Manual de Hijack This.Capitulo 1 a 8

en Manuales y eBooks
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Foros Generales (OFF TOPIC) : Manuales y eBooks
Manuales y eBooks Manuales y eBooks Manuales, tutoriales y libros electrónicos [eBooks]

Manual de Hijack This.Capitulo 1 a 8

Compartir

;D Aqui les dejo el Capitulo 1y 2
Manual de HijackThis - Capitulo 1 -

* * * * * * Que es el HijackThis
* * * * * * * * *Es una pequeña herramienta (Para usuarios avanzados) que nos
* * * * * * * * *permite detectar y eventualmente, eliminar las modificaciones
* * * * * * * * *hechas por Browsers hijackers tales como: "Toolbars, Paginas
* * * * * * * * *de Inicio, Paginas de búsqueda, etc". Ay que aclarar que no
* * * * * * * * *todo los que nos muestra en su log es spyware y hay que tener
* * * * * * * * *mucho cuidado con lo que borramos de nuestro registro.
* * * * * * * * *Recomendamos visitar nuestro Foro de HijackThis para pedir
* * * * * * * * *ayuda.
* * * * * * * * *
* * * * * * * * *Iniciando el HijackThis
* * * * * * * * *Una vez que lo bajemos desde el sector de "Anti-Hijackers" Le
* * * * * * * * *damos doble click y se nos presentara la pantalla principal,
* * * * * * * * *ahí empezamos presionando el botón de "Do a system scan and
* * * * * * * * *save a logfile " obteniendo automáticamente la opción de
* * * * * * * * *guardar el log para pegarlo en nuestro "Foro HijackThis" y
* * * * * * * * *obtener ayuda.
* * * * * * * * *
* * * * * * * * *Analizando los resultados del log.
* * * * * * * * *Cada línea o ítem comienza con una letra o un numero, con las
* * * * * * * * *siguientes referencias:

* * * * * * * * *R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el
* * * * * * * * *navegador Internet Explorer.

* * * * * * * * F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini
* * * * * * * * *(system.ini, win.ini...).
* * * * * * * * N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en
* * * * * * * * *Netscape/Mozilla.
* * * * * * * * *O1: Redirecciones mediante modificación del fichero HOSTS.
* * * * * * * * *O2: BHO (Browser Helper Object); Son plugins para aumentar las
* * * * * * * * *funcionalidades del Internet Explorer, pero también pueden ser
* * * * * * * * *spywares secuestradores..
* * * * * * * * *O3: Toolbars para IE.
* * * * * * * * *O4: Aplicaciones que se cargan automáticamente en el inicio de
* * * * * * * * *Windows, desde el llaves en el registro o por estar en la
* * * * * * * * *carpeta de Inicio.
* * * * * * * * *O5: Opciones de IE no visibles desde Panel de Control.
* * * * * * * * O6: Acceso restringido -por el Administrador- a las Opciones
* * * * * * * * *de IE.
* * * * * * * * *O7: Acceso restringido -por el Administrador- al Regedit.
* * * * * * * * *O8: Items extra encontrados en el menú contextual de IE.
* * * * * * * * O9: Botones extra en la barra de herramientas de IE, así como
* * * * * * * * *ítems extra en el apartado Herramientas de IE (no incluidas en
* * * * * * * * *la instalación por defecto).
* * * * * * * * *O10: Winsock hijackers.
* * * * * * * * *O11: Adición de un grupo extra en las Opciones Avanzadas de IE
* * * * * * * * *(no por defecto).
* * * * * * * * O12: Plugins para IE.
* * * * * * * * *O13: Hijack del prefijo por defecto en IE.
* * * * * * * * O14: Hijack de la configuración por defecto de IE.
* * * * * * * * *O15: Sitios indeseados en la zona segura de IE.
* * * * * * * * *O16: Objetos ActiveX
* * * * * * * * *O17: Hijack de dominio / Lop.com
* * * * * * * * *O18: Protocolos extra / Hijack de protocolos
* * * * * * * * *O19: Hijack de la hoja de estilo del usuario.

