Trend Micro HijackThis es una utilidad libre que permite generar reportes en profundidad del registro y archivos de configuración de la computadora.
HijackThis tiene la capacidad de eliminar spywares o hijackers, viene con varias herramientas útiles para la eliminación manual de malware de un equipo.
Esta utilidad escanea el registro y archivos de configuración del equipo en busca de "firmas" de malwares y genera un reporte con opciones para su limpieza. No reemplaza en ningún caso al antivirus ni al firewall o IDS (Sistema de Detección de Intrusos), tan solo nos facilita la detección y limpieza del sistema de los rastros que estos dejan.
Se puede descargar desde http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
Hace poco Trend Micro ha publicado bajo licencia libre GPLv2 el codigo fuente de HJT.
Merijn Bellekom, ha explicado que la liberación posibilitará que “otros desarrolladores pueden crear o mejorar sobre una base sólida sus propias herramientas anti-malware”.
El código y los binarios en http://sourceforge.net/projects/hjt/
INTERPRETANDO LOS RESULTADOS DE HJT:
Nombres de secciones y descripción
R0, R1, R2, R3 URL's de páginas de inicio y búsqueda del Internet Explorer
F0, F1, F2, F3 Programas autoejecutables
N1, N2, N3, N4 URL's de páginas de inicio y búsqueda de Netscape y Mozilla
O1 Archivo redireccionador de hosts
O2 BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador)
O3 Barras de Herramientas del Internet Explorer
O4 Programa autoejecutables desde el registro
O5 Iconos no visibles de IE en el Panel de Control
O6 Opciones del IE con acceso restringido por el administrador
O7 Acceso restringido al Regedit por el administrador
O8 Objetos extras del IE
O9 Botones extras en el botón principal de la barra de herramientas del IE o objetos extra en el menú "Herramientas"
O10 Hijacker del Winsock
O11 Grupo extra en la ventana de Opciones Avanzadas del IE
O12 Plug-ins para el IE
O13 Hijacker del prefijo por defecto de IE
O14 Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web)
O15 Sitio no deseado en la Zona de Sitios de Confianza
O16 Objetos ActiveX (Archivos de Programa Descargados)
O17 Hijacker Lop.com
O18 Protocolos extras y protocolo de Hijackers
O19 Hijacker de Hojas de Estilo
O20 Valores de Registro autoejecutables AppInit_DLLs
O21 Llaves de Registro autoejecutables ShellServiceObjectDelayLoad
O22 Llaves de Registro autoejecutables SharedTaskScheduler
Secciones R0, R1, R2, R3
Esta sección abarca la página de inicio y búsqueda del Internet Explorer.
R0 es para las páginas de inicio y el asistente de búsqueda del IE.
R1 es para las funciones de búsqueda de IE y otras características.
R2 no es usado actualmente.
R3 es para un Buscador de URL's.
Mostrará algo parecido a esto:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Si reconoces la URL como tu página de inicio o tu motor de búsqueda, entonces todo está bien. Si no la reconoces, revísala y usa HijackThis para arreglarlo. Para los objetos de R3, siempre arréglalos a menos que se mencione un programa que reconozcas, como Copernic.
Una pregunta común es que qué significa cuando la palabra Obfuscated (Ofuscado) sigue a una de esas entradas. Cuando algo está ofuscado significa que es algo difícil de percibir o entender. En términos de spyware esto sginifica que el spyware o hijacker está escondiendo una entrada hecha por él convirtiendo los valores en otra forma que él entienda fácilmente, pero las personas tengas problemas reconociendolas, como agregando entradas en el registro en hexadecimal. Ésto es solo otro método de esconder su prescencia y de hacer difícil el removerlos.
Si no reconoces la página web que señala tanto el punto R0 como el R1, y deseas cambiarla, entonces puedes usar HijackThis para removerlos de forma segura, no serán perjudiciales para el IE. Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro con HijackThis, HijackThis no borrará ese archivo en particular y usted tendrá que borrarlo manualmente.
