Manual Hijackthis

Manual completo de análisis e interpretación de logs de hijackthis y uso del programa.

Introducción:

Hijackthis (HJT para abreviar), es una herramienta gratuita que tras escanear tu PC genera un informe detallado de la configuración de archivos y del Registro de tu equipo, permitiéndonos luego, eliminar las modificaciones hechas por Browsers hijackers (toolbars, páginas de inicio, páginas de búsqueda, spywares, adwares, BHO, Malwares, etc.).

En Trucoswindows.net llevamos desde el 2003 analizando logs de Hijackthis y podemos decir, que hoy en día, es un Sitio oficial de soporte y ayuda con HijackThis en español ya que Trend Micro nos ha nombrado como tal.

Antes de usar este programa aconsejamos usar la guía que tenemos aquí: Consejos antes de pegar su log de HijackThis. Se trata de limpiar los troyanos, spywares y demás con otros métodos antes de remover entradas con el Hijackthis, ya que si remueves las entradas antes que con otra herramienta, los archivos del hijacker/spyware seguirán estando en tu ordenador, y en el futuro, otras herramientas de desinfección no serán capaces de encontrarlos.

Advertimos que: Si no tienes conocimientos avanzados de informática, no debes eliminar entradas usando Hijackthis sin consultar antes con un experto en el uso de este programa. Haz tu consulta en el foro antes de meter la pata.

En ningún caso, ni los responsables del programa ni el que subscribe este artículo nos hacemos responsables de problemas derivados de su uso. Tocar el registro puede traer consecuencias nefastas para el equipo y sólo usuarios con ciertos conocimientos deben aventurarse en determinadas labores.

No obstante, si lo vas a hacer tu solo, todas las precauciones son pocas, y teniendo en cuenta que desde un sistema con problemas en el arranque sería difícil la restauración de los backups propios de HJT, lo mejor es, antes de utilizar Hijackthis, llevar a cabo backups plenos del registro y saber cómo restaurarlos en caso de problemas.

Estos son los puntos que veremos:

  1. Cómo usar el programa.
  1. Momento clave. Analizar el log.
  1. Definición de los distintos bichos que andan sueltos por Internet.

Otro tema de interés: Recopilatorio de Seguridad Informática

Como usar el programa:


Cómo descargarlo
Lo primero que tienes que hacer es descargar el Hijackthis de aquí: Descarga Hijackthis

Crea una carpeta en el escritorio que se llame por ejemplo “Mi hijackthis” y cuando lo descargues, lo sitúas en dicha carpeta. Es importante que tenga su propia carpeta para que pueda usarla para crear los backups (copias de respaldo).

Vale, ya tienes el hijackthis.exe en tu carpeta. Antes de ejecutarlo cierra todos los programas y cuando digo todos, son todos: el MSN, los navegadores como pueden ser firefox, explorer, etc. y cualquier programa de descarga tipo Ares, eMule….
El motivo de esto, es que todo el trabajo a realizar se basa en el estudio del log resultante tras el escaneo, y cuantas más cosas tengas iniciándose junto al sistema, más extenso será el log y por tanto más habrá que analizar.

NOTA: Para desactivar lo superfluo suele bastar con acudir a “Inicio > Ejecutar > msconfig” y, desde las pestañas “Servicios” e “Inicio de Windows”, desmarcar lo que no es imprescindible.
Si por cualquier razón no es posible acceder de la manera descrita anteriormente, podrás acceder a los Servicios de la siguiente manera:

Para Windows XP: Inicio –> Configuración –> Panel de control –> Herramientas administrativas –> Servicios

Para Windows Vista y Windows 7: Inicio –> Panel de control –> Sistema y seguridad –> Herramientas administrativas –> Servicios

Temas de interés:
Como eliminar los programas que desmarcamos en el MSCONFIG
Borrar programas del inicio de Windows


Pero, ¿Qué es lo superfluo y no imprescindible? …bueno, es más sencillo decir los que debes dejar activos, que serían sólo servicios básicos del sistema y algunos elementos pertenecientes a la tarjeta gráfica.

Aparte de eso, desactiva todo lo correspondiente a las aplicaciones que hayas instalado: antivirus, antispyware, cortafuegos, elementos del adobe acrobat, de sistemas multimedia – quicktime, realplayer, etc.-, utilidades de grabación, etc., porque recalco, para el objetivo que nos traemos entre manos sólo servirán para estorbar a la hora de analizar el log resultante. Sed meticulosos con estos detalles, merece la pena.

Importante: Por supuesto, en esas condiciones, es totalmente desaconsejable que te conectes a Internet; antes de ello (y siempre después de que hayas escaneado y obtenido un log de HJT libre de elementos superfluos), deberás activar nuevamente tu protección habitual de antivirus/cortafuegos.
Por tanto, no olvides anotar los cambios que lleves a cabo en “Servicios” e “Inicio de Windows” para más adelante poder volver a dejarlos como estaban.

Ahora sí, vamos a ejecutarlo.

Antes de nada debemos configurar el programa para no tener ningún susto.

Haz doble clic en el icono del HijackThis.exe. (En Vista y Windows 7 clic derecho y “Ejecutar como Administrador”).
En la ventana que se abre haz clic en la opción “Open the Misc Tools section” y desmarca la opción de debajo de todo donde dice: “Do not show this Windows when I start HijackThis”.

Luego haz clic en la pestaña “Main” para asegurarte de que el programa está bien configurado

Aparecerán 7 opciones:

Fíjate de que estén marcadas sólo las 4 opciones que ves en la siguiente imagen. (Aunque vienen marcadas por defecto es mejor comprobarlo).
Ahora que está bien configurado, regresamos a la pantalla anterior presionando el botón “Main Menú” para empezar el escaneo de posibles hijackers.

Ahora sí, vamos a realizar el análisis

Presiona la opción “Do a system scan and save a logfile”; el programa realizará el escaneo.

Cuando termine, una vez hecho su trabajo, se abrirá el Bloc de Notas.

Para analizar el log es bastante cómodo guardarlo indicándole una ubicación y además, así , lo tendremos disponible en nuestro bloc de notas.
Para guardarlo haz clic en Archivo -> Guardar como ->

Se abrirá una ventana, dale a “Guardar” y automáticamente se guardará en la carpeta que habías creado llamada “Mi hijackthis”

Cuando lo quieras copiar y pegar el contenido en el foro sólo tienes que ir a tu carpeta de Hijackthis, abrir el log y ya sabes:
Edición -> seleccionar todo
Edición -> copiar y en el foro pegar (control +V)

Pégalo como respuesta en la sección Logs Hijackthis
Allí te darán instrucciones y te indicaran que entradas deberás eliminar para la desinfección del sistema.


Como Eliminar las entradas

Selecciona las casillas de las entradas que te han indicado y presiona el botón “Fix Checked” (la señalada es sólo un ejemplo).

HijackThis te preguntará si quieres eliminar esos objetos. Presiona “Si” o “No” dependiendo de tu elección.

Si lo vas a hacer por tu cuenta sin ayuda de ningún experto, debes saber más sobre las entradas a eliminar.