* * * * * * * * O20: Valores de Registro auto ejecutables AppInit_DLLs

* * * * * * * * O21: Llaves de Registro auto ejecutables
* * * * * * * * *ShellServiceObjectDelayLoad

* * * * * * * * *O22: Llaves de Registro auto ejecutables SharedTaskScheduler

* * * * * * * * *O23: Servicios

Manual de HijackThis - Capitulo 2 - *

* * * * * * Grupo R0, R1, R2, R3:
* * * * * * * * *URLs de páginas de inicio/búsqueda en el navegador Internet
* * * * * * * * *Explorer (IE).

* * * * * * * * *Si las URLs que comienzan con R0 o R1 (R2 ya no es utilizado)
* * * * * * * * *fueron puestas por nosotros mismos no hay problema, y la
* * * * * * * * *dejamos como están, pero si no las reconocemos o tienen
* * * * * * * * *nombres muy extensos y sospechosos por lo gral terminan con la
* * * * * * * * *sigla "(obfuscated)" la seleccionamos y aplicamos 'Fix
Checked'
* * * * * * * * *Ejemplo Valido:
* * * * * * * * *R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
* * * * * * * * *= http://www.google.com/

* * * * * * * * *R1 - HKLM\Software\Microsoft\Internet
* * * * * * * * *Explorer\Main,Default_Page_URL = http://www.google.com/

* * * * * * * * Ejemplo de Spyware, marcar y *'Fix Checked':
* * * * * * * * *R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
* * * * * * * * *= res://C:\WINDOWS\TEMP\se.dll/sp.html


* * * * * * * * *R3 es la referencia usada por Search Hook. Si introducimos
* * * * * * * * *manualmente una URL como pagina de inicio sin especificar un
* * * * * * * * *protocolo (http://, ftp://) el navegador tratara de encontrar
* * * * * * * * *uno automático y en caso de que no lo logre, acudirá a Url
* * * * * * * * *Search Hook.

* * * * * * * * *Ejemplo Valido:
* * * * * * * * *R3 - Default URLSearchHook is missing

* * * * * * * * Ejemplo Spyware, marcar y 'Fix Checked'
* * * * * * * * R3 - URLSearchHook: (no name) -
* * * * * * * * *_{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
* * * * * * * * *
* * * * * * * * *Grupo F0, F1, F2, F3
* * * * * * * * *Programas cargados a partir de ficheros *.ini (win.ini,
* * * * * * * * *system.ini, etc..).

* * * * * * * * *F0: Según la gente de Merijn.org (creadores del HijackThis)
* * * * * * * * *cualquier código que comience con F0 hay que marcarla y 'Fix
* * * * * * * * *Checked'

* * * * * * * * *F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual
* * * * * * * * *su información viene del win.ini en "Run= o Load=". Es
* * * * * * * * *conveniente buscar información del programa especifico antes
* * * * * * * * *de *marcar y 'Fix Checked'"

* * * * * * * * *F2 y F3 Son equivalente a los anteriores pero en Windows de
* * * * * * * * *núcleo NT (Win NT/2000/XP), que no suelen hacer uso de
* * * * * * * * *system.ini/win.ini del modo tradicional.
* * * * * * * * *Por ejemplo:
* * * * * * * * *HKLM\Software\Microsoft\Windows
* * * * * * * * *NT\CurrentVersion\IniFileMapping
* * * * * * * * *HKLM\Software\Microsoft\Windows
* * * * * * * * *NT\CurrentVersion\Winlogon\Userinit
* * * * * * * * *HKLM\Software\Microsoft\Windows
* * * * * * * * *NT\CurrentVersion\Winlogon\Userinit
* * * * * * * * *=[**]\system32\userinit.exe,[**]\morralla.exe
* * * * * * * * *Esto se ve en la información del valor userinit, picando dos
* * * * * * * * *veces sobre él desde Regedit; estaría de la siguiente manera,
* * * * * * * * *separado simplemente por una coma (resaltada en ):
* * * * * * * * *Userinit = [**]\system32\userinit.exe [**]\morralla.exe
* * * * * * * * *Si bajo Win NT encuentran el valor por defecto:
* * * * * * * * *userinit,nddeagnt.exe, es normal bajo ese sistema. Pero
* * * * * * * * *cualquier otro ejecutable es altamente probable que se trate
* * * * * * * * *de spyware y/o troyano.

