Resultados 1 al 4 de 4

Tema: ¿Que es el hijackthis y como funciona?

  1. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499

    ¿Que es el hijackthis y como funciona?

    A los que os interesasteis en aprender un poco más del hijackthis os dejo un domumento sacado de aquí donde podreis observar paso a paso cada tipo de entrada y su uso. Manual muy completo con muchos ejemplos. Espero que os guste, eso sí, con paciencia para leerlo os servira de mucha ayuda.


    Que es el HijackThis

    Es una pequeña herramienta (Para usuarios avanzados) que nos permite
    detectar y eventualmente, eliminar las modificaciones hechas por
    Browsers hijackers tales como: “Toolbars, Paginas de Inicio, Paginas de
    búsqueda, etc”. Ay que aclarar que no todo los que nos muestra en su
    log es spyware y hay que tener mucho cuidado con lo que borramos de
    nuestro registro.

    Iniciando el HijackThis

    Una vez que lo bajemos desde el sector de “Anti-Hijackers” Le damos doble click y se nos presentara la pantalla principal, ahí empezamos presionando el botón de “Do a system scan and save a logfile “ obteniendo automáticamente la opción de guardar el log para pegarlo en nuestro “Foro HijackThis” y obtener ayuda.

    Analizando los resultados del log

    Cada línea o ítem comienza con una letra o un numero, con las siguientes referencias:

    R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer.

    F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini…).

    N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

    O1: Redirecciones mediante modificación del fichero HOSTS.

    O2:
    BHO (Browser Helper Object); Son plugins para aumentar las
    funcionalidades del Internet Explorer, pero también pueden ser spywares
    secuestradores..

    O3: Toolbars para IE.

    O4:
    Aplicaciones que se cargan automáticamente en el inicio de Windows,
    desde el llaves en el registro o por estar en la carpeta de Inicio.

    O5: Opciones de IE no visibles desde Panel de Control.

    O6: Acceso restringido -por el Administrador- a las Opciones de IE.

    O7: Acceso restringido -por el Administrador- al Regedit.

    O8: Items extra encontrados en el menú contextual de IE.

    O9:
    Botones extra en la barra de herramientas de IE, así como ítems extra
    en el apartado Herramientas de IE (no incluidas en la instalación por
    defecto).

    O10: Winsock hijackers.

    O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).

    O12: Plugins para IE.

    O13: Hijack del prefijo por defecto en IE.

    O14: Hijack de la configuración por defecto de IE.

    O15: Sitios indeseados en la zona segura de IE.

    O16: Objetos ActiveX

    O17: Hijack de dominio / Lop.com

    O18: Protocolos extra / Hijack de protocolos

    O19: Hijack de la hoja de estilo del usuario.

    O20: Valores de Registro auto ejecutables AppInit_DLLs

    O21: Llaves de Registro auto ejecutables ShellServiceObjectDelayLoad

    O22: Llaves de Registro auto ejecutables SharedTaskScheduler

    O23: Servicios

    Grupo R0, R1, R2, R3:

    URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).

    Si las URLs que comienzan con R0 o R1 (R2 ya no es utilizado) fueron
    puestas por nosotros mismos no hay problema, y la dejamos como están,
    pero si no las reconocemos o tienen nombres muy extensos y sospechosos
    por lo gral terminan con la sigla “(obfuscated)” la seleccionamos y
    aplicamos ‘Fix Checked’

    Ejemplo Valido:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

    Ejemplo de Spyware, marcar y ‘Fix Checked’:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

    R3 es la referencia usada por Search Hook. Si introducimos
    manualmente una URL como pagina de inicio sin especificar un protocolo
    (http://, ftp://) el navegador tratara de encontrar uno automático y en
    caso de que no lo logre, acudirá a Url Search Hook.

    Ejemplo Valido:

    R3 - Default URLSearchHook is missing

    Ejemplo Spyware, marcar y ‘Fix Checked’

    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    Grupo F0, F1, F2, F3

    Programas cargados a partir de ficheros *.ini (win.ini, system.ini, etc..).

    F0: Según la gente de Merijn.org (creadores del HijackThis)
    cualquier código que comience con F0 hay que marcarla y ‘Fix Checked’

    F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual su
    información viene del win.ini en “Run= o Load=”. Es conveniente buscar
    información del programa especifico antes de marcar y ‘Fix Checked’”

    F2 y F3 Son equivalente a los anteriores pero en Windows de núcleo
    NT (Win NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del
    modo tradicional.

