciones, sólo tendrás que tildar con el ratón los casilleros correspondientes.
* Recuadro Número 4: Pulsa el botón Iniciar Sesión y disfruta de Messenger!

Agregar un contacto a tu lista y organízalo en el grupo que desees.
Para agregar un contacto a tu lista de direcciones, tienes que dirigirte al botón Mostrar menú, seleccionar la opción Contactos y a continuación Agregar un contacto:

De este modo, se desplegará la ventana que figura a continuación:

En los campos indicados deberás colocar la dirección de correo electrónico que quieres añadir y seleccionar alguno de los grupos que se encuentren disponibles. Luego de ello, sólo bastará con presionar el botón “Siguiente”., para que el nuevo contacto de strong>Messenger aparezca indexado a la lista.

Abre ventanas de conversación y disfruta de todas sus ventajas.

Para iniciar una ventana de conversación simplemente tienes que realizar doble clic sobre alguno de los contactos que se encuentren disponibles. De esta manera, se desplegará sobre la pantalla de tu ordenador la interfaz en cuestión:

Una vez dentro de la ventana de conversación, podrás disfrutar de un sinnúmero de opciones y herramientas que te ayudarán a comunicarte con todos tus amigos de la mejor manera.

A continuación tienes un breve detalle de las características sobresalientes de Messenger para todas tus conversaciones.

En el sector número 1 de la imagen se dispone una barra de menú en la que encontrarás toda clase de funciones tales como compartir fotos, exportar archivos, traspasar vídeos, realizar llamadas, iniciar juegos en línea, revisar el historial de conversaciones y muchas más.

Por otra parte, en el sector número 2 podrás acceder a los más variados emoticonos, guiños, GIF animados, zumbidos, grabadores de voz, editores de ventana y demás. Todas estas herramientas de Messenger, tienen la única finalidad de proporcionarte elementos para que te diviertas y disfrutes junto a todos tus amigos.

Personaliza tu cliente de mensajería instantánea.

Una de las características destacadas de Messenger se encuentra ligada a la gran versatilidad que el programa te proporciona para que modifiques y adaptes todas sus configuraciones iniciales, según sean tus necesidades y preferencias.

Para acceder a la ventana de configuración, tienes que realizar clic sobre el botón Mostrar menú, seleccionar la opción Herramientas y por último, Opciones.

En la ventana de configuraciones de Messenger encontrarás una amplia lista de opciones, dependiendo de las características que desees modificar. A continuación se detallan algunas de ellas:

* Opción 1: Messenger te permite ajustar algunos parámetros específicos relacionados al perfil de tu cuenta, tales como nombre, mensaje personal, imagen para mostrar, perfil público, estado, etc.
* Opción 2:En el sector Diseño puedes modificar opciones relacionadas a los rasgos gráficos del entorno de Messenger. Algunas de ellas son: Lista de contactos, etiquetas, organización de contactos, etc.
* Opción 3: Dentro de este apartado puedes ajustar diferentes aspectos ligados a la ejecución automática y al inicio de sesión de Messenger
* . Opción 4: Aquí podrás ajustar tus preferencias a la hora de administrar y almacenar todos los mensajes que emitas y recibas con Messenger
* . Opción 5: Con Messenger podrás mantenerte informado todo el tiempo respecto de los usuarios que se encuentran conectados o desconectados del cliente de mensajería. Además, te brinda la posibilidad de establecer diferentes avisos o alarmas que te comuniquen la actividad de tu sesión.
* Opción 6: Al igual que los sonidos del sistema de Windows, Messenger te permite establecer diferentes audio para cada una de las acciones y tareas que se ejecutes.
* Opción 7:Gracias a Messenger
* puedes tener un control completo sobre los ficheros que emites y recibes desde tus ventanas de conversación. Tal es así, que puedes escoger el directorio en el que se almacenarán y seleccionar el antivirus con el que serán examinados. Opción 8: En el campo Privacidad, Messenger te permite filtrar las direcciones de correo electrónico y los contactos que quieres que sean admitidos por tu cuenta.
* Opción 9: Messenger pone a tu disposición diferentes herramientas destinadas a la protección y seguridad de tu sistema. De este modo, puedes establecer diferentes tipos de filtros y bloqueos, dependiendo de los contenidos que se traten.
* Opción 10: En este campo Messenger te brinda información respecto del estado en el que se encuentra tu conexión a la Red. Así, podrás mantenerte informado sobre la capacidad de conexión que tienes a tu disposición.

Activar la proteccion de SpywareBlaster 3.2

Una vez bajado e instalado el programa, vamos a ver como funciona y para ello vamos a activar el mismo.
Al ejecutar el programa nos aparece esta pantalla:

En este caso vamos a activar en el ejemplo la protección para Internet Explorer ( lo he puesto de ejemplo pues es el navegador más utilizado, el programa permite incluso la proteccion en el navegador Mozilla ), para ello haz click en: “Click here for enable protection” al hacer click en esa opcion, nos aparece ahora esta pantalla:

Como ves si activas las casillas: Prevent the installation of Active-X based spyware, dialers, etc y prevent
spyware/tracking cookies estás inmunizando ya tu Explorer contra la amenaza de un buen monton de spyware que puedes consultar en la ventanita inferior Mi consejo es que las actives todas, pues es spyware demostrado.
Haz click ahora en el menu superior en Restricted sytes te aparecera una pantalla asi:

Activa la casilla: Restrict the actions of spyware/ad/tracking sites on Internet Explorer con ello conseguiras que estos sites que puedes comprobar en la ventanita inferior puedan ejecutar codigo en tu sistema, alguno de ellos son muy conocidos como CoolWebsearch.

Con estas 2 sencillas acciones habras conseguido inmunizar tu sistema contra una gran parte de sitios y software spyware/adaware y demás que “pulula” por la red.