Compartir
  #1  
Creado: 20-Mar-2006, a las 21:12 Vistas: 729
Categoria: Manuales y eBooks
Creado por: guille727d guille727d está desconectado (17-August-2005 | Argentina | 778 Mensajes.)
  #2  
Antiguo 20-Mar-2006, 21:20
Qutrits
 
Fecha de Ingreso: 17-August-2005
País: Argentina
Mensajes: 778
Agradecimientos dados: 0
Le han agradecido 0 veces en 0 temas
Predeterminado Re: Manual de Hijack This.Capitulo 3 y 4

;D
Manual de HijackThis - Capitulo 3 -

Grupo N1, N2, N3, N4
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
N1, N2, N3, N4 corresponden respectivamente a las páginas de
inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos
se encuentran en el fichero prefs.js, habitualmente localizado
en el directorio del navegador.

Al igual que en R0 o R1 si las reconocemos las paginas no hay
problema, si no marcar y 'Fix Checked'

O1: Redireccionamientos por modificación del fichero HOSTS
El fichero HOSTS lo podemos encontrar en diversas ubicaciones
según el Windows empleado. Se localiza en C:\WINDOWS\ en los
Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win
NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios.
En condiciones normales, puede ser empleado si queremos evitar
el acceso a determinados dominios que sabemos problemáticos,
simplemente editando a mano el fichero HOSTS y asociando
nuestra dirección localhost 127.0.0.1 con el dominio
indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com ...al
hacerlo, si introducimos esa dirección en el navegador,
nuestro equipo primero la buscará en el fichero HOSTS y al
encontrarla, se evitará resolverla externamente mediante DNS.
De esta manera evitamos que se pueda acceder a dicho dominio
indeseable.
Sin embargo, puede ser empleado con fines maliciosos por los
spywares que tratamos de combatir en este artículo,
sencillamente dándole la vuelta a la tortilla: si en lugar de
localhost se emplea una IP determinada (llamémosla IP spyware)
para direcciones de uso habitual, por ejemplo www.google.com,
cada vez que introduzcamos la dirección de google en nuestra
barra de direcciones, seremos llevados a la página de la IP
spyware. Esto redireccionamiento suele ser frecuente de ver
por parte de los hijackers.

Si el ítem O1 nos muestra una IP que no se corresponde con la
dirección, podemos marcarla y aplicarle el 'Fix Checked'.

Si nos muestra O1 - Hosts file is located at
C:\Windows\Help\hosts ...casi con toda probabilidad estamos
delante de una infección por CoolWebSearch (CWS), en cuyo caso
conviene aplicarle el 'Fix Checked'.

O2: BHO (Browser Helper Object)
Pueden ser plugins para aumentar las funcionalidades de
nuestro navegador, perfectamente normales, pero también pueden
deberse a aplicaciones spywares.
Es preciso por tanto que el usuario investigue para comprobar
el grado de sospecha.

Ejemplo normal:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Archivos de programa\Adobe\Acrobat
5.0\Reader\ActiveX\AcroIEHelper.ocx

Es preciso que en ese momento no
este abierta ninguna ventana del navegador e incluso así, a
veces hay casos rebeldes. Si después de aplicar el 'Fix
Checked' vuelve a salir en el listado, será necesario
reiniciar en modo a prueba de fallos para erradicarlo.

