Tutorial para HijackThis [Muy Bueno]

PARA LOS QUE NO LO SEPAN, CON HIJACKTHIS PODES ARREGLAR TU PC DE UN MONTON DE ATAQUES, como Hackers, Spywares y adwares, de un modo muy muy muy seguro de que lo quitas

Cmo usar HijackThis para remover hijackers, spywares y adwares. Introduccin HijackThis es una utilidad que produce un listado de ciertas configuraciones halladas en tu computadora. HijackThis escanear tu registro y varios otros archivos de entrada que son similares a los que un programa spyware o hijacker dejan huella. Interpretar esos resultados podra ser engaoso, ya que hay muchos programas legtimos que estn instalados en su sistema operativo de una manera similar a como lo hacen los hijackers. As que debes ser extremadamente cuidadoso arreglando cualquier problema con el HijackThis. No puedo dejar de presionar en lo importante que es la advertencia.

Como usar HijackThis El primer paso es descargar el HijackThis a la computadora en un lugar donde sepas que lo encontrars. No necesita instalarse, as que recuerda donde lo dejas para usarlo en el futuro. Puedes descargar el HijackThis aqu: http://www.merijn.org/files/HiJackThis_v2.exe

Crea una carpeta en donde poner el HijackThis. Es importante que tenga su propia carpeta para que pueda usarla para crear copias de respaldo. Si lo ejecutas desde un archivo comprimido, no se podrn crear respaldos. Una vez descargado, da doble click en el icono del HijackThis.exe. Aparecer una ventana como la siguiente:

Primero da click en el botn "Config", y aparecern las opciones como lo muestra la captura. Confirma las 4 ltimas opciones y desmarca la primera. Por defecto vienen as.

Cuando hayas seleccionado esas opciones, presiona "Back" y contina con el resto del tutorial. Para empezar el escaneo de posibles hijackers, clickea en el botn "Scan". Se te presentar una lista con todos los elementos encontrados por el programa como se muestra a continuacin.

En este punto ya debes de tener una lista de todos los elementos encontrados por HijackThis. Si lo ves muy confuso y difcil para ti, entonces clickea en el botn "Save Log", y salva el log en tu computadora, de preferencia en la misma carpeta. Para abrir un log y pegarlo en un foro, sigue estos pasos: 1. Abre el Notepad (o Block de Notas). 2. Click en "Archivo" >> "Abrir" y busca el directoriodonde tienes guardado el log. 3. Cuando llegues elije el log y brelo. 4. Presiona en "Edicin" >> "Seleccionar todo" 5. Presiona "Edicin" >> "Copiar" 6. Ve a algn foro y pega el log, describiendo la situacin y los mtodos que ya has intentado.

Si deseas ver ms informacin acerca de los objetos listados, da click en alguno de ellos y presiona el botn "Info on selected tem". Te aparecer una pantalla semejante a esta:

Cuando hayas buscado informacin de los objetos listados, y sientas que tu conocimiento sea suficiente para continuar, mira la lista y selecciona los objetos que desees remover marcando las casillas correspondientes, como lo muestra la siguiente captura. Al final del documento hemos includo algunas formas bsicas de interpretar la informacin en esos archivos logs. Lo que no significa que esta informacin sea suficiente para todas las decisiones , pero debera ayudarte a determinar qu es legtimo y que no.

Una vez que hayas seleccionado los objetos que quieras remover, presiona el botn "Fix Checked". HijackThis te preguntar si confirmas remover esos objetos. Presiona "Yes" o "No" dependiendo de tu eleccin.

Cmo restaurar objetos borrados accidentalmente:

HijackThis viene con un herramienta de respaldo y un procedimiento de restauracin en caso de que errneamente hayas borrado una entrada que es legal. Si has configurado el HijackThis como muestra este tutorial, entonces sers capaz de restaurar las entradas que hayas borrado anteriormente. Si has ejecutado HijackThis desde una carpeta temporal, entonces los procedimientos de restauracin no trabajarn. Si la opcin de configuracin "Make backups before fixing items" esta marcada,

HijackThis har una copia de respaldo de cada entrada que arregles en un directorio llamado "Backups", en la misma localizacin del HijackThis.exe Si ejecutas HijackThis y clickeas en "Config", y despus en el botn "Backup", como en la imagen siguiente. Obtendrs un listado de todos los objetos que han sido arreglados anteriormente y con la opcin de restaurarlos. Una vez que restaures un objeto mostrado en esta lista, si vuelves a escanear con el HijackThis, la entrada volver a aparecer.

Una vez que acabes la restauracin de aquellos objetos que fueron arreglados equivocadamente, puedes cerrar el programa.