Saber más sobre las entradas a eliminar.

Si deseas tener información acerca de las entradas de la lista, haz clic en alguna de ellas y presiona el botón “Info on selected ítem”.

Te aparecerá una pantalla semejante a esta:

Cuando sepas toda la información de los objetos de la lista y sientas que tu conocimiento es suficiente para continuar, selecciona los que desees remover marcando las casillas correspondientes y ya sabes, presiona el botón “Fix Checked” como hemos explicado antes.

Nota: Al final de este tema, en el apartado “Momento clave. Analizar el log.” hemos incluido algunas formas básicas de interpretar la información en esos informes (logs). Esto no significa que esta información sea suficiente para todas las decisiones pero debería ayudarte a saber qué es legítimo y que no.

Cómo restaurar objetos borrados accidentalmente:

HijackThis trae una herramienta de respaldo y un procedimiento de restauración en caso de que erróneamente hayas borrado una entrada que es legal.
Si has configurado el HijackThis como te hemos explicado podrás restaurar las entradas que has borrado anteriormente. Si has ido por libre y has ejecutado HijackThis desde una carpeta temporal, entonces la opción de restaurar no funcionará.

Desde la ventana principal del programa podrás acceder a los “Backups” pulsando en el botón “View the list of backups” .
Aunque también lo puedes ver desde las herramientas pulsando “Open the Misc Tools section” y luego seleccionado la pestaña Backups. (También tendrás un log en tu carpeta Mi hijackthis con las entradas eliminadas).

Esta es la ventana en la que verás los backups. Haz clic en “Restore” si quieres recuperar esa entrada.
Una vez que restaures un objeto mostrado en esta lista, si vuelves a escanear con el HijackThis, la entrada volverá a aparecer.

Una vez que acabes la restauración de aquellos objetos que fueron arreglados equivocadamente, puedes cerrar el programa.

Nota: Si has comprobado que el backup no es necesario, desde aquí lo puedes eliminar los mediante el botón Delete).

Cómo generar una Lista de Inicio

En la ventana de “Configuración”, en la pestaña “Misc Tools”, haz clic en el botón “Generate Startupist Log”.

Se creará una lista de todas las entradas de arranque en el registro y varios archivos de Windows. Esto no alterará de ninguna manera tu sistema.
Confirma tu decisión pulsando “Si” si quieres crear dicha lista.

El programa automáticamente abrirá el Block de Notas. Copia todo y pégalo en el mensaje del foro para que los expertos puedan verlo.

Cómo usar el Administrador de Procesos

HijackThis tiene un administrador de procesos que puede ser usado para terminar procesos y ver qué librerías se cargan en ese proceso.
Para acceder al administrador de Procesos tienes que ir a la ventana de configuración (que a estas alturas ya deberías saber cual es), y en la pestaña “Misc Tools” haz clic en el botón “Open Process Manager”.

La siguiente ventana listará todos los procesos que estén corriendo en tu ordenador. Para terminar un proceso, selecciónalo haciendo clic sobre él y entonces presiona el botón “Kill Process”.

Si quieres ver qué librerías (archivos .DLL’s) están relacionadas con ese proceso, marca la casilla de nombre “Show DLLs”.

Esto dividirá la pantalla de procesos en dos secciones. La sección de arriba mostrará la lista de procesos antes presentados, pero ahora, cuando hagas clic en un proceso en particular, la sección de abajo mostrará la lista de librerías cargadas con ese proceso.

Para salir del Administrador de Procesos: presiona el botón “Back” (el de arriba) para volver a la pantalla de Configuración o “Main menú” y volverás a la pantalla principal del programa.

Cómo usar el Administrador del Archivo Hosts

HijackThis también tiene un administrador básico del archivo Hosts. Y tan básico, como que a mí no me funciona como debería…
Teóricamente, puedes ver tu archivo Hosts y borrar líneas en el archivo o activar o desactivar esas líneas.

Para acceder al administrador del archivo Hosts, tienes que estar en la ventana de configuración, pestaña “Misc Tools”(ya sabes), y dar clic en el botón “Hosts File Manager”.

Se abrirá una ventana mostrando el contenido de tu archivo Hosts.

Para borrar una línea del archivo hosts haz clic sobre ella y luego pulsa el botón “Delete line(s)”.

Si lo que quieres es desactivarla nada mas y que Windows no tome en cuenta esta línea, haz clic sobre ella, HijackThis agregará el signo # al inicio de la línea pulsando el botón “Toogle Lines(s)”. Para volver a activarla vuelve a pulsar el mismo botón.

Si no estás seguro de lo que estás haciendo, no borres nada y sólo procura que aparezca el signo # antes de la línea. Es más seguro que borrar la línea y así lo podrás restaurar editando de nuevo el archivo.

Para salir de administrador del archivo Hosts presiona el botón “Main menu” y regresarás a la ventana principal o el botón “back” para volver a la ventana de Configuración.

Cómo usar la herramienta de Borrar al Reiniciar.

¡Ojo con esta herramienta, que como se te dé por investigar te cargas cualquier cosa y no te enteras hasta que reinicias!

Hay ocasiones en que puedes encontrar archivos rebeldes que no se dejan borrar. HijackThis tiene una opción para borrar un archivo tan pronto arranque Windows sin que tenga la oportunidad de cargarse. Para hacer esto sigue los siguientes pasos:
Una vez que estás en la ventana de Configuración “Misc Tools” haz clic en el botón “Delete a file on reboot…”

Se abrirá una ventana para pedirte que selecciones el archivo que quieras borrar al reiniciar. Navega hasta el archivo, selecciónalo y da doble clic sobre él.

Te preguntará si quieres reiniciar el equipo para borrar el archivo. Elije “Si” si deseas reiniciar ahora, o “No” para reiniciar más tarde.
En cualquier caso ya te lo has cargado y cuando vuelvas a iniciar el equipo el archivo habrá desaparecido.

 

Momento clave: Analizar el log y saber interpretar los resultados del escaneo.

Una vez tenemos el log a nuestro alcance, llega el momento clave: analizarlo.

Como se puede observar en el log, cada línea va precedida de una letra y uno o dos números que indican las distintas entradas o secciones.
Primero pondremos una lista con las distintas secciones y su descripción genérica, y a continuación una lista con las distintas secciones pero más detallada.