Ejemplo Spyware: (aplicar 'Fix Checked')
O2 - BHO: (no name) - {FECA4302-94B5-11D9-8E0D-000E86ADF28B} -
C:\WINDOWS\SYSTEM\MLM.DLL


Manual de HijackThis - Capitulo 4 -

O3: Toolbars para IE
Recordamos la definición de Toolbar: suelen ser un grupo de
botones situados generalmente bajo la barra de herramientas
del navegador, que pueden deberse a aplicaciones normales que
tengamos instaladas, al integrarse de esa manera en nuestro
navegador, aunque en ocasiones pueden ser producto de la
presencia de BHO maliciosos.
Su ubicación en el registro depende de esta cadena:
HKLM\Software\Microsoft\Internet Explorer\Toolbar
Ejemplo normal:
O3 - Toolbar: Web assistant -
{0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de
programa\Archivos comunes\Symantec
Shared\AdBlocking\NISShExt.dll
Como se ve en el ejemplo, esa toolbar está originada por el
Norton Internet Security de Symantec. En caso de ser spyware,
conviene marcar el ítem y aplicar el 'Fix Checked'.

O4: Aplicaciones de carga automática en inicio de Windows por
Registro

La carga automática de estas aplicaciones viene dada por
ciertas claves en el registro o por aparecer en directorios
del grupo Inicio.

Claves del registro implicadas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce

\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit

Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de
programa\SSM\SysSafe.exe
Los directorios del grupo Inicio pueden tener estas
ubicaciones:
C:\Documents and Settings\All Users\Menú
Inicio\Programas\Inicio ...reflejado en el log de HijackThis
como Global Startup; son programas que se cargan para el
perfil de todos los usuarios.
Ejemplo: O4 - Global Startup: TeleSA.lnk = C:\Archivos de
programa\AVer Teletext\AVerSA.exe
R:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio
...reflejado en el log de HJT como Startup: programas que se
cargan sólo para el perfil de ese USUARIO.
Ejemplo: O4 - Startup: Microsoft Office.lnk = C:\Archivos de
programa\Microsoft Office\Office10\OSA.EXE
Si se encuentra un ítem indeseable y se le aplica el 'Fix
Checked', no será exitoso mientras el proceso esté activo en
memoria. En esos casos, primero hay que abrir el
Administrador de Tareas para cerrar dicho proceso y poder
luego actuar con HijackThis

Ejemplo Spyware: (aplicar 'Fix Checked')
O4 - HKLM\..\Run: [sp] rundll32
C:\WINDOWS\TEMP\SE.DLL,DllInstall

Responder Citando
  #3  
Antiguo 20-Mar-2006, 21:25
Qutrits
 
Fecha de Ingreso: 17-August-2005
País: Argentina
Mensajes: 778
Agradecimientos dados: 0
Le han agradecido 0 veces en 0 temas
Predeterminado Re: Manual de Hijack This.Capitulo 5 y 6

;D
Manual de HijackThis - Capitulo 5 -

O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de IE son
accesibles desde Panel de Control. Existe la posibilidad de no
permitirlo (desaparecer su icono), añadiendo una entrada en el
fichero control .ini ubicado en [**] (C:\WINNT o C:\WINDOWS,
según versión del SO), lo que se reflejaría en el sgte. ítem
del log de HJT:
O5 - control.ini: inetcpl.cpl=no
Pero este hecho, a menos que sea una acción intencionada del
Administrador del Sistema (en cuyo caso lo dejaríamos tal
cual), podría deberse a la acción de alguna aplicación spyware
que de esta manera trate de dificultar que cambiemos las
Opciones del IE. Si se trata de esto último, es conveniente
aplicar 'Fix Checked'.

O6: Acceso restringido -por el Administrador- a las Opciones
de IE

Si el acceso está restringido por el Administrador o bien
porque empleamos Spybot S&D y aplicamos su protección-bloqueo
de las Opciones del IE (en Herramientas > Modificaciones de
IE: Bloquear la configuración de la Pág. de Inicio...),
aparecerá un ítem como el sgte.:
O6 - HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions present
Si por ejemplo en ese mismo apartado de Spybot S&D no hemos
marcado el casillero Bloquear el acceso... , observaríamos
este otro:
O6 - HKCU\Software\Policies\Microsoft\Internet
Explorer\Control Panel present
Si el acceso restringido (primer ítem de ejemplo) aparece y no
se debe a medidas intencionadas por parte del Administrador
y/o la acción preventiva de Spybot, suele ser conveniente
aplicar 'Fix Checked'.