    Por ejemplo:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\morralla.exe

    Esto se ve en la información del valor userinit,
    picando dos veces sobre él desde Regedit; estaría de la siguiente
    manera, separado simplemente por una coma (resaltada en ):

    Userinit = [**]\system32\userinit.exe [**]\morralla.exe

    Si bajo Win NT encuentran el valor por defecto:
    userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro
    ejecutable es altamente probable que se trate de spyware y/o troyano.

    Grupo N1, N2, N3, N4

    URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

    N1, N2, N3, N4 corresponden respectivamente a las
    páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos
    datos se encuentran en el fichero prefs.js, habitualmente localizado en
    el directorio del navegador.

    Al igual que en R0 o R1 si las reconocemos las paginas no hay problema, si no marcar y ‘Fix Checked’

    O1: Redireccionamientos por modificación del fichero HOSTS

    El fichero HOSTS lo podemos encontrar en diversas ubicaciones
    según el Windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me
    y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.

    Mediante el fichero HOSTS es posible asociar IPs con dominios. En
    condiciones normales, puede ser empleado si queremos evitar el acceso a
    determinados dominios que sabemos problemáticos, simplemente editando a
    mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1
    con el dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com
    …al hacerlo, si introducimos esa dirección en el navegador, nuestro
    equipo primero la buscará en el fichero HOSTS y al encontrarla, se
    evitará resolverla externamente mediante DNS. De esta manera evitamos
    que se pueda acceder a dicho dominio indeseable.

    Sin embargo, puede ser empleado con fines maliciosos
    por los spywares que tratamos de combatir en este artículo,
    sencillamente dándole la vuelta a la tortilla: si en lugar de localhost
    se emplea una IP determinada (llamémosla IP spyware) para direcciones
    de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos
    la dirección de google en nuestra barra de direcciones, seremos
    llevados a la página de la IP spyware. Esto redireccionamiento suele
    ser frecuente de ver por parte de los hijackers.

    Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el ‘Fix Checked’.

    Si nos muestra O1 - Hosts file is located at C:\Windows\Help\hosts
    …casi con toda probabilidad estamos delante de una infección por
    CoolWebSearch (CWS), en cuyo caso conviene aplicarle el ‘Fix Checked’,
    aunque mejor si previamente lo intentamos con herramientas específicas
    contra CWS como pueden ser CWShredder.

    O2: BHO (Browser Helper Object)

    Pueden ser plugins para aumentar las funcionalidades de
    nuestro navegador, perfectamente normales, pero también pueden deberse
    a aplicaciones spywares.

    Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha.

    En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}).

    Las señaladas en Status como “X” son catalogadas de spyware, las “L” como normales o limpias.

    Ejemplo normal:

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
    C:\Archivos de programa\Adobe\Acrobat
    5.0\Reader\ActiveX\AcroIEHelper.ocx

    …si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el
    buscador del listado, lo mostrará catalogado como “L”, es decir,
    normal, ya que está originado por Adobe Acrobat Reader.

    Si por el contrario el resultado de vuestra búsqueda os lo mostrara
    como “X”, es que se trata de spyware y conviene aplicarle el ‘Fix
    Checked’. Es preciso que en ese momento no este abierta ninguna ventana
    del navegador e incluso así, a veces hay casos rebeldes. Si después de
    aplicar el ‘Fix Checked’ vuelve a salir en el listado, será necesario
    reiniciar en modo a prueba de fallos para erradicarlo.

    Ejemplo Spyware: (aplicar ‘Fix Checked’)

    O2 - BHO: (no name) - {FECA4302-94B5-11D9-8E0D-000E86ADF28B} - C:\WINDOWS\SYSTEM\MLM.DLL

    O3: Toolbars para IE

    Recordamos la definición de Toolbar: suelen ser un grupo de
    botones situados generalmente bajo la barra de herramientas del
    navegador, que pueden deberse a aplicaciones normales que tengamos
    instaladas, al integrarse de esa manera en nuestro navegador, aunque en
    ocasiones pueden ser producto de la presencia de BHO maliciosos.

    Su ubicación en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar

    Ejemplo normal:

    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
    C:\Archivos de programa\Archivos comunes\Symantec
    Shared\AdBlocking\NISShExt.dll

    Como se ve en el ejemplo, esa toolbar está originada
    por el Norton Internet Security de Symantec. Sin embargo, en caso de no
    reconocer el nombre mostrado, se puede acudir al mismo listado
    reseñado para los ítems O2 para tratar de salir de dudas respecto a su
    identidad. El procedimiento es el mismo: buscar en función del CLSID y
    comprobar si está referenciado como “X” (spyware) o “L” (limpio). En
    caso de ser spyware, conviene marcar el ítem y aplicar el ‘Fix Checked’.