Lista con las distintas secciones y su descripción general

R0, R1, R2, R3: URL’s de páginas de inicio y búsqueda en el navegador Internet Explorer (IE).
F0, F1, F2, F3: Programas autoejecutables cargados a partir de ficheros *.ini (system.ini, win.ini…).
N1, N2, N3, N4: URL’s de páginas de inicio y búsqueda en Netscape y Mozilla Firefox.
O1: Redirecciones mediante modificación del fichero HOSTS.
O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones maliciosas.
O3: Barras de herramientas para IE (también llamadas Toolbars).
O4: Aplicaciones o programas ejecutables que se cargan automáticamente en el inicio de Windows, bien mediante las claves oportunas en el registro, bien por aparecer en la carpeta del grupo Inicio.
O5: Opciones o iconos de IE no visibles desde Panel de Control.
O6: Opciones de IE con acceso restringido por el administrador.
O7: Acceso restringido por el Administrador al Regedit (herramienta para acceder y modificar el Registro de Windows).
O8: Objetos extra encontrados en el menú contextual de IE.
O9: Botones extra en la barra de herramientas de IE, así como objetos extra en el apartado “Herramientas” de IE (no incluídas en la instalación por defecto).
O10: Hijacker del Winsock
O11: Grupo extra en las Opciones Avanzadas de IE (no incluidas por defecto).
O12: Plugins para IE.
O13: Hijacker del prefijo por defecto en IE.
O14: Hijacker de la configuración por defecto de IE o Hijacker del “Reset Web Settings” (Reseteo de las Configuraciones Web).
O15: Sitios indeseados en la zona de “Sitios de Confianza” de IE.
O16: Objetos ActiveX (archivos de programas descargados).
O17: Hijacker de dominio Lop.com
O18: Protocolos extras y protocolos de Hijackers.
O19: Hijacker de la hoja de estilo del usuario.
O20: Valores del Registro autoejecutables AppInit.DLLS
O21: Claves de Registro autoejecutables ShellServiceObjectDelayLoad.
O22: Claves de Registro autoejecutables SharedTaskScheduler.
O23: Servicios de Windows NT/2000/XP/Vista/7.
O24: Componentes de escritorio activos de Windows, (Wallpapers).

Nota: Es importante aclarar que HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo ciertas secciones. Para desactivar esta lista blanca, puedes ejecutar HijackThis de esta forma: HijackThis.exe /ihatewhitelists.


Lista de las distintas secciones con descripción más detallada

Veamos cada sección con algo más de detalle:


Grupo R0, R1, R2, R3: URL’s de páginas de inicio y búsqueda en el navegador Internet Explorer (IE).

Si reconoces las URL’s que aparecen al final de las entradas R0 y R1 como tu página de inicio o tu motor de búsqueda, puedes dejarlas tal cual. Si por el contrario, tienes fundadas sospechas de que son nocivas por pertenecer a algún malware, o las desconoces y quieres cambiarlas, selecciónalas y remuévelas aplicando el “fix” de HJT.

R0 es para las páginas de inicio y el asistente de búsqueda del IE.

  • Ejemplo bueno:
    R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 es para las funciones de búsqueda de IE y otras características.

  • Ejemplo bueno:
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

Si ves que aparece un valor con “(obfuscated)” al final, como puede ser el del siguiente caso, es muy posible que se deba a algún spyware empleando algún método de ocultación para dificultar el reconocimiento. En estos casos suele ser conveniente aplicar el “fix”.

  • Ejemplo malo:
    R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mbnmmc.dll/sp.html (obfuscated)

Nota: Es importante aclarar que si un R0/R1 apunta a un archivo, y arreglas la entrada en el registro con HijackThis, HijackThis no borrará ese archivo en particular y hay que borrarlo manualmente, con el programa KillBox, o bien usando la herramienta de “Borrar al reiniciar” del HJT.

R2 actualmente no se usa.

R3 es para un Buscador de URL’s.

Esta sección hace referencia a Url Search Hook, que es usado cuando en el recuadro de direcciones del navegador introducimos una dirección sin especificar su protocolo (http://, ftp://). En estas ocasiones, el navegador trata de utilizar el protocolo adecuado automáticamente pero si el intento no tiene éxito, acude a Url Search Hook para tratar de resolver los datos que le hemos introducido como URL. Esta información se encuentra en la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks

Como norma general cuando una entrada R3 aparece en el log deberíamos buscar información. Si hace referencia a un programa que nosotros hemos instalado y éste es de confianza (el multibuscador Copernic, por ejemplo), no pasa nada. Si no reconoces el software que usa en el UrlSearchHook, búscalo en Google y dependiendo de los resultados de la búsqueda, deja que HijackThis lo arregle aplicándole el “fix”.

Si el valor que nos sale en esa clave del tipo R3 termina con un guión bajo, ( _) , resaltado en color para el ejemplo, suele ser conveniente hacer uso del Regedit para reparar a mano el nombre del valor, ya que HJT no puede solucionarlo en esos casos.

  • Ejemplo Bueno:
    R3 – Default URLSearchHook is missing
  • Ejemplo Malo, marcar y dar a ‘Fix Checked’
    R3 – URLSearchHook: (no name) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ – (no file) …

Nota: Para borrar manualmente esa entrada en particular, sigue esta ruta:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

Luego borra la entrada CLSID que deseas quitar. Deja la CLSID que es válida por defecto, CFBFAE00-17A6-11D0-99CB-00C04FD64497

Nota: CLSID es el valor numérico que aparece mostrado entre llaves { }


Grupo F0, F1, F2, F3: Estas secciones abarcan los programas autoejecutables cargados a partir de ficheros *.ini (system.ini, win.ini…).

F0: en caso de que aparezcan, se recomienda aplicarles siempre el “fix”.

Su información procede de shell=statement en system.ini.
La Shell, es el programa que gestiona el entorno gráfico del sistema, el responsable de cargar el escritorio al inicio del Windows y el que permite manejarnos con ventanas. Nos referimos al explorer.exe, pero, si tras explorer.exe tenemos un “porquería.exe”, se cargará igualmente al iniciar nuestro Windows.

Todo lo que encontréis aquí tras explorer.exe se convierte en altamente sospechoso y en caso de que aparezcan, se recomienda arreglarlos aplicándoles siempre el “fix”.

  • Ejemplos malos:
    F0 – system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
    F0 – system.ini: Shell=Explorer.exe C:\WINDOWS\SYSTEM\Zp_YnhO.pif

F1: suelen deberse a programas muy antiguos y lo indicado es buscar información sobre ellos para decidir si son sospechosos o no. Si no estás usando programas viejos entonces sospecha.

Su información procede del win.ini, concretamente de Run= o Load=; el primero se empleaba con antiguos programas para que se cargaran con el arranque de Windows (hablamos de Windows 3.1/95/98) pero hoy no es habitual; el segundo se empleaba para cargar controladores de hardware.

  • Ejemplos:
    F1 – win.ini: run=c:\windows\system32\tskmng.exe
    F1 – win.ini: run=C:\WINDOWS\MsRunDll32.exe

F2 y F3 son el equivalente de los anteriores (F0 y F1), pero para las versiones XP, 2000 y NT que no suelen hacer uso de system.ini ni win.ini del modo tradicional.

Hablamos de entradas en el registro de este tipo:

  1. 1) HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
  2. 2) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

La 1ª se emplea para permitir la compatibilidad hacia atrás con aplicaciones de uso en los Windows 9x. Mediante la función IniFileMapping se coloca todo el contenido de un archivo .ini en el registro, de manera que al utilizar un programa que normalmente lee sus configuraciones de un archivo .ini, va a buscar primero la equivalencia en el registro.

La 2ª, la entrada UserInit, especifica qué programa se carga inmediatamente después de que el usuario se loguea al iniciar el sistema.
Userinit.exe se encuentra en C:\WINNT\system32 o en C:\WINDOWS\system32, según el Windows que empleemos y su función es meter el perfil de cada usuario tras el login.