NOTA: Cuando actives: Restrict the actions of spyware/ad/tracking sites on Internet Explorer es posible
que algun antivirus lo intente impedir, pues interpreta que es una maniobra peligrosa, en este caso
desactiva tu antivirus momentaneamente y activa la casilla, despues vuelve a activar tu antivirus
System Snapshot
Veamos ahora que es y para que sirve esta opcion de SpywareBlaster 3.2.

Como ves tenemos 2 opciones:
Restore System to saved Snapshot point: Esta opción sirve para restaurar tu sistema a un punto anterior guardado anteriormente de SpywareBlaster ( al estilo de Restaurar sistema de windows )
Create a new System Snapshot : para crear un punto de restauracion.

Tools

Veamos esta opcion de SpywareBlaster 3.2, al hacer click en ella nos aparece esta pantalla:

En la primera pestaña: Browser Pages tenemos un listado de paginas web aceptadas, la pagina de inicio, etc.
Veamos ahora el resto de pestañas:

En Hosts safe podemos guardar una copia encriptada de un punto de restauracion. Simplemente haz click en Create New Backup y sigue los pasos que se piden en pantalla.
En Misc IE Settings podemos cambiar alguna configuración de Internet Explorer: como desactivar IExplorer o que no aparezca en la configuracion del Panel de control y que asi no pueda ser modificada la configuracion del mismo.
Tambien podemos cambiar el texto que aparece por defecto en la Barra de Título de Internet Explorer.
En Flash Killer podemos desactivar los contenidos en Flash de las paginas que visitemos, recordemos que hay malware que se presenta en forma de archivos flash en contenidos web.
Por ultimo en Custom Blocking podemos añadir los controles ActiveX que deseamos bloquear.

Updates

Vamos ya con la ultima opcion de SpywareBlaster, y no por ello menos importante, pues es necesario tener nuestro SpywareBlaster actualizado al máximo, para prevenir cualquier amenaza.
SpywareBlaster 3.2 requiere de una suscripción si deseas que se actualice automáticamente, es por ellos que vamos a hacer la actualización de forma manual.
Para ello hacemos click en Check for Updates:

Se presentara una pantalla donde se nos informa del estado de actualizacion y al final nos aparece una pantalla de confirmacion de si se ha realizado algun tipo de actualizacion.

Con esto damos por terminado este manual – tutorial de spywareBlaster 3.2 .

PROHIBIDA LA REPRODUCCION TOTAL O PARCIAL DE ESTE TUTORIAL SIN LA AUTORIZACION EXPRESA DEL ADMINISTRADOR DE WWW.RAZORMAN.NET NI AUN CITANDO LA FUENTE DE PROCEDENCIA

Antes de continuar quiero que tengas presente lo siguiente:

Esta herramienta está orientada a usuarios avanzados, pues todo lo que se muestra en el Log del programa
no es Spyware, y que podemos borrar por descuido o por no saber lo que estamos haciendo entradas del
registro importantes que pueden hacer que nuestro sistema no vuelva a funcionar más

Una vez aclarado esto, tambien el programa incluye la posibilidad de hacer una copia de seguridad de tu configuración original por si borras algo importante.
Veamos ahora unas definiciones básicas que creo que debes conocer ( gracias dunanea)

¿Qué es el spyware? Son pequeños programas que se instalan en nuestro sistema operativo con la única finalidad de robar nuestros datos y espiar nuestros movimientos por la red, con la finalidad de comercializarlos enviando esa información a empresas de publicidad de Internet.
Trabajan en segundo plano, para que no nos demos cuenta que están ahí, hasta que empiezan a aparecer los primeros síntomas.

¿De que forma entran en nuestro sistema? Al visitar algunos sitios en Internet que descargan su código malicioso (ActiveX, JavaScrips, cookies), sin nuestro consentimiento.
Ocultos en programas gratuitos (Freeware) que al aceptar sus condiciones de uso (casi siempre viene en ingles y no leemos), estamos aceptando que nos espíen.
Acompañando algún virus o llamado por un Troyano.

¿Què información pueden obtener? Pues por ejemplo pueden tener acceso a nuestro correo electronico, passwor, pais, telefono, IP, DNS, paginas que visitamos, software que tenemos instalado, cuentas bancarias y un largo etc….

Spywares más comunes: Gator, Alexa, Cydoor, Hotbar, Adsofware, y un largo etc…

Los cinco principales síntomas de infección son…

Se nos cambia sola la página de inicio, error y búsqueda del navegador.
Se abren ventanas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría de la veces pornográficas.
Barras de búsqueda de sitios como Alexa, Hotbar que no podemos eliminar.
Botones que aparecen en la barra de herramientas del navegador y que no podemos eliminar.
La navegación por la red se hace cada vez más lenta.

¿ Qué es el Adware (ADvertising-Supported softWARE):? muy similar a lo anterior. La diferencia estriba en que suele venir incluido en programas shareware y por tanto, al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello (aunque en la práctica no sea así, ya que pocas personas prestan atención a los contratos o licencias de uso mostradas durante la instalación).

Un ejemplo de ésto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte,
suponen una forma de pago por emplear dichos programas de manera pseudogratuita.

¿ Qué son Hijackers? se encargan de modificar las opciones de configuración del navegador (tradicionalmente, Internet Explorer de MS) para apuntar hacia otros sitios, cambiar nuestra página de inicio, la página de error, etc.
Habitualmente capturan nuestras peticiones de navegación, de manera que ralentizan el comportamiento del navegador, aparte de obligar a éste a obedecer a sus propósitos.
Para comprender mejor el término es bastante descriptivo mencionar que, en otros ámbitos, esta palabra es empleada para definir a personas que empleando la fuerza, secuestran/roban un vehículo (típicamente un avión) para obligar a cambiar su ruta y lugar de destino.
Vendría a ser lo mismo, aplicado a los navegadores. Suelen valerse de ActiveX maliciosos o de agujeros de seguridad del navegador, por ello es conveniente protegernos de ellos con la protección preventiva de Spybot S&D y Spywareblaster.