    O4: Aplicaciones de carga automática en inicio de Windows por Registro

    La carga automática de estas aplicaciones viene dada por
    ciertas claves en el registro o por aparecer en directorios del grupo
    Inicio.



    Claves del registro implicadas:







    HKLM\Software\Microsoft\Windows\CurrentVersion



    \RunServicesOnce

    \RunServices

    \Run

    \RunOnce

    \RunOnceEx

    \Policies\Explorer\Run






    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


    Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe

    Los directorios del grupo Inicio pueden tener estas ubicaciones:

    C:\Documents and Settings\All Users\Menú
    Inicio\Programas\Inicio …reflejado en el log de HijackThis como Global
    Startup; son programas que se cargan para el perfil de todos los
    usuarios.

    Ejemplo: O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

    R:\Documents and Settings\USUARIO\Menú
    Inicio\Programas\Inicio …reflejado en el log de HJT como Startup:
    programas que se cargan sólo para el perfil de ese USUARIO.

    Ejemplo: O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

    Si se encuentra un ítem indeseable y se le aplica el
    ‘Fix Checked’, no será exitoso mientras el proceso esté activo en
    memoria. En esos casos, primero hay que abrir el Administrador de
    Tareas para cerrar dicho proceso y poder luego actuar con HijackThis

    Ejemplo Spyware: (aplicar ‘Fix Checked’)

    O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

    O5: Opciones de IE no visibles desde Panel de Control

    En condiciones normales, las Opciones de Internet de IE son
    accesibles desde Panel de Control. Existe la posibilidad de no
    permitirlo (desaparecer su icono), añadiendo una entrada en el fichero
    control .ini ubicado en [**] (C:\WINNT o C:\WINDOWS, según versión del
    SO), lo que se reflejaría en el sgte. ítem del log de HJT:

    O5 - control.ini: inetcpl.cpl=no

    Pero este hecho, a menos que sea una acción
    intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos
    tal cual), podría deberse a la acción de alguna aplicación spyware que
    de esta manera trate de dificultar que cambiemos las Opciones del IE.
    Si se trata de esto último, es conveniente aplicar ‘Fix Checked’.

    O6: Acceso restringido -por el Administrador- a las Opciones de IE

    Si el acceso está restringido por el Administrador o bien
    porque empleamos Spybot S&D y aplicamos su protección-bloqueo de
    las Opciones del IE (en Herramientas > Modificaciones de IE:
    Bloquear la configuración de la Pág. de Inicio…), aparecerá un ítem
    como el sgte.:

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

    Si por ejemplo en ese mismo apartado de Spybot S&D
    no hemos marcado el casillero Bloquear el acceso… , observaríamos este
    otro:

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    Si el acceso restringido (primer ítem de ejemplo)
    aparece y no se debe a medidas intencionadas por parte del
    Administrador y/o la acción preventiva de Spybot, suele ser conveniente
    aplicar ‘Fix Checked’.

    O7: Acceso restringido -por el Administrador- a Regedit

    Cuando el acceso a Regedit está bloqueado mediante la
    correspondiente clave del registro (no es infrecuente en políticas de
    seguridad corporativas), se refleja en un ítem como el sgte.:

    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

    Salvo que lo anterior se deba a medidas tomadas
    intencionadamente por el Administrador (en cuyo caso ignoraríamos el
    ítem), es conveniente aplicar ‘Fix Checked’.

    O8: Items extra en el menú contextual de IE

    El menú contextual en IE es el que se obtiene al pulsar el
    botón derecho sobre la web que estáis viendo. Nos muestra diferentes
    ítems o líneas de selección y pueden deberse a aplicaciones normales,
    pero también a spyware. Las diferentes opciones en ese menú se albergan
    en la sgte. cadena del registro:

    HKCU\Software\Microsoft\Internet Explorer\MenuExt

    Ejemplo normal: O8 - Extra context menu item: Exportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    Pero si no reconocemos la aplicación responsable del ítem extra en
    el menú contextual y sospechas que sea un spyware, hay que aplicar ‘Fix
    Checked’.