En este caso el problema viene si aparece un “porquería.exe” tras userinit.(treta frecuente de ver cuando hay algún troyano). Esto hará que ambos programas se ejecuten cuando te logueas y es un lugar común para ejecutar troyanos, hijackers y spywares.
Esto se ve en la información del valor userinit picando dos veces sobre él desde regedit y estaría separado por una coma de la siguiente manera:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINNT \system32\userinit.exe, C:\WINNT \porquería.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS \system32\userinit.exe, C:\WINDOWS \porquería.exe

Nota: Aunque bajo Win NT se encuentra el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de porquería y/o troyano.

Sitios donde puedes consultar sobre estas entradas:

Bleeping Computer Startup Database
TASK LIST PROGRAMS (including Windows 7/Vista/2008/XP/2003/2000 Services)
Application Database – Greatis Software
Sysinfo.org
Startups – Contents
Welcome to the File Database!
http://www.liutilities.com/products/…rocesslibrary/


Grupo N1, N2, N3, N4: Corresponden a las URLS de páginas de inicio y motor de búsqueda de Netscape v4, v6, v7 (navegador actualmente desaparecido) y Mozilla firefox.

La entrada de mozilla últimamente no sale, probablemente porque lo han quitado del escáner, o el programa sólo viene configurado para Intenet explorer y no para el resto de navegadores. No obstante, explicaremos como salían por si un día deciden volver a configurar el HJT para que salga la de Mozilla.
Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.

C:\Archivos de Programa\Mozilla Firefox\ defaults\pref\prefs.js.

Si aparecía una entrada de este nivel y no la reconocías como tu página deseada de inicio o búsqueda, lo indicado era marcarla y aplicarle el “fix” de HJT.

N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4.
N2 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 6.
N3 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 7.
N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla.


O1: Redirecciones mediante modificación del fichero HOSTS

Mediante el archivo HOSTS es posible asociar IPs con dominios.

El archivo HOSTS por defecto lo podemos encontrar en diversas ubicaciones según el Windows empleado:

  • En los Windows 9x (Windows 95/98//Me) se localiza en C:\WINDOWS\HOSTS
  • En Windows NT se localiza en C:\WINNT \ SYSTEM32\DRIVERS\ETC\HOSTS
  • Y en Windows 2000/2003/XP/Vista/7 se localiza en C:\WINDOWS \SYSTEM32\DRIVERS\ETC\HOSTS

Si queremos evitar el acceso a determinados dominios que sabemos problemáticos, podremos hacerlo editando a mano el archivo HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable.

Ejemplo:

127.0.0.1 www.dominioindeseable.com

Al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero HOSTS y al encontrarla se evitará resolverla externamente mediante DNS. De esta manera evitamos que se pueda acceder a dicho dominio indeseable.

Sin embargo, puede ser empleado con fines maliciosos por la porquería que tratamos de combatir en este artículo, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP porquería) para direcciones de uso habitual, (por ejemplo www.google.com), cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP porquería. Este redireccionamiento suele ser frecuente de ver por parte de los hijackers.

  • Si la entrada O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el “fix” de HJT.
  • Si nos muestra O1 – Hosts file is located at C:\Windows\Help\hosts casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el “fix”, aunque es mejor intentarlo previamente con herramientas específicas contra CWS como pueden ser (en este orden) delcwssk y CWShredder.

Nota: También puedes restaurar el archivo hosts a su configuración por defecto en tu sistema descargando el programa HostsXpert. Para hacer eso, descarga el programa Hoster y ejecútalo. Una vez abierto haz clic en el botón “Restore Original Hosts” y a continuación cierra el programa.


O2: BHO (“Browser Helper Object” u “objeto de ayuda a la navegación”); pueden ser plugins para aumentar las funcionalidades de nuestro navegador Internet explorer, pero también pueden deberse a aplicaciones maliciosas.

Por ejemplo, el plugin de Adobe Acrobat que permite a los usuarios de IE leer documentos PDF dentro del explorador es un BHO. Como los BHO poseen acceso sin restricciones a Internet Explorer, algunas formas de Malware son creadas como BHO.

Una vez instalados, los BHO maliciosos son muy difíciles de eliminar porque raramente incluyen una utilidad funcional de desinstalación, e incluso podrían intentar “bloquear” al usuario para que no ingrese a las pantallas de configuración de Internet Explorer. Estos BHO agresivos impiden que se pueda disponer de las opciones de Internet Explorer necesarias para eliminar el software malicioso.

Es necesario por tanto que el usuario investigue para comprobar el grado de sospecha.

Para arreglar este tipo de entradas mira la lista alojada en CLSID List de sysinfo.org o en CLSID List de systemlookup.com.
Cuando consultes la lista, usa el CLSID, que es el número que aparece entre las llaves { }.
El CLSID, hace referencia a entradas del registro que contienen información acerca de los BHO.
Las allí señaladas en Status como “X” son catalogadas de spyware, las “L” como normales o limpias.

Cuando arregles este tipo de entradas aplicando fix con HijackThis, conviene no tener abierta ninguna ventana del navegador ya que HijackThis querrá finalizar el proceso. Hay ocasiones en que el archivo sigue en uso aún después de haber cerrado el IE. Si tras aplicar el “fix” ves que vuelve a salir en el listado será necesario reiniciar en modo a prueba de fallos (modo seguro) y borrarlo de nuevo para erradicarlo.

  • Ejemplo normal:
    O2 – BHO: (no name) – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

Si introduces ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado te lo mostrará catalogado como “L”, es decir, normal, ya que está originado por nuestro Adobe Acrobat Reader.


O3: Barras de herramientas para IE (también llamadas Toolbars).

Están situadas bajo la barra de herramientas del navegador y pueden deberse a aplicaciones normales que tengamos instaladas integrándose de esa manera en nuestro navegador, o pueden ser producto de la presencia de BHO maliciosos.

Este tipo de entradas se encuentran en la siguiente clave del registro:
HKLM\Software\Microsoft\Internet Explorer\Toolbar

  • Ejemplo normal:
    O3 – Toolbar: Web assistant – {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} – C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

Como se ve en el ejemplo, esa toolbar está originada por el Norton Internet Security de Symantec.

Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org o en CLSID List de systemlookup.com.como explicamos en las entradas 02.
El procedimiento es el mismo: copia el CLSID que es el número que aparece entre las llaves { } y que hace referencia a entradas del registro que contienen información acerca de los BHO, pégalo en el recuadro de Sysinfo y comprueba si está referenciada como “X” (spyware) o “L” (normales o limpias). En caso de ser spyware, conviene aplicar el “fix” de HJT.

Cuando arregles este tipo de entradas, Hijackthis intentará borrar las entradas seleccionadas pero no será posible borrar algunas, tendrás qué entrar en modo seguro para ejecutar HijackThis de nuevo para borrarlas del listado o si no borrarlas manualmente.


O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, bien mediante las claves oportunas en el registro, bien por aparecer en la carpeta del grupo Inicio.