O7: Acceso restringido -por el Administrador- a Regedit
Cuando el acceso a Regedit está bloqueado mediante la
correspondiente clave del registro (no es infrecuente en
políticas de seguridad corporativas), se refleja en un ítem
como el sgte.:
O7 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System,
DisableRegedit=1
Salvo que lo anterior se deba a medidas tomadas
intencionadamente por el Administrador (en cuyo caso
ignoraríamos el ítem), es conveniente aplicar 'Fix Checked'.

Manual de HijackThis - Capitulo 6 -

O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que se obtiene al pulsar el
botón derecho sobre la web que estáis viendo. Nos muestra
diferentes ítems o líneas de selección y pueden deberse a
aplicaciones normales, pero también a spyware. Las diferentes
opciones en ese menú se albergan en la sgte. cadena del
registro:

HKCU\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo normal: O8 - Extra context menu item: Exportar a
Microsoft Excel -
res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

Pero si no reconocemos la aplicación responsable del ítem
extra en el menú contextual y sospechas que sea un spyware,
hay que aplicar 'Fix Checked'.

O9: Botones extra en la barra de herramientas de IE / Items
extra en el apartado Herramientas de IE (no incluidas en la
instalación por defecto)
Si tienes botones extra en la barra de herramientas principal
de IE o bien ítems extra en el menú Herramientas de IE (que no
sean los incluidos en la instalación por defecto) y quieres
eliminarlos por sospechar que provengan de spyware, hay que
mirar en este
ítem O9 del log de HJT, que obtiene los datos de la sgte.
cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

En los normales no es preciso hacer nada, pero ante casos
indeseables que se quiera hacerlos desaparecer, el 'Fix
Checked' debería poder con ellos sin problemas.

O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podrían
dañar la conexión a Internet.
No hay problema si las referencias a algún módulo del
antivirus. Puede ser normal en aquellos que actúan a nivel del
Winsock.

La entrada 010 es tomada por el conocido spyware New.net si
encuentra esto en su log:
O10 - Hijacked Internet access by New.Net

O11: Adición de un grupo extra en las Opciones Avanzadas de IE
(no por defecto)

Estamos hablando de IE > Herramientas > Opciones > pestaña
Opciones Avanzadas. Si ahí apareciera algún grupo extra, no
perteneciente a los que trae por defecto, vendría reflejado
(como los originales) en la sgte. cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Desde Merijn.org comentan que, de momento, sólo el hijacker
CommonName añade sus propias opciones en la pestaña de
avanzadas. En ese caso el ítem mostrado (Spyware) sería como
siguiente:

O11 - Options group: [CommonName] CommonName

Si se encuentra ese caso aplicarle 'Fix Checked' . Si es
diferente es recomendable buscar mas informacion para estar
seguros.

O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de
aplicaciones legítimas y están ahí para ampliar
funcionalidades de IE.

Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet
Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet
Explorer\Plugins\nppdf32.dll

Generalmente son normales, pero ante la duda, conviene buscar
en Google su procedencia.

No obstante, se tiene reportado algún caso claro de spyware en
este apartado como es el plugin de OnFlow, que se detecta
fácil por su extensión *.ofb; si se encuentra, conviene
marcarlo y aplicar 'Fix Checked'.



Responder Citando
  #4  
Antiguo 20-Mar-2006, 21:32
Qutrits
 
Fecha de Ingreso: 17-August-2005
País: Argentina
Mensajes: 778
Agradecimientos dados: 0
Le han agradecido 0 veces en 0 temas
Predeterminado Re: Manual de Hijack This.Capitulo 7 y 8

;D
Manual de HijackThis - Capitulo 7 -

* * * * * * O13: Hijack del prefijo por defecto en IE
* * * * * * * * *El prefijo por defecto en IE (IE DefaultPrefix), hace
* * * * * * * * *referencia a cómo son manejadas las URLs que introducimos en
* * * * * * * * *el casillero de direcciones del navegador IE, cuando no
* * * * * * * * *especificamos el protocolo (http://, ftp://, etc.). Por
* * * * * * * * *defecto IE tratará de emplear http://, pero es posible
* * * * * * * * *modificar este valor en el registro mediante la sgte. cadena:

* * * * * * * * *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\UR L\DefaultPrefix\

* * * * * * * * *De hecho, existen aplicaciones spywares que lo llevan a cabo,
* * * * * * * * *obligando al navegante incauto a llegar hacia donde no desea.
* * * * * * * * *Una de ellas, muy conocida, es el hijacker CoolWebSearch
* * * * * * * * *(CWS), que sustituye el DefaulPrefix por "http://ehttp.cc/?",
* * * * * * * * *de manera que cuando el usuario introduce "www.google.com",
* * * * * * * * *automáticamente es derivado a
* * * * * * * * *"http://ehttp.cc/?www.google.com", que es un site
* * * * * * * * *perteneciente a CWS.

* * * * * * * * *Ejemplo nocivo de CWS:
* * * * * * * * *O13 - WWW. Prefix: http://ehttp.cc/?

* * * * * * * * *En estos casos, antes de emplear HJT, conviene utilizar
* * * * * * * * *herramientas específicas contra CWS como CWShredder. Pasar
* * * * * * * * *tras reiniciar el scan de HJT y comprobar si ha sido
* * * * * * * * *suficiente con eso, aplicando finalmente el 'Fix Checked' en
* * * * * * * * *caso necesario.

* * * * * * * * *CWS tiene muchas variantes y *es un listado en continua
* * * * * * * * *expansión.

* * * * * * * * *Otros ejemplos Spyware a los que podéis aplicar 'Fix Checked':
* * * * * * * * *O13 - DefaultPrefix:
* * * * * * * * *http://www.pixpox.com/cgi-bin/click.pl?url=
* * * * * * * * *O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
* * * * * * * * *
* * * * * * * * *O14: Hijack de la configuración por defecto de IE * * * * * * * * *Hay una opción entre las muchas del IE, que es resetear los
* * * * * * * * *valores presentes y volver a la configuración por defecto. Los
* * * * * * * * *valores de esta última, se guardan en el fichero iereset.inf,
* * * * * * * * *ubicado en [**]\inf y el problema puede aparecer si un
* * * * * * * * *hijacker modifica la información de dicho fichero porque, de
* * * * * * * * *esa manera, al resetear a la configuración por defecto, lo
* * * * * * * * *tendríamos presente de nuevo. En estos casos es conveniente
* * * * * * * * *aplicar 'Fix Checked'.

* * * * * * * * *Ejemplo spyware: O14 - IERESET.INF:
* * * * * * * * *START_PAGE_URL=http://www.searchalot.com


* * * * * * * * *No obstante, tener cuidado porque no todo lo que aparece en
* * * * * * * * *este ítem tiene que ser nocivo. A veces puede deberse a
* * * * * * * * *manipulaciones legítimas del Administrador de Sistemas,
* * * * * * * * *manufactura de equipos de ciertas marcas, corporativos, etc.
* * * * * * * * *En estos casos seguramente reconocerán la URL mostrada y no
* * * * * * * * *será necesario ningún procedimiento.
* * * * * * * * *
* * * * * * * * *O15: Sitios indeseados en la zona segura de IE * * * * * * * * *En IE la seguridad se establece por medio de zonas o y según
* * * * * * * * *éstas, la permisividad en términos de seguridad es mayor o
* * * * * * * * *menor. En niveles bajos de seguridad, es posible ejecutar
* * * * * * * * *scripts o determinadas aplicaciones que no están permitidos en
* * * * * * * * *niveles altos.
* * * * * * * * *Es posible añadir dominios a unas zonas u otras (sitios de
* * * * * * * * *confianza/sitios restringidos), según nuestro grado de
* * * * * * * * *confianza en ellos y esto se recoge en la sgte. cadena del
* * * * * * * * *registro:

* * * * * * * * *HKCU\Software\Microsoft\Windows\CurrentVersion\In ternet
* * * * * * * * *Settings\ZoneMap\Domains

* * * * * * * * *Si por ejemplo hemos añadido www.infospyware.com a los sitios
* * * * * * * * *de confianza, nos aparecería reflejado de esta manera en el
* * * * * * * * *ítem correspondiente de HJT:

* * * * * * * * *O15 - Trusted Zone: www.infospyware.com

* * * * * * * * *De igual manera puede aparecer, por ejemplo, el dominio de
* * * * * * * * *empresa de nuestro puesto de trabajo o cualquier otro que
* * * * * * * * *hayamos añadido conscientemente.