BHO (Browser Helper Object): se podría dar una definición técnica al estilo de es un objeto COM dentro de una DLL que se carga automáticamente con el IE… si buscáis algo así, mejor os remito a la amplia exposición de un artículo de MS.
Para el objetivo de este artículo, es mucho más asequible decir que es un pequeño programa que se ejecuta
automáticamente cada vez que abrimos el navegador de Internet.
Suele instalarse a la vez que instalamos otros programas (como se mencionaba en el caso del adware, por ejemplo) o también mediante ActiveX y sus funciones pueden ser muy diversas, desde capturar eventos, lanzar pop ups, ventanas de mensajes, cambiar nuestra página de inicio, páginas de búsqueda, banners adware, crear toolbars, monitorizar y reportar nuestros hábitos, etc.
En ocasiones pueden provocar errores en nuestro sistema, conflictos con otras aplicaciones, disminuir el rendimiento del navegador… poco agradable, ¿verdad?.
Por desgracia no son detectados por los firewall

Toolbars: grupo de botones situados generalmente bajo la barra de herramientas del navegador. Pueden deberse a aplicaciones normales (limpias) que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.
Instalacion de HijackThis 1.99
Lo primero que haremos sera descargarnos el programa HijackThis 1.99 de aqui: Trend Micro
el programa es muy pequeño, tan solo 193 kb.
Una vez descomprimido, lo ejecutaremos, te saldrá inmediatamente un aviso como este:

No te preocupes es un aviso de que debes manejar este programa con precaución. Dale a aceptar y después te saldrá una pantalla como esta:

Te recomiendo que crees una carpeta exclusivamente para este programita, alli se almacenarán tambien los Logs del mismo y que deberás consultar más tarde.
Antes de nada vamos a comprobar y observar una serie de parámetros muy importantes del programa, para ello haz click en: Open the Misc Tools Section, se mostrará una pantalla como esta:

Como ya hemos dicho en el preambulo de este manual – tutorial, el uso de esta herramienta no esta exenta de riesgos, si eliminamos alguna entrada erronea podemos hacer que el sistema funcione mal o incluso que no vuelva arrancar.
Por ello marcaremos siempre la casilla: Make Backups before fixing items Así si en un futuro debemos restaurarlo, no tendremos más que acudir a Backups, seleccionar el apartado correspondiente y pulsar en Restore.
Tambien podemos eliminar backups no útiles desde la opción Delete

Como ya hemos advertido, ni los responsables de este programa, ni el que realiza este manual – tutorial nos
hacemos responsables de problemas derivados del mal uso de esta aplicacion, te recuerdo que trastear con
el registro de Windows puede traer consecuencias graves, y solo usuarios con conocimientos deben realizar
estas modificaciones, bajo su responsabilidad.

Por ello y si te encuentras con problemas con el arranque, será muy difícil la restauración a través de los propios backups propios de HijackThis, te recomiendo que utilices la herramienta ERUNT que sí te permitirá hacerlo.
En un futuro tutorial explicare como hacerlo.

RECOMENDACION

Aunque no es necesario, te recomiendo que antes de ejecutar HijackThis 1.99 cierres el mayor numero de aplicaciones posibles, así el futuro estudio del Log de HijackThis será menor y con menos aplicaciones superfluas.
Para ello cierra todos los programas que puedas residentes en el Systray ( donde está el reloj ). Tambien puedes hacerlo desde Inicio > Ejecutar > msconfig > Servicios > Inicio, y desmarcar lo no imprescindible. ( Recuerda de anotar lo que tienes activado antes para volver todo a la normalidad despues)

Lo ideal es dejar los servicios basicos del sistema y los relativos a tu tarjeta gráfica . Puedes cerrar antes de hacer el scan: antivirus, antispy, cortafuegos, winamp, acdsee, programas de grabacion, mensajeria instantanea, correo electronico, etc.
Por supuesto, en estas condiciones, No comiences una conexion a internet por el riesgo que supone!!

Funcionamiento de Hijack This 1.99

Despues del preámbulo que es necesario que conozcas de este software, vamos a adentrarnos ya en el funcionamiento de Hijack This. Para ejecutar el programa ( una vez abierto ) haz click en Do a system Scan and save a Log File:

En breves instantes obtendremos un resultado visible desde la ventana del programa ( Si utilizas el antivirus de Panda quiza te aparezca una ventanita advirtiendote que el programa está realizando un operación sospechosa ).

Al mismo tiempo aparecerá una ventana donde se nos pedira la ubicación para guardar el Log de Hijack This 1.99, que nos será muy util para analizarlo despues.
Una vez guardado, ha llegado la hora de analizar este Log:

Como se puede observar en el log, cada línea o ítem va precedida de una letra más uno ó dos números y hacen referencia a lo siguiente.:
R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE)
F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini…).
N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
O1: Redirecciones mediante modificación del fichero HOSTS.
O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones maliciosas.
O3: Toolbars para IE.
O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, bien mediante las claves oportunas en el registro, bien por aparecer en la carpeta del grupo Inicio.
O5: Opciones de IE no visibles desde Panel de Control.
O6: Acceso restringido -por el Administrador- a las Opciones de IE.
O7: Acceso restringido -por el Administrador- al Regedit.
O8: Items extra encontrados en el menú contextual de IE.
O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluídas en la instalación por defecto).
O10: Winsock hijackers.
O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).
O12: Plugins para IE.
O13: Hijack del prefijo por defecto en IE.
O14: Hijack de la configuración por defecto de IE.
O15: Sitios indeseados en la zona segura de IE.
O16: Objetos ActiveX.
O17: Hijack de dominio / Lop.com.
O18: Protocolos extra / Hijack de protocolos.
O19: Hijack de la hoja de estilo del usuario.
Grupo N1, N2, N3, N4
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.
El uso de estos navegadores no está tan extendido como el de IE y por tanto, están menos expuestos a la acción de spyware y demás especializada; sin embargo existen (de la extensa familia Lop.com por ejemplo).
Si os aparece una entrada de este nivel y no la reconocéis como vuestra página deseada de inicio/búsqueda, lo indicado es marcarla y aplicarle el “fix” de HJT.