Claves del registro implicadas donde se pueden alojar estas aplicaciones:

HKLM\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce

HKLM\Software\Microsoft\Windows\CurrentVersion \RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion \Run

HKLM\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion \RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion \RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion \Run

HKCU\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run

Nota: Si la clave se encuentra en HKCU, entonces eso significa que el programa sólo se inicia cuando un usuario en particular inicia sesión en el ordenador. Si la entrada se encuentra en HKLM, entonces el programa se pondrá en marcha para todos los usuarios que inician sesión en el equipo.

HKLM es la abreviatura de HKEY_LOCAL_MACHINE

HKCU es la abreviatura de HKEY_CURRENT_USER.

  • Ejemplo:
    O4 – HKCU\Software\Microsoft\Windows\CurrentVersion \Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe

Directorios usados:

Se pueden distinguir dos carpetas donde se pueden iniciar las aplicaciones: Startup  y Global Startup.

  • Startup: “User’s Startup Folder” (Carpeta de inicio del usuario). Se mostrarán como una O4 – Startup. Son programas que se cargan sólo para el perfil de un USUARIO en particular y se ejecutarán cuando ese usuario en particular inicia sesión en el equipo. En las versiones más recientes de Windows se encuentran en la siguiente ubicación:C:\Documents and Settings\nombre de usuario\Menú Inicio\Programas\Menú InicioO en Windows Vista/7 en:C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Menú InicioLo veremos reflejado en el log de HJT como:O4 – Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
  • Global Startup: “All Users Startup Folder” (Carpeta de inicio de todos los usuarios). Se mostrarán como una O4 – Global Startup. Son programas que se cargan para el perfil de todos los usuarios y se ejecutarán cuando un usuario inicia sesión en el equipo. En las versiones más recientes de Windows se encuentran en la siguiente ubicación:C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicioy en Windows Vista /7 en:C:\ProgramData\Microsoft\Windows\ Menú Inicio\Programas\InicioLo veremos reflejado en el log de HJT como:O4 – Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
  • Otros ejemplos de entradas O4:
    04 – HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 – Global Startup: Adobe Reader Speed Launch.lnk = D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 – S-1-5-18 Startup: numlock.vbs (User ‘SYSTEM’)
    O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

Si te encuentras con algo indeseable y deseas aplicarle el “fix”, no tendrás éxito mientras el proceso esté activo en memoria. En esos casos, primero debes acudir al Administrador de Tareas para cerrar dicho proceso y luego actuar con HJT.

También debes saber que cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esa entrada. Deberás borrarlos manualmente  reiniciando el ordenador y entrando en modo seguro o usando FileASSASSIN .

Las entradas Startup y Global Startup trabajan de modo diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Aunque si el ejecutable actual reside en los directorios Startup o Global Startup entonces sí será borrado.

Los siguientes enlaces te pueden servir a nivel orientativo para identificar los ejecutables.

Bleeping Computer Startup Database
TASK LIST PROGRAMS (including Windows 7/Vista/2008/XP/2003/2000 Services)
Application Database – Greatis Software
Sysinfo.org
Startups – Contents
Welcome to the File Database!
http://www.liutilities.com/products/…rocesslibrary/


O5: Opciones de IE no visibles desde Panel de Control

En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control.

Existe la posibilidad de no poder acceder (desapareciendo su icono) añadiendo una entrada dentro del archivo control.ini, que por defecto, se debería encontrar en “C:\WINNT \control.ini” o “C:\Windows\control.ini” (según la versión del software).

Modificando este archivo se podrían ocultar las opciones de IE en el Panel de Control y lo veríamos reflejado de la siguiente forma en la entrada del log de hijackthis:

  • Ejemplo:
    O5 – control.ini: inetcpl.cpl=no

Este hecho, a menos que sea una acción intencionada del Administrador del Sistema en cuyo caso lo dejaríamos tal cual, podría deberse a la acción de alguna aplicación maliciosa que trata de dificultar que cambiemos las Opciones del IE. Si se trata de esto último, es conveniente aplicarle el “fix” de HJT.


O6: Opciones de IE con acceso restringido por el administrador

Esta sección corresponde a una restricción por parte del administrador de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro, o bien porque empleamos Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (SpyBot Home Page and Option Lock) en la sección Inmunizar.

En este caso aparecerá una entrada como esta:

  • Ejemplo:
    O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Si aparece el acceso restringido y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicarle el “fix”.

Si por ejemplo, en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso, observaríamos este otro:

  • Ejemplo:
    O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


O7: Acceso restringido por el Administrador al Regedit (herramienta para acceder y modificar el Registro de Windows)

Este grupo corresponde a cuando el acceso al Regedit está bloqueado mediante un cambio en la correspondiente clave del registro, y se ve reflejado de la siguiente manera:

  • Ejemplo:
    O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Salvo que esto se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos esta entrada), es conveniente aplicarle el “fix” de HJT.

Nota: Ten en cuenta que algunas veces los administradores de determinados lugares (cyber, empresas, etc.) bloquean el Regedit a propósito para que no se pueda modificar alguna configuración puesta por ellos. Si tú arreglas esta entrada con Hijackthis y realmente no eres el administrador puedes romper normas corporativas.


O8: objetos extra encontrados en el menú contextual de IE.

El menú contextual en IE es el que se obtiene al pulsar con el botón derecho sobre la web que estás viendo.

En las entradas de esta sección veremos los objetos que aparecen en el menú contextual cuando das clic derecho y qué programa es usado cuando das clic en dicha opción.
Algunas, pueden deberse a aplicaciones normales, pero también a spyware como “Browser Pal”. Búscalas en Google antes de hacer cualquier cosa.

Las diferentes opciones en ese menú se encuentran en la siguiente cadena del registro:

HKCU\Software\Microsoft\Internet Explorer\MenuExt

Nota: HKCU es la abreviatura de HKEY_CURRENT_USER.

  • Ejemplo normal:
    O8 – Extra context menu item: E&xportar a Microsoft Excel – res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

Otro ejemplo de un programa legítimo que puedes encontrar aquí es el de la Google Toolbar.

  • Ejemplo normal:
    O8 – Extra context menu item: &Google Search – res://c:\windows\GoogleToolbar1.dll/cmsearch.html

Pero si no reconoces la aplicación responsable del objeto extra en el menú contextual y sospechas que es causado por porquería, puedes aplicarle el “fix” de HJT.

Nota: Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro, borres esos archivos y en ocasiones sus carpetas.


O9: Botones extra en la barra de herramientas de IE u objetos (ítems) extra en el apartado Herramientas de IE (no incluidos en la instalación por defecto).

Si tenéis botones extra en la barra de herramientas principal de IE o bien ítems extra en el menú Herramientas de IE (que no sean los incluidos en la instalación por defecto), y queréis deshaceros de ellos por sospechar que provengan de porquería, deberéis fijaros en esta entrada O9 del log de HJT, que obtiene los datos de la siguiente cadena del registro:


HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions

  • Ejemplos normales:
    O9 – Extra button: Messenger (HKLM)
    O9 – Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
    O9 – Extra button: AIM (HKLM)

En los normales no es necesario hacer nada, pero ante casos indeseables que quieras hacerlos desaparecer, el “fix” de HJT debería poder con ellos sin problemas.