    O9: Botones extra en la barra de
    herramientas de IE / Items extra en el apartado Herramientas de IE (no
    incluidas en la instalación por defecto)

    Si tienes botones extra en la barra de herramientas principal
    de IE o bien ítems extra en el menú Herramientas de IE (que no sean los
    incluidos en la instalación por defecto) y quieres eliminarlos por
    sospechar que provengan de spyware, hay que mirar en este

    ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del registro:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

    Ejemplos normales:

    O9 - Extra button: Messenger (HKLM)

    O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)

    O9 - Extra button: AIM (HKLM)

    En los normales no es preciso hacer nada, pero ante casos
    indeseables que se quiera hacerlos desaparecer, el ‘Fix Checked’
    debería poder con ellos sin problemas.

    O10: Winsock hijackers

    En este apartado hay que ser extremadamente cautos o podrían
    dañar la conexión a Internet. Desde la propia Merijn.org recomiendan,
    en caso de necesitar resolver reseñas mostradas en este ítem O10,
    emplear el LSPFix.exe.

    No hay problema si las referencias a algún módulo del antivirus. Puede ser normal en aquellos que actúan a nivel del Winsock.

    La entrada 010 es tomada por el conocido spyware New.net si encuentra esto en su log:

    O10 - Hijacked Internet access by New.Net

    O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto)

    Estamos hablando de IE > Herramientas > Opciones >
    pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no
    perteneciente a los que trae por defecto, vendría reflejado (como los
    originales) en la sgte. cadena del registro:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

    Desde Merijn.org comentan que, de momento, sólo el hijacker
    CommonName añade sus propias opciones en la pestaña de avanzadas. En
    ese caso el ítem mostrado (Spyware) sería como siguiente:

    O11 - Options group: [CommonName] CommonName

    Si se encuentra ese caso aplicarle ‘Fix Checked’ . Si es diferente es recomendable buscar mas información para estar seguros.

    012: Plugins para IE

    En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.

    Ejemplos normales:

    O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

    O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll

    Generalmente son normales, pero ante la duda, conviene buscar en Google su procedencia.

    No obstante, se tiene reportado algún caso claro de spyware en este
    apartado como es el plugin de OnFlow, que se detecta fácil por su
    extensión *.ofb; si se encuentra, conviene marcarlo y aplicar ‘Fix
    Checked’.

    O13: Hijack del prefijo por defecto en IE

    El prefijo por defecto en IE (IE DefaultPrefix), hace
    referencia a cómo son manejadas las URLs que introducimos en el
    casillero de direcciones del navegador IE, cuando no especificamos el
    protocolo (http://, ftp://, etc.). Por defecto IE tratará de emplear
    http://, pero es posible modificar este valor en el registro mediante
    la sgte. cadena:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix\

    De hecho, existen aplicaciones spywares que lo llevan a cabo,
    obligando al navegante incauto a llegar hacia donde no desea. Una de
    ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye
    el DefaulPrefix por “http://ehttp.cc/?”, de manera que cuando el
    usuario introduce “www.google.com”, automáticamente es derivado a
    http://ehttp.cc/?www.google.com”, que es un site perteneciente a CWS.

    Ejemplo nocivo de CWS:

    O13 - WWW. Prefix: http://ehttp.cc/?

    En estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como CWShredder.
    Pasar tras reiniciar el scan de HJT y comprobar si ha sido suficiente
    con eso, aplicando finalmente el ‘Fix Checked’ en caso necesario.

    CWS tiene muchas variantes y es un listado en continua expansión.

    Otros ejemplos Spyware a los que podéis aplicar ‘Fix Checked’:

    O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=

    O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

    O14: Hijack de la configuración por defecto de IE

    Hay una opción entre las muchas del IE, que es resetear los
    valores presentes y volver a la configuración por defecto. Los valores
    de esta última, se guardan en el fichero iereset.inf, ubicado en
    [**]\inf y el problema puede aparecer si un hijacker modifica la
    información de dicho fichero porque, de esa manera, al resetear a la
    configuración por defecto, lo tendríamos presente de nuevo. En estos
    casos es conveniente aplicar ‘Fix Checked’.

    Ejemplo spyware: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

    No obstante, tener cuidado porque no todo lo que aparece en este
    ítem tiene que ser nocivo. A veces puede deberse a manipulaciones
    legítimas del Administrador de Sistemas, manufactura de equipos de
    ciertas marcas, corporativos, etc. En estos casos seguramente
    reconocerán la URL mostrada y no será necesario ningún procedimiento.

    O15: Sitios indeseados en la zona segura de IE

    En IE la seguridad se establece por medio de zonas o y según
    éstas, la permisividad en términos de seguridad es mayor o menor. En
    niveles bajos de seguridad, es posible ejecutar scripts o determinadas
    aplicaciones que no están permitidos en niveles altos.