O1: Redireccionamientos por modificación del fichero HOSTS

El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo:
127.0.0.1 www.dominioindeseable.com …al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS.
De esta manera evitamos que se pueda acceder a dicho dominio indeseable.
Sin embargo, puede ser empleado con fines maliciosos por el Spyware que tratamos de combatir en este Manual – Tutorial, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP spyware) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP Spyware.
Este redireccionamiento suele ser frecuente de ver por parte de los hijackers.
Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el “fix” de HJT.
Si nos muestra O1 – Hosts file is located at C:\Windows\Help\hosts …casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el “fix”, aunque mejor si previamente lo intentamos con herramientas específicas contra CWS como pueden ser (en este orden) delcwssk y CWShredder

O2: BHO (Browser Helper Object)

Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones Spyware.
Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha. En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}). Las allí señaladas en Status como “X” son catalogadas de spyware, las “L” como normales o limpias.
Ejemplo normal:
O2 – BHO: (no name) – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\Archivos de programa\Adobe\Acrobat
5.0\Reader\ActiveX\AcroIEHelper.ocx
…si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, os lo mostrará catalogado como “L”, es decir, normal, ya que está originado por nuestro Adobe Acrobat Reader.
Si por el contrario el resultado de vuestra búsqueda os lo mostrara como “X”, ya sabéis que se trata de spyware y conviene aplicarle el “fix”.
Es preciso que en ese momento no tengáis abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si tras aplicar el “fix” veis que vuelve a salir en el listado, será preciso reiniciar en modo a prueba de fallos (modo seguro) para erradicarlo.

O3: Toolbars para IE

Recordamos la definición de Toolbar: suelen ser un grupo de botones situados generalmente bajo la barra de
herramientas del navegador, que pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.
Su ubicación en el resgistro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar
Ejemplo normal:
O3 – Toolbar: Web assistant – {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} – C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
…como se ve en el ejemplo, esa toolbar está originada por el Norton Internet Security de Symantec. Sin embargo, en caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseñado para los ítems O2 para tratar de salir de dudas respecto a su identidad.
El procedimiento es el mismo: buscar en función del CLSID y comprobar si está referenciado como “X” (spyware) o “L” (limpio).
En caso de ser spyware, conviene marcar el ítem y aplicar el “fix” de HJT.

O4: Aplicaciones de carga automática en inicio de Windows por Registro/grupo Inicio

La carga automática de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en directorios del grupo Inicio.
Claves del Registro implicadas
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run
Ejemplo: O4 – HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe
Los directorios del grupo Inicio pueden tener estas ubicaciones:
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio …reflejado en el log de HJT como Global Startup; son programas que se cargan para el perfil de todos los usuarios.

Ejemplo: O4 – Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
R:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio …reflejado en el log de HJT como Startup: programas que se cargan sólo para el perfil de ese USUARIO.

Ejemplo: O4 – Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
Al igual que para el Grupo F, ante la duda, el Pacman’s Startup List os podría servir a nivel orientativo para identificarlos.
Si os encontráis con un ítem indeseable y deseáis aplicarle el “fix”, no será exitoso mientras el proceso esté activo en memoria.
En esos casos, primero debéis acudir al Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HJT.

O5: Opciones de IE no visibles desde Panel de Control

En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una entrada en el fichero control.ini ubicado en [**] (C:\WINNT o C:\WINDOWS, según versión del SO), lo que se reflejaría en el sgte. ítem del log de HJT:

O5 – control.ini: inetcpl.cpl=no

…pero este hecho, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación Spyware que de esta manera trate de dificultar que cambiemos las Opciones del IE.
Si se trata de esto último, es conveniente aplicarle el “fix” de HJT.

O6: Acceso restringido -por el Administrador- a las Opciones de IE

Si el acceso está restringido por el Administrador o bien porque empleamos Spybot S&D y aplicamos su protección bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuración de la pág. de Inicio…), aparecerá un ítem como el sgte.:

O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso… , observaríamos este otro:
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del
Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicarle el “fix”.

O7: Acceso restringido -por el Administrador- a Regedit

Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del registro (no es infrecuente en políticas de seguridad corporativas), se refleja en un ítem como el sgte.:

O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicarle el “fix” de HJT.

O8: Items extra en el menú contextual de IE

El menú contextual en IE es el que obtenéis al picar con el botón derecho sobre la web que estáis viendo.
Os muestra diferentes ítems o líneas de selección y pueden deberse a aplicaciones normales, pero también a spyware.
Las diferentes opciones en ese menú se albergan en la sgte. cadena del registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo normal: O8 – Extra context menu item: E&xportar a Microsoft Excel – res://C:\ARCHIV~1\MICROS~3\OFFICE11 \EXCEL.EXE/3000
Pero si no reconocéis la aplicación responsable del ítem extra en el menú contextual y sospecháis que sea por morralla, podéis aplicarle el “fix” de HJT.

O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE

Si tenéis botones extra en la barra de herramientas principal de IE o bien ítems extra en el menú Herramientas de IE (que no sean los incluídos en la instalación por defecto) y queréis deshaceros de ellos por sospechar que provengan de Spyware, deberéis fijaros en este ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
Ejemplos normales:
O9 – Extra button: Messenger (HKLM)
O9 – Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O9 – Extra button: AIM (HKLM)
En los normales no es preciso hacer nada, pero ante casos indeseables que queráis hacerlos desaparecer, el “fix” de HJT debería poder con ellos sin problemas.