Nota: Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro, borres esos archivos y en ocasiones sus carpetas.


O10: hijackers del Winsock

Importante: En este apartado hay que ser extremadamente cautos o podéis dañar vuestra conexión a Internet.

Este grupo, corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena.
Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.

  • Ejemplo:
    O10 – Broken Internet access because of LSP provider ‘spsublsp.dll’ missing

Muchos programas antivirus empiezan a escanear tu pc a nivel de Winsock en busca de virus, troyanos, etc. El problema, es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático, y esto, puede causar que HijackThis vea un problema y muestre una advertencia que puede ser similar al ejemplo de arriba aunque tu conexión a Internet sigue funcionando.
Por tanto, no os preocupéis si veis aquí referencias a algún módulo de vuestro antivirus. Puede ser normal en aquellos que actúan a nivel del winsock.

En lo que se refiere a estas entradas es mejor no arreglarlas con el hijackthis. Aunque se podría utilizar el Spybot S&D es mejor usar la herramienta LSPFix que es espécifica para este tipo de entradas.

Para saber si son válidas o no, puedes visitar la lista de SystemLookup’s LSP List Page.

En caso de pérdida de la conexión podemos usar la herramienta WinSockFix


O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no incluidos en la instalación por defecto).

Esta sección hace referencia a un grupo de opciones que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer y no vienen por defecto

Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas.

Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la siguiente cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

De acuerdo con Merijn, creador de HijackThis, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso la entrada mostrada sería como sigue:

  • Ejemplo malo:
    O11 – Options group: [CommonName] CommonName

Si tenéis ese caso, marcadlo y aplicar el “fix” de HJT. Si es otro distinto, en principio se convierte en sospechoso y requerirá que busquéis información por la red acerca de su procedencia.


O12: Plugins para IE

Esta sección hace referencia a los plugins para Internet Explorer.
Los plugins, son piezas de software que se cargan cuando se inicia el Internet Explorer y le agregan funcionabilidad al navegador.

Estos se encuentran en la siguiente entrada del registro:

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Generalmente la mayoría de plugins son de aplicaciones legítimas y normales pero ante la duda, conviene buscar por la red su procedencia.

  • Ejemplos normales:
    O12 – Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
    O12 – Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll

Un conocido plug-in que deberías borrar por ser ilegítimo es el OnFlow, que se detecta fácilmente por su extension .ofb

Nota: Si el archivo está en uso aunque el Internet Explorer está cerrado HijackThis no lo eliminará.
Deberás comprobar si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis y si sigue apareciendo en el log deberás reiniciar en Modo seguro para poder eliminarlo.


O13: Hijack del prefijo por defecto en IE.

El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE.

Cuando escribes algo en la barra de direcciones y no especificas el protocolo (http://, ftp://, etc.), Windows agregará http:// al principio como prefijo por defecto.

Esto se puede modificar en el registro mediante la sgte. cadena:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

De hecho, existen aplicaciones malignas que lo llevan a cabo obligando al navegante incauto a llegar hacia donde no desea. Una de ellas muy conocida es el hijacker CoolWebSearch (CWS), que sustituye el “DefaulPrefix” por “http://ehttp.cc/?”, de manera que cuando el usuario introduce “www.google.com”, automáticamente es derivado a “http://ehttp.cc/?www.google.com”, que es un sitio web perteneciente a CWS.

  • Ejemplo nocivo de CWS:
    O13 – WWW. Prefix: http://ehttp.cc/?

En estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como puede ser CWShredder (actualmente esta herramienta ya no tiene actualizaciones). Tras reiniciar, pasa el scan de HJT y comprueba si ha sido suficiente con ella, aplicando finalmente el “fix” de HJT en caso necesario.

CWS tiene muchísimos dominios y es un listado en continua expansión; sed cuidadosos ahí fuera ;-)

  • Más ejemplos malos:
    O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
    O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?


O14: Hijacker de la configuración por defecto de IE o Hijacker del “Reset Web Settings” (Reseteo de las Configuraciones Web).

Hay una opción entre las muchas del IE, que es resetear los valores presentes y volver a la configuración por defecto. Los valores de esta última, se guardan en el fichero iereset.inf, ubicado en:

C:\Windows\inf\iereset.inf

El problema puede aparecer si un hijacker modifica la información de dicho fichero porque, de esa manera, al resetear a la configuración por defecto, lo tendríamos presente de nuevo. En estos casos es conveniente aplicar el “fix”.

  • Ejemplo malo:
    O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No obstante, tened cuidado porque no todo lo que aparece en esta sección tiene que ser nocivo. A veces puede deberse a manipulaciones legítimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc. En estos casos seguramente reconoceréis la URL mostrada y no será necesario ningún procedimiento. En caso contrario aplica “fix”.


O15: Sitios indeseados en la zona de “Sitios de Confianza” de IE.

Esta sección hace referencia a los sitios indeseados en la Zona de Sitios de Confianza de Internet Explorer.

En IE la seguridad se establece por medio de zonas y cada zona tiene diferente nivel de seguridad. En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos, de manera que si estás navegando en un dominio que es parte de una zona de baja seguridad, estarás permitiendo que se ejecuten scripts de algún sitio web que pueden ser potencialmente peligrosos.

Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la siguiente cadena del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Si por ejemplo hemos añadido www.trucoswindows.net a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:

  • Ejemplo bueno:
    O15 – Trusted Zone: www.trucoswindows.net

De igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos añadido conscientemente.

Pero puede darse el caso de que alguna compañía como AOL o porquerías como CWS introduzcan sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la siguiente manera:

  • Ejemplos malos:
    O15 – Trusted Zone: http://free.aol.com
    O15 – Trusted Zone: *.coolwebsearch.com

En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, le indicaremos a HJT su “fix”.


O16: Objetos ActiveX (archivos de programas descargados)

Esta sección hace referencia a los “objetos ActiveX” también conocidos por “Downloaded Program Files” que son programas descargados de alguna web y guardados en nuestro ordenador. Estos objetos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves { } y están guardados en:

C:\windows\Downloaded Program Files

Podemos encontrar entradas normales como las siguientes:

  • Ejemplos:
    O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwa…ash/swflash.cab
    O16 – DPF: (iPix ActiveX Control) – http://www.ipix.com/download/ipixx.cab

Y otros típicos de objetos maliciosos que con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, toolbars indeseadas o palabras claves como casino, sex, adult, porn, etc.

  • Ejemplo malo:
    O16 – DPF:{12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) – http://www.xxxtoolbar.com/ist/softwares/v4…006_regular.cab

Si ves nombres o direcciones que no reconoces deberás buscar en Google para ver si son o no legítimas.
En casos de objetos maliciosos podemos emplear tranquilamente el “fix” de HJT, pero si tras volver a escanear, viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8…) para proceder con su eliminación.

Spywareblaster de JavaCool cuenta con un numeroso listado de ActiveX maliciosos en su base de datos por lo que recomendamos su utilización preventiva para proteger el PC de spyware, hijackers y malware.


O17: Hijacker de servidores DNS (dominio Lop.com)

Esta sección hace referencia a los servidores DNS.