Cmo interpretar los resultados del escaneo Esta seccin te ayudar a diagnosticar los resultados del escaneo del HijackThis. Cada lnea de la lista de resultados del HijackThis empieza con un nombre de seccin. A continuacin se presenta un lista de los nombres de seccin y su descripcin, tomados del sitio de Merijn's (el creador de HijackThis).

R0, R1, R2, R3 URL's de pginas de inicio y bsqueda del Internet Explorer F0, F1, F2, F3 Programas autoejecutables N1, N2, N3, N4 URL's de pginas de inicio y bsqueda de Netscape y Mozilla O1 Archivo redireccionador de hosts O2 BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador) O3 Barras de Herramientas del Internet Explorer O4 Programa autoejecutables desde el registro O5 Iconos no visibles de IE en el Panel de Control O6 Opciones del IE con acceso restringido por el administrador O7 Acceso restringido al Regedit por el administrador O8 Objetos extras del IE O9 Botones extras en el botn principal de la barra de herramientas del IE o objetos extra en el men "Herramientas" O10 Hijacker del Winsock O11 Grupo extra en la ventana de Opciones Avanzadas del IE

O12 Plug-ins para el IE O13 Hijacker del prefijo por defecto de IE O14 Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web) O15 Sitio no deseado en la Zona de Sitios de Confianza O16 Objetos ActiveX (Archivos de Programa Descargados) O17 Hijacker Lop.com O18 Protocolos extras y protocolo de Hijackers O19 Hijacker de Hojas de Estilo O20 Valores de Registro autoejecutables AppInit_DLLs O21 Llaves de Registro autoejecutables ShellServiceObjectDelayLoad O22 Llaves de Registro autoejecutables SharedTaskScheduler

Secciones R0, R1, R2, R3 Esta seccin abarca la pgina de inicio y bsqueda del Internet Explorer. R0 es para las pginas de inicio y el asistente de bsqueda del IE. R1 es para las funciones de bsqueda de IE y otras caractersticas. R2 no es usado actualmente. R3 es para un Buscador de URL's. Mostrar algo parecido a esto: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ R2 - (this type is not used by HijackThis yet) R3 - Default URLSearchHook is missing

Secciones F0, F1, F2, F3

Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini o sus equivalentes en el registro. F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado por Windows 9X y anteriores designan qu programa actuar como shell para el sistema operativo. La Shell es el programa que carga el escritorio, controla la administracin de ventanas y permite que el usuario interacte con el sistema. Cualquier programa listado despus del shell statement ser cargado cuando Windows arranque, y actuar como la shell por defecto. Hay algunos programas que actan como un reemplazo vlido para la shell, pero generalmente no se usa ms. Windows 95 y 98 (Windows ME?), ambos usan el Explorer.exe como su shell por defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma lnea Shell =, como por ejemplo: Shell=explorer.exe programa_maligno.exe. Esta lnea har que ambos programas arranquen cuando Windows cargue. Los objetos de F0 siempre son malos, as que conviene arreglarlos. F0 - system.ini: Shell=Explorer.exe Abreme.exe F1 - win.ini: run=hpfsched F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado despus de run= o load= cargar cuando Windows cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas modernos no usan esta caracterstica ini, y si no ests usando un programa antiguo entonces sospecha. El load= era usado para cargar los drivers del hardware. Los objetos listado en F1 usualmente son programas muy viejos, pero que son seguros, as que puedes encontrar ms informacin del nombre del archivo para saber si es malo o bueno. Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que estn ubicadas en el registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan una funcin llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini en el registro, con llaves para cada lnea encontradas en el .ini. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisar la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leer las configuraciones desde ah. Puedes ver que esta llave est refiriendose al registro como si conteniera REG y entonces el archivo .ini al cual se est refiriendo el IniFileMapping.

Otra entrada comn encontrada en F2 es la entrada UserInit la cul corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit la cul se encuentra en Windows NT, 2000, XP y 2003. Esta llave especifca qu programa se debe cargar despus que un usuario se loguee en Windows. El programa por defecto para esta llave es: C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes, colores, etc. para tu nombre de usuario. Es posible aadir programas furtivos que inicien desde esta llave separando los programas con una coma. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\userinit.exe,C:\Windows\programa_maligno.exe. Esto har que ambos programas se ejecuten cuando te loguees y es un lugar comn para ejecutar troyanos, hijackers y spywares.