O10: Winsock hijackers

En este apartado hay que ser extremadamente cautos o podéis dañar vuestra conexión a Internet.
Desde la propia Merijn.org recomiendan, en caso de necesitar resolver reseñas mostradas en este ítem O10, emplear versiones modernas de Spybot S&D o la herramienta LSPFix de Cexx.org mejor que actuar con HJT .
Es por ello que os remitimos a esas dos alternativas en vez de profundizar en este punto.
No os preocupéis si veis aquí referencias a algún módulo de vuestro antivirus.
Puede ser normal en aquellos que actúan a nivel del winsock.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto)

Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la sgte. cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Desde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso el ítem mostrado (morralla) sería como sigue:

O11 – Options group: [CommonName] CommonName

…si tenéis ese caso, marcadlo y aplicar el “fix” de HJT.
Si es otro distinto, en principio se convierte en sospechoso y requerirá que busquéis información por la red acerca de su procedencia.

O12: Plugins para IE

En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.
Ejemplos normales:

O12 – Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 – Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll
Generalmente son normales, pero ante la duda, conviene buscar por la red su procedencia.
No obstante, se tiene reportado algún caso claro de Spyware en este apartado como es el plugin de OnFlow, que se detecta fácil por su extension *.ofb; si os lo encontráis, conviene marcarlo y aplicar el “fix”.

O13: Hijack del prefijo por defecto en IE

El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.).
Por defecto IE tratará de emplear http://, pero es posible modificar este valor en el registro mediante la sgte. cadena:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
De hecho, existen aplicaciones spyware que lo llevan a cabo, obligando al navegante incauto a llegar hacia donde no desea.
Una de ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por “http://ehttp.cc/?”, de manera que cuando el usuario introduce “www.google.com”, automáticamente es derivado a “http://ehttp.cc /?www.google.com”, que es un site perteneciente a CWS.
Ejemplo nocivo de CWS:

O13 – WWW. Prefix: http://ehttp.cc/?

…en estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como pueden ser delcwssk primero y CWShredder después (no olvidéis actualizarlo antes de aplicarlo). Pasar tras reiniciar el scan de HJT y comprobad si ha sido suficiente con ellas, aplicando finalmente el “fix” de HJT en caso necesario.
CWS tiene muchísimos dominios y es un listado en continua expansión.
Otros ejemplos Spyware a los que podéis aplicar el “fix”:
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

O14: Hijack de la configuración por defecto de IE

Hay una opción entre las muchas del IE, que es resetear los valores presentes y volver a la configuracion por defecto.
Los valores de esta última, se guardan en el fichero iereset.inf, ubicado en [**]\inf y el problema puede aparecer si un hijacker modifica la información de dicho fichero porque, de esa manera, al resetear a la configuración por defecto, lo tendríamos presente de nuevo.
En estos casos es conveniente aplicar el “fix”.
Ejemplo Spyware: O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com
No obstante, tened cuidado porque no todo lo que aparece en este ítem tiene que ser nocivo.
A veces puede deberse a manipulaciones legítimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc.
En estos casos seguramente reconoceréis la URL mostrada y no será necesario ningún procedimiento.

O15: Sitios indeseados en la zona segura de IE

En IE la seguridad se establece por medio de zonas o y según éstas, la permisividad en términos de seguridad es mayor o menor.
En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la sgte. cadena del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Si por ejemplo hemos añadido www.razorman.net a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:

O15 – Trusted Zone: www.razorman.net
De igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos añadido conscientemente.
Pero puede darse el caso de que alguna compañía como AOL o Spyware como CWS, introduzcan silentemente sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la sgte. manera:
O15 – Trusted Zone: http://free.aol.com
O15 – Trusted Zone: *.coolwebsearch.com
En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, le indicaremos a HJT su “fix”.

O16: Objetos ActiveX

Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files.
La ubicación de almacenamiento es [**]\Downloaded Program Files
Podemos encontrar ítems normales como el del sgte. ejemplo:

O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com
/pub/shockwave/cabs/flash/swflash.cab
Y otros típicos de Spyware que, con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:

O16 – DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) http://www.xxxtoolbar.com/ist/softwares
/v4.0/0006_regular.cab

En casos de Spyware, podemos emplear tranquilamente el “fix” de HJT, pero si tras volver a escanear viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8…) para proceder con su eliminación.
Spywareblaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos.
Volvemos a recomendar su utilización preventiva.

O17: Hijack de dominio / Lop.com

En condiciones normales, cuando introducimos el nombre de un site en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio.
Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual.
Si lo llevan a cabo podrán redireccionarnos a donde les apetezca, apuntando nuestras peticiones hacia los dominios de su elección (no la nuestra).
Ejemplo normal:

O17 – HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer =
194.224.52.36,194.224.52.37
…decimos normal porque esas IPs corresponden a servidores DNS de un conocido ISP español y en estos casos no es preciso hacer nada.
Es la situación más habitual, encontrar las DNS que nos proporciona nuestro ISP.
Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex profeso o acudir a sites de fiar que ofrezcan ese servicio, como RIPE o ARIN e inclusive el propio Google. Ahora bien, si los resultados de nuestras pesquisas apuntan hacia morralla, les aplicaremos el “fix” con HJT.

O18: Protocolos extra / Hijack de protocolos

Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocol drivers estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos “extra” o “no estándar”) que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.
HJT primero busca protocolos “no estándar” en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro:

HKLM\SOFTWARE\Classes\CLSID
Ejemplo spyware:

O18 – Protocol: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:\ARCHIV~1\ARCHIV~1\MSIETS
\msielink.dll
Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida morralla como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si los veis reseñados como tal en el ítem O18 de HJT, aplicadles el “fix”.