Hay cierto tipo de entradas R3 que terminan con un guión bajo, como por ejemplo:
R3 - URLSearchHook: (no name) - _ - (no file)
Note el CLSID, los números entre las llaves, tienen un guión bajo al final y ello a veces dificulta removerlos con el HijackThis. Para arreglar esto necesita borrar manualmente esa entrada en particular, siguiendo esta ruta:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es válido por defecto.
Si no reconoce el software que usa en el UrlSearchHook, búsquelo en Google y dependiendo de los resultados de la búsqueda, permita que HijackThis lo arregle.
Algunas llaves de registro:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Secciones F0, F1, F2, F3
Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini o sus equivalentes en el registro.
F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado por Windows 9X y anteriores designan qué programa actuará como shell para el sistema operativo. La Shell es el programa que carga el escritorio, controla la administración de ventanas y permite que el usuario interactúe con el sistema. Cualquier programa listado después del shell statement será cargado cuando Windows arranque, y actuará como la shell por defecto. Hay algunos programas que actúan como un reemplazo válido para la shell, pero generalmente no se usa más. Windows 95 y 98 (¿Windows ME?), ambos usan el Explorer.exe como su shell por defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma línea Shell =, como por ejemplo: Shell=explorer.exe programa_maligno.exe. Esta línea hará que ambos programas arranquen cuando Windows cargue.
Los objetos de F0 siempre son malos, así que conviene arreglarlos.
F0 - system.ini: Shell=Explorer.exe Abreme.exe
F1 - win.ini: run=hpfsched
F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado después de run= o load= cargará cuando Windows cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas modernos no usan esta característica ini, y si no estás usando un programa antiguo entonces sospecha. El load= era usado para cargar los drivers del hardware.
Los objetos listado en F1 usualmente son programas muy viejos, pero que son seguros, así que puedes encontrar más información del nombre del archivo para saber si es malo o bueno.
Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que están ubicadas en el registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan una función llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini en el registro, con llaves para cada línea encontradas en el .ini. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisará la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leerá las configuraciones desde ahí. Puedes ver que esta llave está refiriendose al registro como si conteniera REG y entonces el archivo .ini al cual se está refiriendo el IniFileMapping.
Otra entrada común encontrada en F2 es la entrada UserInit la cuál corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit la cuál se encuentra en Windows NT, 2000, XP y 2003. Esta llave especifíca qué programa se debe cargar después que un usuario se loguee en Windows. El programa por defecto para esta llave es: C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes, colores, etc. para tu nombre de usuario. Es posible añadir programas furtivos que inicien desde esta llave separando los programas con una coma. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\userinit.exe,C:\Windows\programa_maligno.exe. Esto hará que ambos programas se ejecuten cuando te loguees y es un lugar común para ejecutar troyanos, hijackers y spywares.
Llaves del Registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,
Archivos Usados:
c:\windows\system.ini
c:\windows\win.ini
Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe Something.exe
Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe
En F0 si ves una línea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces definitivamente deberías borrarlo. Generalmente puedes borrar estas entradas, pero recuerda consultar Google.
Para las entradas F1 es recomendable que las busques en Google y así determinar si pertenecen a programas legales.
Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue estando bien, también puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces podría ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves explorer.exe, sólo, entonces está bien, si no, como en el ejemplo de arriba, entonces podría ser troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google primero.
Sitios para consultar:
Bleeping Computer Startup Database
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
Secciones N1, N2, N3, N4
Estas secciones son para las páginas de inicio y motor de búsqueda por defecto de los navegadores Netscape y Mozilla.
Estas entradas están guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 están guardadas en el archivo prefs.js en el directorio de programa el cuál por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs.js.
N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4.
N2 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 6.
N3 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 7.
N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla.
Archivos usados: prefs.js
Como la mayoría de los spywares y hijackers están hechos para IE, estos navegadores usualmente están a salvo. Si ves sitios web listados ahí que tu no hayas establecido, puedes usar el HijackThis para arreglarlo. Existe un conocido sitio que hace cambios a esas configuraciones, y ese sitio es Lop.com, el cuál es discutido aquí:
http://www.doxdesk.com/parasite/lop.html
Sección O1
Esta sección corresponde al archivo de redirección Hosts.