* * * * * * * * *Pero puede darse el caso de que *un spyware como CWS,
* * * * * * * * *introduzcan silenciosamente sus dominios dentro de los sitios
* * * * * * * * *de confianza, lo que podría verse reflejado de la sgte.
manera:

* * * * * * * * *O15 - Trusted Zone: *.05p.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.awmdabest.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.blazefind.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.clickspring.net (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.flingstone.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.mt-download.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.my-internet.info (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.scoobidoo.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.searchbarcash.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.searchmiracle.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.slotch.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.static.topconverting.com (HKLM)
* * * * * * * * *O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
* * * * * * * * *O15 - Trusted IP range: 206.161.125.149
* * * * * * * * *O15 - Trusted IP range: 206.161.124.130 (HKLM)

Manual de HijackThis - Capitulo 8 -

* * * * * * O16: Objetos ActiveX
* * * * * * * * *Los objetos ActiveX son programas descargados de alguna web y
* * * * * * * * *guardados en nuestro ordenador; por ello también se les
* * * * * * * * *denominan Downloaded Program Files. La ubicación de
* * * * * * * * *almacenamiento es [**]\Downloaded Program Files

* * * * * * * * *Podemos encontrar ítems normales como el del sgte. ejemplo:

* * * * * * * * *O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
* * * * * * * * *Flash Object) -
* * * * * * * * *http://download.macromedia.com/pub/s...sh/swflash.cab

* * * * * * * * *Y otros típicos de spyware que, con suerte, serán fácilmente
* * * * * * * * *identificables si muestran nombres sospechosos relacionados
* * * * * * * * *con porno, dialers, Toolbars indeseadas o palabras claves como
* * * * * * * * *casino, sex, adult, etc. Ejemplo:

* * * * * * * * O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer
* * * * * * * * *Class) -
* * * * * * * * *http://www.xxxtoolbar.com/ist/softwa...06_regular.cab


* * * * * * * * *En casos de spyware, podemos emplear tranquilamente el 'Fix
* * * * * * * * *Checked' pero si tras volver a escánear viéramos casos
* * * * * * * * *rebeldes que siguen presentes, sería necesario reiniciar en
* * * * * * * * *modo seguro (pulsando F8...) para proceder con su eliminación.

* * * * * * * * *SpywareBlaster de JavaCool cuenta en su base de datos con un
* * * * * * * * *numeroso listado de ActiveX maliciosos. Volvemos a recomendar
* * * * * * * * *su utilización preventiva.
* * * * * * * * *
* * * * * * * * *O17: Hijack de dominio / Lop.com
* * * * * * * * *En condiciones normales, cuando introducimos el nombre de un
* * * * * * * * *site en el navegador en lugar de su dirección IP, nuestro PC
* * * * * * * * *contacta con un servidor DNS para que resuelva correctamente
* * * * * * * * *el nombre del dominio. Sin embargo, puede darse el caso de que
* * * * * * * * *un hijacker cambie las DNS para que empleemos su propio
* * * * * * * * *servidor en lugar del servidor DNS habitual. Si lo llevan a
* * * * * * * * *cabo podrán redireccionarnos a donde quieran, apuntando
* * * * * * * * *nuestras peticiones hacia los dominios de su elección (no la
* * * * * * * * *nuestra).

* * * * * * * * *Ejemplo normal:
* * * * * * * * *O17 -
* * * * * * * * *HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}:
* * * * * * * * *NameServer = 194.224.52.36,194.224.52.37

* * * * * * * * *Decimos normal porque esas IPs corresponden a servidores DNS
* * * * * * * * *de un conocido ISP español y en estos casos no es preciso
* * * * * * * * *hacer nada. Es la situación más habitual, encontrar las DNS
* * * * * * * * *que nos proporciona nuestro ISP.