O19: Hijack de la hoja de estilo del usuario

Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle el “fix”.
Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear contra él las herramientas específicas citadas anteriormente.
Señalar que puede haber usuarios que tengan prefijada una hoja de estilo a su gusto, en cuyo caso no deberían prestar atención a este ítem.

O20: AppInit_DLLs Registry value autorun

Entradas de registro ubicadas en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows que cargan en memoria una DLL en el logon, esta DLL permanecerá cargada hasta el logoff.
Son muy pocos los programas legales que crean estas entradas (por ejemplo Norton CleanSweep), en la mayoría de los casos se trata de entradas maliciosas que hay que remover.

O21: ShellServiceObjectDelayLoad

Entradas de registro ubicadas en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad que son cargadas por el Explorer en el arranque del sistema.
Puesto que el HijackThis utiliza un listado de los objetos reconocidos como componentes de Windows, todas las entradas que salgan en este item deben ser consideradas muy sospechosas

O22: SharedTaskScheduler

Estas entradas representan métodos de autorun indocumentados y son usadas muy raramente, deben ser consideradas extremadamente sospechosas

O23: Servicios

Todos los servicios de Windows NT/XP/2000/2003

F.A.Q. Hijack This
Os voy a poner la traducción del F.A.Q. oficial de Hijack This que podeis encontrar en http://www.spywareinfo.com /~merijn/faq.html
Asímismo, este Manual – Tutorial de Hijack This, está basado en el tutorial de wolfette de www.nautopia.com y en la versión oficial del tutorial de hijack This que podeis enconcrar en www.spywareinfo.com
Una vez dicho esto, aqui teneis traducido el F.A.Q. oficial de Hijack This.

P. Porque obtengo ‘Unexpected error’ en una DLL cuando ejecuto HijackThis?

Necesitas las librerias Visual Basic Runtime, para poder ejecutar HijackThis. Los Windows más recientes las tienen instaladas por defecto, pero en caso contrario, están disponibles en Microsoft.com.

P: Cómo se lo que se puede borrar y lo que no en los resultados de los escáneres?

Pregunta a quienes sepan. No puedes esperar comprender todos los resultados obtenidos. Puedes poner tu log en uno de los foros de ayuda y solicitar ayuda.

P: He borrado un navegador hijack pero ha vuelto a aparecer!!

Probablemente dejaste algo antes de reiniciar Hijack, o hay algo de lo contrario presente en tu sistema que no es visible a Hijack This. En ambos casos pon tu log en uno de los foros y solicitar ayuda.

P: Porque HijackThis se esta cerrando de repende cuando lo ejecuto?

La ultima version de CWS, CWS.Smartsearch.2, esta intentado cerrar CWShredder, HijackThis, Spybot S&D, Ad-aware y cualquier ayuda en linea, incluyendo los foros de ayuda cuando tratas de abrirlos. Descarga PepiMK’s CoolWWWSearch.Smartsearch matador y ejecutalo primero, entonces ya puedes usar Hijackthis. Esta recomendado que uses CWShredder tan pronto como puedas eliminar el troyano CWS.Smartsearch

P: Porque “XXX” no aparece en el Log de HijackThis? Se que hay troyanos/virus que utilizan este metodo para ejecutarse.

HijackThis solo descubre malware de tu navegador, no troyanos o virus. Posiblemente en el inicio puedas verlo iniciado en la lista de inicio. Si hay varios malwares que usan el inicio para ejecutarse, son incluidos en HijackThis.

P. Porque obtengo un error en r #5 (Invalid procedure call) en modRegistry_GetFirstSubfolder()?

Si estas obteniendo este error:
An unexpected error has occurred at procedure:
modRegistry_GetFirstSubFolder(sFolder=C:\Documents and Settings\\Application Data\Mozilla\Profiles
\default) Error #5 – Invalid procedure call or argument
Entonces estas ejecutando una versión antigua de HijackThis, v1.97.5. Por favor descarga la ultima versión que corrije este error.

P. Cómo desinstalo HijackThis?

Ejecutalo, ve a Configuracion – Herramientas – Desinstalar HIjack This. Entonces se borra HijackThis.exe. Tambien puedes borrar las copias que hayas creado

PROHIBIDA LA REPRODUCCION TOTAL O PARCIAL DE ESTE TUTORIAL SIN LA AUTORIZACION EXPRESA DEL ADMINISTRADOR DE WWW.RAZORMAN.NET NI AUN CITANDO LA FUENTE DE PROCEDENCIA

Aqui nos metemos en la opción configurar

En esta parte entramos en la opción Programas con acceso a la red, boton configurar.
En esta imagen se ve como emule tiene tanto acceso de entrada como de salida:

Si no fuera así demarcamos las casillas para poder configurarlo como en esta imagen.Elegimos la opción que
queremos, volvemos a marcar las casillas y damos a aceptar y cerrar.

PROHIBIDA LA REPRODUCCION TOTAL O PARCIAL DE ESTE MANUAL SIN LA AUTORIZACION EXPRESA Y POR ESCRITO DE SU CREADOR DJCACO O BIEN DEL ADMININISTRADOR DE WWW.RAZORMAN.NET

El primer cambio consiste en el modo en el que queremos configurar el Firewall, activado, desactivado o

activado sin excepciones, este último modo resulta de gran utilidad para portátiles por ejemplo, ya que si nos encontramos en un lugar publico podemos, marcando simplemente esta opción, cerrar completamente el acceso al PC en cuestión.