Cuando introducimos el nombre de un sitio web en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio. Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual. Si lo llevan a cabo, podrán redireccionarnos a donde les apetezca apuntando nuestras peticiones hacia los dominios de su elección y no a la nuestra.

  • Ejemplo normal:
    O17 – HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37

Decimos que es normal porque esas IPs corresponden a servidores DNS de un conocido ISP español y en estos casos no es necesario hacer nada. (Lo más habitual es encontrar las DNS que nos proporciona nuestro ISP).

Si por el contrario, ves entradas de este tipo pero no reconoces el dominio o los servidores DNS no pertenecen a tu ISP ni a la compañía que te proporciona conexión a Internet, entonces deberás usar HijackThis para arreglar esto.

Para comprobar si son buenas o no puedes hacer un whois a la IP del servidor DNS con aplicaciones ex profeso o acudir a webs de fiar que ofrezcan ese servicio, como RIPE, ARIN, o el propio Google.

  • Ejemplos malos:
    O17 – HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
    O17 – HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 216.127.92.38


O18: Protocolos extra y protocolo de Hijackers.

Esta sección hace referencia a los protocolos extra y protocolos de Hijackers

Es difícil explicar este apartado de una manera sencilla aunque a grosso modo, diremos que nuestro SO emplea unos controladores de protocolo estándar para enviar y recibir información; algunos hijackers pueden cambiarlos por otros permitiéndoles de esta manera tomar el control sobre ese envío y recepción de información.

HijackThis primero lee la sección de protocolos del registro en busca de protocolos “no estándar” y cuando encuentra uno muestra la ruta del archivo y el CLSID para mayor información.

Esta información la encuentra en las siguientes entradas del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

  • Ejemplo bueno:
    O18 – Protocol: grooveLocalGWS – {88FED34C-F0CA-4636-A375-3CB6248B04CD} – C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll

Esta técnica, aunque no es de las más frecuentes de ver, puede ser empleada por conocidos Hijackers como: Huntbar -RelatedLinks- (la del ejemplo que vemos a continuación), CommonName -cn-, Lop.com -ayb-, o CoolWebSearch .
Si ves estos nombres reflejados en esta sección O18 de HJT, aplicadles el “fix”.

  • Ejemplo malo:
    O18 – Protocol: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

Usa Google para investigar si los archivos son legítimos o no. También puedes utilizar SystemLookup.com para ayudarte a verificar los archivos.

Nota: Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a éste. Deberías de reiniciar en Modo Seguro y borrar esos archivos manualmente.


O19: Hijacker de la hoja de estilo del usuario.

Esta sección hace referencia a los hijackers de hojas de estilo del usuario.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML.
Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca grandes cantidades de pop-ups (ventanas emergentes de publicidad), ralentizando nuestro navegador y causando una lentitud potencial.

Esta información se encuentra en la siguiente entrada del registro:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

  • Ejemplo:
    O19 – User style sheet: c:\WINDOWS\Java\my.css

Puedes arreglar estas entradas a menos que hayas sido tú el que ha modificado la hoja de estilo.

En caso de aparecer esta entrada O19 en el log de HJT coincidente con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle el “fix”.
Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear contra él las herramientas específicas como puede ser CWShredder (no olvides actualizarlo antes de aplicarlo). Tras reiniciar, pasa el scan de HJT y comprueba si ha sido suficiente con ella, aplicando finalmente el “fix” de HJT en caso necesario.

Nota: Cuando arregles este tipo de entradas HijackThis no borrará los archivos. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.


Sección O20: Valores del Registro autoejecutables AppInit.DLLS

Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando.
Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la clave del registro AppInit_DLLs también será cargada. Esto, hace que sea muy difícil remover la DLL, ya que estará cargando con múltiples procesos muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema.

Los procesos que se inician automáticamente con Windows cuando tú te logueas también usan el archivo user32.dll. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows, permitiendo a la DLL esconderse o protegerse a sí misma antes de que tú tengas acceso al sistema.

Este método lo usa variante de CoolWebSearch y sólo se puede ver en el Regedit dando clic derecho sobre el valor y seleccionando “Modificar dato binario”. Por otra parte, puedes usar Registrar Lite para ver más fácil esta DLL.

Esta información se encuentra en la siguiente entrada del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

  • Ejemplo:
    O20 – AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Actúa con cuidado cuando borres los archivos que aparecen en esta entrada O20.
Usa Google para investigar si los archivos son legítimos o no. También puedes usar las listas de Bleeping Computer Startup DatabaseSystemLookup.com para ayudarte a verificar los archivos:

Nota: Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo Seguro para borrar esos archivos o usar “KillBox”


021: Llaves de Registro autoejecutables ShellServiceObjectDelayLoad

Esta sección corresponde a los archivos que se cargan a través de la clave del registro ShellServiceObjectDelayLoad.

Esta llave contiene valores similares a los de la llave Run de las entradas F1. La diferencia es que ésta en lugar de apuntar al archivo mismo, señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.

Su información procede de la Shell. La Shell, es el programa que gestiona el entorno gráfico del sistema, el responsable de cargar el escritorio al inicio del Windows y el que permite manejarnos con ventanas. Nos referimos al explorer.exe, que carga los archivos bajo esta clave automáticamente y los carga en el proceso de inicio antes de que ocurra cualquier intervención humana.

Este tipo de entradas se encuentran en la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad

Ejemplos malos encontrados aquí http://es.wikipedia.org/wiki/Antivermins

  • Ejemplos malos:
    O21 – SSODL: hubbsi – {7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885} – C:\WINDOWS\system32\kuhmk.dll
    O21 – SSODL: buprestidae – {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} – C:\WINDOWS\system32\cthkpcv.dll
    O21 – SSODL: beeper – {951a98d0-dad6-4a77-8280-a494279a884b} – C:\WINDOWS\system32\vwfps.dll

Un hijacker que usa este método puede reconocerse también por las entradas R0 y R1 además de la que estamos describiendo.

  • Ejemplo:
    R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
    R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta clave. Si ves esta entrada en el log deberías considerarlo como sospechoso pero como siempre, haz una búsqueda en Google de cualquier DLL que aparezca en este tipo de entradas. También puedes usar las listas de Bleeping Computer Startup Database SystemLookup.com para ayudarte a verificar los archivos.

Nota: Cuando arregles estas entradas HijackThis no borrará los archivos. Es recomendable que reinicies en Modo seguro y borrarlos manualmente o si no utilizando KillBox.


022: Llaves de Registro autoejecutables SharedTaskScheduler

Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.

Este tipo de entradas se encuentran en la siguiente clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler

Estas claves del registro se ejecutan automáticamente cuando inicias Windows. (Hasta ahora sólo CWS.Smartfinder usa esta clave).

  • Ejemplo :
    O22 – SharedTaskScheduler: (no name) – – c:\windows\system32\mtwirl32.dll

Ten cuidado cuando remuevas los objetos listados en estas claves ya que algunas son legítimas.
Puedes usar Google para intentar determinar si éstas son válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar las listas de Bleeping Computer Startup Database o SystemLookup.com para ayudarte a verificar los archivos.