* * * * * * * * *Para comprobar si son buenas o no, podéis hacer un whois con
* * * * * * * * *aplicaciones ex profeso o acudir a sites de fiar que ofrezcan
* * * * * * * * *ese servicio, como Google. Ahora bien, si los resultados de
* * * * * * * * *nuestras pesquisas apuntan hacia spywares, les aplicaremos
* * * * * * * * *'Fix Checked'.
* * * * * * * * *
* * * * * * * * O18: Protocolos extra / Hijack de protocolos
* * * * * * * * *Es difícil explicar este apartado de una manera sencilla. A
* * * * * * * * *grosso modo, decir que nuestro SO emplea unos protocolos
* * * * * * * * *estándar para enviar/recibir información, pero algunos
* * * * * * * * *hijackers pueden cambiarlos por otros (protocolos "extra" o
* * * * * * * * *"no estándar&quot que les permitan en cierta manera tomar el
* * * * * * * * *control sobre ese envío/recepción de información.

* * * * * * * * *HJT primero busca protocolos "no estándar" en
* * * * * * * * *HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante
* * * * * * * * *la CLSID trata de obtener la información del path, también
* * * * * * * * *desde el registro: HKLM\SOFTWARE\Classes\CLSID

* * * * * * * * *Ejemplo spyware:
* * * * * * * * O18 - Protocol:relatedlinks -
* * * * * * * * *{5AB65DD4-01FB-44D5-9537-3767AB80F790} -
* * * * * * * * *C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll


* * * * * * * * *Esta técnica no es de las más frecuentes de ver, pero puede
* * * * * * * * *ser empleada por conocida spyware como Huntbar -RelatedLinks-
* * * * * * * * *(la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive
* * * * * * * * *CWS. Si encuentra alguno en el item O18 *aplicarles 'Fix
* * * * * * * * *Checked'.
* * * * * * * * *
* * * * * * * * *O19: Hijack de la hoja de estilo del usuario
* * * * * * * * *Según Merijn.org, en caso de aparecer en el log de HJT este
* * * * * * * * *ítem O19, coincidente
* * * * * * * * *con un navegador ralentizado y frecuentes pop-ups, podría ser
* * * * * * * * *conveniente aplicarle
* * * * * * * * *'Fix Checked'. Sin embargo, dado que hasta el momento sólo se
* * * * * * * * *tiene reportado a CWS como responsable, la recomendación es
* * * * * * * * *emplear el CWShredder.

* * * * * * * * *La entrada 020 son notificaciones de programas, si no los reconoces le das fix
chequed.

* * * * * * * * *La 021 Llaves de Registro auto ejecutables
ShellServiceObjectDelayLoad Son programas cargados en segundo plano.
Suelen ser nocivos pero la entrada puede ocacionar errores imprevistos.
En caso de falla despues de instalar algun programa, verificar esta entrada.
Si se sospecha que puede ser se da fixchequed.


La O22: Llaves de Registro auto ejecutables SharedTaskScheduler

*La 023 son servicios de programas, si no reconoces algun servicio de programas
que tengas instalados se le da fixchequed.

En todo momento cada entrada eliminada queda en Backup, en caso de necesitar restaurar se ejecuta Hijack y se hace el backup desde la opcion Buckup tildando la entrada a restaurar.



* * * * * * * * *

Responder Citando
Respuesta

Etiquetas
hijack, manual, thiscapitulo


Temas Similares
» Serie Lost Temporada 6 (Capitulo 8) [Excelente Calidad][Rmvb][Sub Español] 1
» Hijack ALEMARIN 1
» hijack 1
» hijack this comprobacion 1
» hijack this 2
» MU PERUANO RELOADED S4 CAPITULO 2 0
» ayuda con hijack 1
» hijack 1
» Resultado scaneo de hijack this 14-01-07 1


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 04:10.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4