1.- Excepciones del Programa:

En versiones anteriores de este Firewall, debias realizar la configuración manualmente, lo que dificultaba esta labor.
Ahora es todo más sencillo, observa la figura 2:

Seleccionando el programa que deseamos añadir, en Agregar programa, si no se encuentra en la lista, el Firewall detecta automáticamente los puertos que usa y los abre para ese programa, cerrándolos
cuando el programa se cierra. Desde este mismo cuadro de diálogo es posible añadir simplemente puertos tanto TCP como UDP.
Otra de las configuraciones de este apartado es el rango de direcciones IP al que vamos a permitir el acceso, se dividen en tres tipos: las de mi red (Intranet o red interna, técnicamente la misma subred), cualquiera, o un rango definido a mano en una lista de direcciones IP.

2.- Opciones avanzadas:

Esta opción presenta estas características:

Aqui encontramos las configuraciones
Generales del Firewall del Service Pack 2 de Windows XP. Desde este cuadro de diálogo podremos configurar el archivo de log, las conexiones que se verán afectadas por el Firewall (deberían ser todas) y el ICMP (Internet Control Message Protocol), e incluso restaurar el firewall a la configuracion
predeterminada.
Lo más importante es lo que se muestra en esta pantalla:

El apartado más interesante es el que afecta a las conexiones, ya que nos permite gestionar por conexiones. Así en el caso de disponer por ejemplo de una tarjeta de red y un módem, nos permitirá gestionar cada uno de ellos de manera diferente.
Como veis el funcionamiento es muy sencillo.
Cualquier duda posteadla en el FORO de www.razorman.net

PROHIBIDA LA REPRODUCCION TOTAL O PARCIAL DE ESTE TUTORIAL SIN LA AUTORIZACION EXPRESA DEL ADMINISTRADOR DE WWW.RAZORMAN.NET NI AUN CITANDO LA FUENTE DE PROCEDENCIA

Una vez descargado e instalado, el programa presentará una interfaz como esta:

Fijate en la parte superior de la captura de pantalla, ese boton Stop bloquea cuando desees el acceso a Internet de cualquier programa, hasta incluso puedes añadir una clave, entonces el simbolo del candado aparecerá cerrado.

Esas barras de progreso de colores al lado del botón Stop muestran el trafico DE y HACIA nuestro PC. Observa al lado del candado los iconos de los programas que están teniendo conexión a Internet.

PESTAÑA OVERVIEW.-

En la lengüeta Status tienes información sobre el estado actual de los programas y del sistema. Es meramente una pantalla informativa, no es necesario que cambies nada en ella. Como ves se te informa de
los intentos de intrusión bloqueados, de su peligrosidad, número de programas que tienen permitida la conexión a Internet, protección de correo y lo que es novedad en esta versión: Monitorización de antivirus; te señaliza si tienes el antivirus en funcionamiento.
La lengüeta Product Info muestra información del producto:

Puedes comprobar la versión de ZoneAlarm utilizada, Información de Licencia (es libre para uso personal), etc.
En Preferences tenemos lo siguiente:

Check For Updates:Aqui puedes configurar que se actualice el programa automáticamente o de forma manual.
General: Cargar ZoneAlarm al inicio (cuando inicies una sesión), proteger ZoneAlarm. En Options (General) puedes cambiar el color por defecto del programa, y si te conectas a traves de un proxy, aqui puedes configurarlo.
Contact with Zone Labs: en este apartado presta atención sólo a que tengas aceptada la opción: Hide the last octet of my IP address when applicable que oculta la dirección IP cuando se envía una alerta a ZoneLabs
Online Fraud Protection: otra de las novedades de la versión 5, te avisa si estás accediendo a una sede fraudulenta de eBay.

PESTAÑA FIREWALL.-

En la pestaña Main tenemos dos opciones:

Internet Zone Security: Aqui desliza el cursor sino está ya hasta HIGH.
Así nuestro PC se vuelve invisible al exterior, en cambio la opción MEDIUM, deja visible nuestro sistema, pero es igualmente seguro. Puedes comprobar la seguridad de tu sistema en la dirección:

http://grc.com/default.htm

una vez en esa web selecciona SHIELDS UP y luego TEST MY SHIELDS y PROBE MY PORTS. Si tienes el nivel de seguridad en HIGH, el resultado debe ser: STEALTH! -> ocultos, los puertos existen, pero están
invisibles a un escaneo exterior, que es lo que nos interesa.
En cambio si lo tienes en la opcion MEDIUM, el resultado será: mayoría STEALTH, pero los puertos 79 (finger) 80 (http), 110 (POP3), 143 (IMAP) CLOSED, lo que quiere decir que el sistema es visible para quien pueda escanear el sistema, pero están CERRADOS, por lo que no se puede acceder a ellos.
Trusted Zone Security: Aqui desplaza el cursor hasta MEDIUM
En esta misma pantalla tienes la opción Advanced:

Debes tener marcadas las 3 últimas opciones, es decir: Allow Outgoing DNS/DHCP in Trusted Zone on High setting, Allow Outgoing DNS/DHCP in Internet Zone on High setting, Lock host file.
El resto de las opciones dejalas como muestra la captura.
En la pestaña Zones:

No es necesario que configures nada, se muestra información de la tarjeta de red ( si la tienes instalada), puedes añadir + sistemas para conectarse (si por ejemplo comparten 2 ordenadores la misma red).

PESTAÑA PROGRAM CONTROL
Tenemos las opciones Main y Programs:
MAIN: Se muestra una pantalla como esta:

En Program Control desplaza la barra hasta la opcion MEDIUM y la opción Automatic Lock comprueba
que esté en la opcion OFF. El botón Custom permite configurar Auto-Lock, para bloquear el acceso a Internet cuando se activa por ejemplo el Protector de Pantalla y poder controlarlo a través de una contraseña.

Con esto se impide que alguien se conecte a Internet cuando no estamos frente
al ordenador. Ten en cuenta que la conexión telefónica igualmente se está
realizando, sólo que no es posible navegar, gestionar el correo, etc.