El archivo hosts contiene la relación de IP's con hostnames. Por ejemplo:
127.0.0.1 www.arwinianos.net
Si tratas de ir a www.arwinianos.net, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1 a pesar de la dirección correcta.
Algunos hijackers usan el archivo de redirección hosts para redirigirte a ciertos sitios en lugar de otros. Así, si alguien inserta una entrada como esta:
127.0.0.1 www.google.com
y tratas de ir a www.google.com, serás redirigido a 127.0.0.1 la cuál es tu propia computadora.
Ejemplo del escaneo:
O1 - Hosts: 192.168.1.1 www.google.com
Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y está guardado por defecto en los siguientes lugares dependiendo del Sistema operativo, a menos que elijas instalarlo en un ruta diferente.
Operating System Location
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
La localización del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath
Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.
Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo, entonces usa HijackThis para arreglar esto que lo más probable es que haya sido causado por un infección.
También puedes descargar el programa Hoster, el cuál te permite restaurar el archivo hosts por defecto en tu máquina. Para hace eso, descarga el programa Hoster y ejecútalo. Cuando abra, has click en el botón "Restore Original Hosts" y luego cierra el programa Hoster.
Sección O2
Esta sección corresponde con los Browser Helper Objects (o BHO, en español algo así como: "Objetos que Ayudan al Navegador"). Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por spywares así como programas legítimos como Google Toolbar y Adobe Acrobat Reader. Investige cuando esté decidiendo qué quitar y qué no quitar, pues algunos de ellos podrían ser legítimos.
Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll
Existe una excelente lista de conocidos BHO aquí: http://sysinfo.org/bholist.php. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá finalizar el proceso del archivo listado. Hay ocasiones en que el archivo sigue en uso aún después de haber cerrado el IE. Si el archivo aún existe después de arreglarlo con HijackThis, es recomendable que reinicies el sistema en modo seguro y borrar el archivo.
Sección O3
Esta sección corresponde a las barras de herramientas del Internet Explorer.
Estas son las barras de herramientas (toolbars) debajo de su barra de navegación y menú del IE.
Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar
Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll
Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org para buscar la entrada o el nombre de esta barra de herramientas. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO. Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo.
Cuando arregles este tipo de entradas, HijackThis no borrará los objetos presentados en la lista. Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo listado.
Sección O4
Esta sección corresponde a las aplicaciones que están presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automáticamente cuando Windows inicia. Las llaves del registro mostradas aquí son válidas para Windows XP, NT y 2000 (otros sistemas operativos ¿?).
Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves del registro.
Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular.
Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario.
Llaves del Registro del Arranque:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER.
Una completa guía de ubicaciones de arranque y para qué son usadas puede verla aquí: http://www.bleepingcomputer.com/tutorials/windows-program-automatic-startup-locations/
Directorios usados:
Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo a prueba de fallos. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.
Muchos programas legítimos arrancan de esas formas, una entrada quizá parezca que les pertenece pero sigue siendo de algún programa malicioso. Consulta los siguientes enlaces para las entradas O4:
Bleeping Computer Startup Database
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
Sección O5
Esta sección corresponde a no poder acceder a las opciones de IE en el Panel de Control.
Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.ini la cuál está guardada (al menos para Windows XP) en C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles.
Archivos de usuario: control.ini
Ejemplo de la lista O5 - control.ini: inetcpl.cpl=no
Si ves una línea parecida como la de arriba quizá sea señal de que un software está tratando de dificultar el cambio de las configuraciones. A menos que se conozca una razón específica, como que el administrador configuró la política o SpyBot S&D colocó una restricción, puedes usar HijackThis para arreglarlo.
Sección O6
Esta sección corresponde a una rstricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro.
Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Estas opciones sólo aparecen si su administrador las configuró a propósito o si usted usó la opción "SpyBot Home Page and Option Lock" de la sección Inmunizar del SpyBot.
Sección O7
Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.
Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ejemplo de Lista O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:
DisableRegedit=1
Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propósito, por lo que arreglarlo con HijackThis puede romper normas corporativas. Si eres el administrador y esta opción ha sido activada sin tu permiso, entonces usa HijackThis para arreglarlo.