    Es posible añadir dominios a unas zonas u otras (sitios de
    confianza/sitios restringidos), según nuestro grado de confianza en
    ellos y esto se recoge en la sgte. cadena del registro:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains

    Si por ejemplo hemos añadido www.trucosgratis.net a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:

    O15 - Trusted Zone: www.trucosgratis.net

    De igual manera puede aparecer, por ejemplo, el dominio de empresa
    de nuestro puesto de trabajo o cualquier otro que hayamos añadido
    conscientemente.

    Pero puede darse el caso de que un spyware como CWS, introduzcan
    silenciosamente sus dominios dentro de los sitios de confianza, lo que
    podría verse reflejado de la sgte. manera:



    O15 - Trusted Zone: *.05p.com (HKLM)

    O15 - Trusted Zone: *.awmdabest.com (HKLM)

    O15 - Trusted Zone: *.blazefind.com (HKLM)

    O15 - Trusted Zone: *.clickspring.net (HKLM)

    O15 - Trusted Zone: *.flingstone.com (HKLM)

    O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

    O15 - Trusted Zone: *.mt-download.com (HKLM)

    O15 - Trusted Zone: *.my-internet.info (HKLM)

    O15 - Trusted Zone: *.scoobidoo.com (HKLM)

    O15 - Trusted Zone: *.searchbarcash.com (HKLM)

    O15 - Trusted Zone: *.searchmiracle.com (HKLM)

    O15 - Trusted Zone: *.slotch.com (HKLM)

    O15 - Trusted Zone: *.static.topconverting.com (HKLM)

    O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)

    O15 - Trusted IP range: 206.161.125.149

    O15 - Trusted IP range: 206.161.124.130 (HKLM)

    En el caso de CWS o en el de cualquier otro que no deseemos tener
    como sitio de confianza, y para eliminarlo de manera rápida y segura
    podemos utilizar la herramienta TZ-Kill.inf

    O16: Objetos ActiveX

    Los objetos ActiveX
    son programas descargados de alguna web y guardados en nuestro
    ordenador; por ello también se les denominan Downloaded Program Files.
    La ubicación de almacenamiento es [**]\Downloaded Program Files

    Podemos encontrar ítems normales como el del sgte. ejemplo:

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

    Y otros típicos de spyware que, con suerte, serán fácilmente
    identificables si muestran nombres sospechosos relacionados con porno,
    dialers, Toolbars indeseadas o palabras claves como casino, sex, adult,
    etc. Ejemplo:

    O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab

    En casos de spyware, podemos emplear tranquilamente el ‘Fix Checked’
    pero si tras volver a escánear viéramos casos rebeldes que siguen
    presentes, sería necesario reiniciar en modo seguro (pulsando F8…) para
    proceder con su eliminación.

    SpywareBlaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos. Volvemos a recomendar su utilización preventiva.

    018: Protocolos extra / Hijack de protocolos

    Es difícil explicar este apartado de una manera sencilla. A
    grosso modo, decir que nuestro SO emplea unos protocolos estándar para
    enviar/recibir información, pero algunos hijackers pueden cambiarlos
    por otros (protocolos “extra” o “no estándar”) que les permitan en
    cierta manera tomar el control sobre ese envío/recepción de información.

    HJT primero busca protocolos “no estándar” en
    HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID
    trata de obtener la información del path, también desde el registro:
    HKLM\SOFTWARE\Classes\CLSID

    Ejemplo spyware:

    O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

    Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida spyware como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el item O18 aplicarles ‘Fix Checked’.

    O19: Hijack de la hoja de estilo del usuario

    Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente

    con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle

    ‘Fix Checked’. Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear el CWShredder


    FUENTE: http://www.trucosgratis.net/TG-TRUCO-42 ... kThis.html

  2. AlienDJR
    AlienDJR está desconectado
    Usuario registrado CV
    Fecha de ingreso
    03 dic, 05
    Ubicación
    Buenos Aires, Argentina
    Mensajes
    3,320
    Muy bueno AngelCaidox. Realmente es un programa para recomendar, lo digo por experiencia propia.
    Saludos

  3. cursed
    cursed está desconectado
    Baneado
    Fecha de ingreso
    05 jun, 08
    Mensajes
    46
    me lo detecta como un virus

  4. jeancarlos0423
    jeancarlos0423 está desconectado
    Usuario registrado
    Fecha de ingreso
    11 may, 16
    Mensajes
    10
    Le sugiero que instales Spy Hunter, con este podras contrarrestar los virus, bajalo aqui
    http://antispywarefrance.com/