PROGRAMS

En este apartado se muestran la totalidad de los programas que pueden acceder
a Internet, desde esta opción podremos añadir programas que queramos que puedan
acceder, suprimir…

PESTAÑA ANTIVIRUS MONITORING.-

Como ya comentamos anteriormente, esta es una de las nuevas características de la versión 5. El programa monitoriza el estado de tu antivirus e incluso te avisa cuando el antivirus no está actualizado.

PESTAÑA E-MAIL PROTECTION.-

Otra de las nuevas características implementadas el ZoneAlarm 5, te protege de archivos adjuntos en formato .VBS que contengan algún virus. Puedes desactivarlo si lo deseas.

PESTAÑA ALERTS & LOGS.-

En la pestaña Main te recomiendo que lo tengas en OFF, de lo contrario el programa te avisará constantemente de cualquier ping que se produzca, además de todas las posibles intrusiones externas.
En la pestaña Log Viewer veremos la lista de posibles intrusiones:

Esto es todo lo que deberias saber sobre este estupendo firewall.
TUTORIAL REALIZADO POR RAZORMAN PARA
HTTP://WWW.RAZORMAN.NET .
VISÍTANOS!!!!!!!!!!!

PROHIBIDA LA REPRODUCCION TOTAL O PARCIAL DE ESTE TUTORIAL SIN LA AUTORIZACION EXPRESA DEL ADMINISTRADOR DE WWW.RAZORMAN.NET NI AUN CITANDO LA FUENTE DE PROCEDENCIA

¿Cómo pasar Ad-Aware SE Personal 1.05 a Español?

Es sencillo, tras bajar el pack de lenguajes de la url anterior, observareis que teneis un archivo pllangs lo ejecutais y lo instalais en el directorio que os señala el mismo por defecto.
Durante la instalación os saldran varios lenguajes posibles a instalar, desmarcar todos menos Spanish Una vez realizado lo anterior, abre Ad-Aware SE Personal 1.05.
Ve al menú superior y haz click en la imagen de una especie de rueda dentada ( la segunda empezando por la izquierda ) en la pantalla que se muestra, en Languaje File en la caja de diálogo selecciona: Spanish .
Haz click despues en Aceptar.
Con esto ya tienes tu Ad-Aware SE Personal 1.05 en Español, tal y como se muestra en la captura:

2.- Pantalla principal de Ad-Aware SE Personal 1.05

Una vez instalado el programa nos aparece una pantalla como esta:

Tras haber realizado la actualizacion del programa ( algo que siempre os recomiendo que hagais antes de hacer uso del mismo), veis que hay un botón que dice: Iniciar que es el que usaremos para iniciar el análisis del Sistema en busca de Adaware y spyware.
Vemos tambien que el archivo de definiciones ( usado por el programa para detectar spyware ) está actualizado completamente. Si quisieramos actualizarlo, haced click en Buscar Actualizaciones al lado de Estado correcto

Realizando una busqueda de Adaware con Adaware 1.05 SE Personal

Una vez instalado y visto en lineas generales el programa, vamos ya a realizar una busqueda en nuestro sistema para tratar de encontrar Adaware y Spyware en el mismo. Para ello hacemos click (como ya habiamos comentado en el anterior capitulo ) en Iniciar se nos abrirá una pantalla para que elijamos el tipo de scan que deseamos realizar:
Como ves en la captura tienes 4 opciones para realizar el scan del sistema:
Realizar un análisis inteligente del Sistema Realiza un análisis rápido del sistema. Es la opción por defecto.
Realizar un análisis completo del Sistema Es la opción más recomendable pues realiza un análisis a fondo de nuestro sistema.
Usar análisis personalizado Desde esta opción podremos elegir que archivos, carpetas o unidades se deben escanear.
Análisis de ADS Esta opción busca ADS (Cadenas de Datos Alternativas en español ). El escaneo se realiza en 2 fases: La primera analiza el sistema y guarda la información de cada archivo de forma individual, pasando después a realizar un análisis de la información de las Cadenas de Datos. Deberás entonces seleccionar que carpetas y archivos han de ser analizados.
Una vez visto las distintas opciones de Análisis , vamos a efectuar un análisis de nuestro Sistema: Para ello hacemos click en Siguiente:

Una vez realizado el escaneo se nos muestran el numero total de Adaware reconocido: Procesos, Modulos, Entradas del registro, Archivos y carpetas. En el próximo capítulo veremos como eliminar este Adaware.

Resultado del escaneo de Ad-Aware SE Personal 1.05

Veamos ahora que significan las 4 pantallas posibles de resultados del análisis efectuado al Sistema por Ad-Aware SE Personal 1.05:

RESUMEN

En esta opción se muestra un Resumen total del análisis, tal y como ves en esta captura:

CRITICOS

Aqui verás los objetos y entradas Críticas que se han encontrado, por ejemplo los conocidos dataminer y cookies peligrosas:

INSIGNIFICANTES

Objetos MRU más utilizados:

REGISTRO

Aqui vemos un resumen textual del escaneo realizado al sistema.

Eliminacion de Spyware y Ad-Aware

Vamos a ver por último que hacer con los resultados mostrados como Ad-Aware y Spyware por el programa Ad-Aware SE Personal 1.05. Una vez finalizado el Análisis, no tenemos más que seleccionar los objetos a eliminar. Si necesitas más información, tan solo haz doble click en el objeto y se desplegará una pantalla explicando su peligrosidad, ubicacion, y la funcion del mismo:

Después de marcarlos pulsar en Siguiente aparece esta pantalla de confirmación:

PROHIBIDA LA REPRODUCCION TOTAL O PARCIAL DE ESTE MANUAL SIN LA AUTORIZACION EXPRESA Y POR ESCRITO DE SU CREADOR DJCACO O BIEN DEL ADMININISTRADOR DE WWW.RAZORMAN.NET

Después de hacer en Aceptar, se eliminan esos objetos y se retorna a la pagina principal del programa.