Sección O8
Esta sección corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.
Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.
Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo de Lista O8 - Extra context menu item: &Google Search -
res://c:\windows\GoogleToolbar1.dll/cmsearch.html
El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).
Sección O9
Esta sección corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto.
Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones
Ejemplo de la Lista O9 - Extra Button: AIM (HKLM)
Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).
Sección O10
Esta sección corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.
Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet.
Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing
Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.
SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).
Sección O11
Esta sección corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.
Si buscas en el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.
LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Ejemplo de la Lista O11 - Options group: [CommonName] CommonName
De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco.
Sección O12
Esta sección corresponde a los Plug-ins para Internet Explorer. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos disponibles como por ejemplo el visor de archivos PDF.
Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Muchos de los plug-ins son legítimos, así que deberías buscar en Google aquél que no reconoces antes de borrarlo. Un conocido plug-in que deberías borrar es el Onflow plug-in que tiene la
extensión de .OFB.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis, es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.
Sección O13
Esta sección corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irás a http://ehttp.cc/?www.google.com.mx, el cuál es en realidad el sitio web para CoolWebSearch.
Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?
Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.
Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.
Sección O14
Esta sección corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venían por defecto. Ese fichero está guardado en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas. Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del fichero iereset.inf.
Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Por favor esté al tanto de este fichero (en dado caso de que aparezca en el log), que es posible que el cambio sea legítimo, que lo haya modificado la manufacturera de computadoras o el administrador de la máquina. Si no reconoces la dirección entonces deberías arreglarlo.
Sección O15
Esta sección corresponde con los sitios indeseados en la Zona de Sitios de Confianza. La seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden correr mientras se está usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten scripts, algunos potencialmente peligrosos, de algún sitio web.
Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net
Entonces, si alguna vez ves algo aquí generalmente debes removerlo a menos que reconozcas la URL como una que tu compañía use. La entrada más común que encontrarás aquí será free.aol.com, el cuál puedes arreglar cuando quieras.
Sección O16
Esta sección corresponde a los objetos ActiveX, también conocidos como Downloaded Program Files (Archivos de Programa Descargados).
Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. Estos objetos están guardados en C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.
Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab
Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de compañías que usan objetos ActiveX así que ten cuidado. Siempre borra las entradas O16 que tengan palabras como sex, porn, dialer, free, casino, adult, etc.
Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar a través de su base de datos para localizar objetos ActiveX peligrosos.
Usa SpywareBlaster para proteger tu computadora de spyware, hijackers y malware.
Cuando arregles entradas O16, HijackThis intentará borrarlas del disco duro. Normalmente esto no será problema, pero hay ocasiones en que HijackThis no será capaz de borrar el archivo. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces bórralo.
Sección O17
Esta sección corresponde al dominio Lop.com.
Cuando tu vas a un sitio web usando un dominio, como www.arwinianos.net, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para que apunten a sus propios servidores, donde pueden dirigirte a cualquier sitio que ellos quieran. Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te redirijan al sitio de su elección.
Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qué compañía le pertecen.
Sección O18
Esta sección corresponde a los protocolos extra y protocolos de hijackers.
Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.
Llaves del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.
Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis.
Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.
Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a éste. Deberías de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente.
Sección O19
Esta sección corresponde al hijacker de las hojas de estilo del usuario.
Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial.
Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css
Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo.
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.
Sección O20
Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.
El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.
Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aquí. Usa Google para investigar si los archivos son legítimos. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O20 List
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.
Sección O21
Esta sección corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad.
Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.
Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.
Un hijacker que usa el método puede reconocerse por las siguientes entradas:
Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll
HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estándar y deberías considerarlo como sospechoso. Como siempre has una búsqueda en Google de cualquier DLL listada en estas llaves. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O21 List
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.
Sección O22
Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.
Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll
Ten cuidado cuando remuevas los objetos listados en estas llaves ya que algunas son legítimas. Puedes usar Google para intentar determinar si éstas son válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O22 List
HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo tanto, debería reiniciar en Modo a Prueba de Fallos y borrar manualmente este archivo.
Fuente: http://www.bleepingcomputer.com/tutorials/como-usar-hijackthis/