Nota: Cuando arregles este tipo de entradas HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo tanto, deberías reiniciar en Modo Seguro y borrarlos manualmente o utilizar KillBox para eliminarlos.


023: Servicios de Windows NT/2000/XP/Vista/7

Esta sección corresponde a los “Servicios de Windows”.

Los Servicios de Windows son aplicaciones internas o pequeños programas que se cargan en el inicio de Windows quedando residentes en memoria y trabajando en segundo plano (background). Su objetivo es el de conseguir una máxima funcionalidad del sistema y hacerlo con la mínima intervención del usuario.

La mayoría de los servicios de Microsoft se han añadido a la lista blanca para que no se enumeren. Si quieres ver a estos servicios debes desactivar esta lista blanca, para ello ejecuta HijackThis de esta forma: HijackThis.exe /ihatewhitelists.

  • Ejemplo bueno:
    O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – D:\WINDOWS\system32\nvsvc32.exe
  • Ejemplos malos:
    O23 – Service: .NET Framework Service (.NET Connection Service) – Unknown owner – C:\WINDOWS\svchost.exe
    O23 – Service: Age of Empires III: The WarChiefs – Unknown owner – C:\WINDOWS\system32\dllcache\ageofempires.exe

Ten cuidado al quitar elementos enumerados en estas claves que la mayor parte de ellos son legítimos. Para investigar las entradas O23 se puede utilizar Bleeping Computer Startup Database o SystemLookup.com.

Para saber mas sobre los servicios de Windows puedes leer este tema: Servicios de Windows XP
Información adicional: Eliminar servicios creados por Malwares con HijackThis


024: Componentes de escritorio activos de Windows, (Wallpapers).

Esta sección corresponde a los “Componentes de escritorio activos de Windows” también llamados “Wallpapers” o “Fondos de escritorio”. Estos, pueden ser imágenes que estén en tu disco duro o en algún sitio web.

Hay muchos malwares que utilizan este método de infección apoderándose de la imagen mostrada en el escritorio de Windows.
Los más comunes que utilizan este método son los de la familia PSGuard y sus variantes de “Falsos Antispywares”, que usan los componentes de escritorio activos de Windows para exhibir falsas advertencias de seguridad en nuestro fondo de escritorio.

La clave de registro asociada con componentes activos de escritorio es:

HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Desktop \ Components

Cada componente específico se enumera a continuación como una subclave de la clave numérica arriba indicada empezando con el número 0. Por ejemplo:

HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Desktop \ Components \ 0 \
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Desktop \ Components \ 1 \
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Desktop \ Components \ 2 \

Ejemplos de entradas de componente de escritorio utilizados por variantes de SmitFraud son:

  • Ejemplo:
    O24 – Desktop Component 0: (Seguridad) -% windir% \ index.html
    O24 – Desktop Component 1: (no name) -% windir% \ warnhp.html

Como es posible que alguien deliberadamente ha configurado un componente Active Desktop, si usted ve uno que no es familiar, se aconseja que pregunte al usuario si deliberadamente agregó.

Al fijar estas entradas, HijackThis sólo eliminará el componente de escritorio en el registro. El archivo HTML real que se hace referencia, sin embargo, no se eliminará. Por lo tanto, si el componente es el malware relacionado debe eliminar manualmente este archivo.


Definición de los distintos bichos que andan sueltos por Internet

A continuación vamos a dar una definición de los distintos bichos que andan sueltos por Internet adelante y que, en un momento dado, pueden entrar en tu ordenador.

Spyware: son programas que, sin conocimiento por parte del usuario, corren en segundo plano recolectando información sobre éste y sus hábitos de navegación. Esta información puede abarcar desde el navegador que utilizamos, páginas visitadas, duración de nuestra estancia en ellas, nuestra IP… inclusive el SO y la CPU que utilizamos. Dicha información es enviada a los responsables del programa y con ello no solamente atentan contra nuestra privacidad, también hacen uso del ancho de banda de nuestra conexión para llevar a cabo su propósito. En resumen: no existe conocimiento ni consentimiento por parte del usuario.

Adware: (ADvertising-Supported softWARE): muy similar a lo anterior. La diferencia estriba en que suele venir incluido en programas shareware y por tanto, al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello (aunque en la práctica no sea así, ya que pocas personas prestan atención a los contratos o licencias de uso mostradas durante la instalación). Un ejemplo de esto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudogratuita.

Hijackers: se encargan de modificar las opciones de configuración del navegador (tradicionalmente, Internet Explorer de MS) para apuntar hacia otros sitios, cambiar nuestra página de inicio, la página de error, etc. Habitualmente capturan nuestras peticiones de navegación, de manera que ralentizan el comportamiento del navegador, aparte de obligar a éste a obedecer a sus propósitos. Para comprender mejor el término es bastante descriptivo mencionar que, en otros ámbitos, esta palabra es empleada para definir a personas que empleando la fuerza, secuestran/roban un vehículo (típicamente un avión) para obligar a cambiar su ruta y lugar de destino. Vendría a ser lo mismo, aplicado a los navegadores. Suelen valerse de ActiveX maliciosos o de agujeros de seguridad del navegador, por ello es conveniente protegernos de ellos con la protección preventiva de Spybot S&D y Spywareblaster.

BHO (Browser Helper Object)
: se podría dar una definición técnica al estilo de es un objeto COM dentro de una DLL que se carga automáticamente con el IE… si buscáis algo así, mejor os remito a la amplia exposición de un artículo de MS. Para el objetivo de este artículo, es mucho más asequible decir que es un pequeño programa que se ejecuta automáticamente cada vez que abrimos el navegador de Internet. Suele instalarse a la vez que instalamos otros programas (como se mencionaba en el caso del adware, por ejemplo) o también mediante ActiveX y sus funciones pueden ser muy diversas, desde capturar eventos, lanzar pop ups, ventanas de mensajes, cambiar nuestra página de inicio, páginas de búsqueda, banners adware, crear toolbars, monitorizar y reportar nuestros hábitos, etc. En ocasiones pueden provocar errores en nuestro sistema, conflictos con otras aplicaciones, disminuir el rendimiento del navegador… poco agradable, ¿verdad?

Hay que reseñar que este tipo de aplicaciones no son frenadas por los cortafuegos ya que, por sus características, son vistas como si fueran el propio navegador (ver símil con dll/code injection en nuestra guía del SSM, programa cada vez más recomendable).

Toolbars: grupo de botones situados generalmente bajo la barra de herramientas del navegador. Pueden deberse a aplicaciones normales (limpias) que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.

Hay muchos más, pero esta muestra sirve de ejemplo para ver cómo esta fauna cada vez posee más elementos específicos, adquiriendo protagonismo propio por encima de denominaciones genéricas como spyware/adware. De la misma manera, hay que decir que no es infrecuente que se presenten simultáneamente en un mismo spyware, cada vez más complejos y con más ramificaciones por nuestros sistemas.
Si quieres saber más información sobre otros malwares que circulan por ahí puedes mirar este tema: Tipos de Malwares ordenados alfabéticamente