Llaves del Registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping, Archivos Usados: c:\windows\system.ini c:\windows\win.ini

Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe Something.exe Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe

En F0 si ves una lnea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces definitivamente deberas borrarlo. Generalmente puedes borrar estas entradas, pero recuerda consultar Google. Para las entradas F1 es recomendable que las busques en Google y as determinar si pertenecen a programas legales. Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue

estando bien, tambin puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces podra ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves explorer.exe, slo, entonces est bien, si no, como en el ejemplo de arriba, entonces podra ser troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google primero.

Secciones N1, N2, N3, N4 Estas secciones son para las pginas de inicio y motor de bsqueda por defecto de los navegadores Netscape y Mozilla. Estas entradas estn guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 estn guardadas en el archivo prefs.js en el directorio de programa el cul por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs.js. N1 corresponde a la pgina de inicio y motor de bsquedas por defecto de Netscape 4. N2 corresponde a la pgina de inicio y motor de bsquedas por defecto de Netscape 6. N3 corresponde a la pgina de inicio y motor de bsquedas por defecto de Netscape 7. N4 corresponde a la pgina de inicio y motor de bsquedas por defecto de Mozilla. Archivos usados: prefs.js

Seccin O1 Esta seccin corresponde al archivo de redireccin Hosts. El archivo hosts contiene la relacin de IP's con hostnames. Por ejemplo: 127.0.0.1 www.arwinianos.net Si tratas de ir a www.arwinianos.net, revisar el archivo hosts, ver la entrada y la convertir a la direccin IP 127.0.0.1 a pesar de la direccin correcta.

Algunos hijackers usan el archivo de redireccin hosts para redirigirte a ciertos sitios en lugar de otros. As, si alguien inserta una entrada como esta: 127.0.0.1 www.google.com y tratas de ir a www.google.com, sers redirigido a 127.0.0.1 la cul es tu propia computadora. Ejemplo del escaneo: O1 - Hosts: 192.168.1.1 www.google.com

Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y est guardado por defecto en los siguientes lugares dependiendo del Sistema operativo, a menos que elijas instalarlo en un ruta diferente. Operating System Location Windows 3.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

La localizacin del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath Si ves entradas como las mostradas arriba y no hay una razn especfica por la cul sepas que deban estar ah, puedes borrarlas con seguridad. Si ves que el archivo hosts est localizado en C:\Windows\Help\hosts, eso significa que ests infectado con el CoolWebSearch. Si notas que el archivo hosts no est en su ruta por defecto de tu sistema operativo, entonces usa HijackThis para arreglar esto que lo ms probable es que haya sido causado por un infeccin.

Tambin puedes descargar el programa Hoster, el cul te permite restaurar el archivo hosts por defecto en tu mquina. Para hace eso, descarga el programa Hoster y ejectalo. Cuando abra, has click en el botn "Restore Original Hosts" y luego cierra el programa Hoster.

Seccin O2 Esta seccin corresponde con los Browser Helper Objects (o BHO, en espaol algo as como: "Objetos que Ayudan al Navegador" ) . Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por spywares as como programas legtimos como Google Toolbar y Adobe Acrobat Reader. Investige cuando est decidiendo qu quitar y qu no quitar, pues algunos de ellos podran ser legtimos. Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Seccin O3 Esta seccin corresponde a las barras de herramientas del Internet Explorer. Estas son las barras de herramientas (toolbars) debajo de su barra de navegacin y men del IE. Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org para buscar la entrada o el nombre de esta barra de herramientas. Cuando consultes la lista, usa el CLSID, que es el nmero entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen informacin acerca de los BHO. Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo. Cuando arregles este tipo de entradas, HijackThis no borrar los objetos presentados en la lista. Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo listado.

Seccin O4 Esta seccin corresponde a las aplicaciones que estn presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automticamente cuando Windows inicia. Las llaves del registro mostradas aqu son vlidas para Windows XP, NT y 2000 (otros sistemas operativos ?). Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves del registro. Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular. Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario. Llaves del Registro del Arranque: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER. Una completa gua de ubicaciones de arranque y para qu son usadas puede verla aqu: http://www.bleepingcomputer.com/tutorials/tutorial44.html Directorios usados:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Cuando arreglas las entradas O4, HijackThis no borrar los archivos asociados con esta entrada. Debers borrarlos manualmente, usualmente reiniciando lo mquina y entrando en modo a prueba de fallos. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrar los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces ser borrado.

Seccin O5 Esta seccin corresponde a no poder acceder a las opciones de IE en el Panel de Control. Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.ini la cul est guardada (al menos para Windows XP) en C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles. Archivos de usuario: control.ini Ejemplo de la lista O5 - control.ini: inetcpl.cpl=no Si ves una lnea parecida como la de arriba quiz sea seal de que un software est tratando de dificultar el cambio de las configuraciones. A menos que se conozca una razn especfica, como que el administrador configur la poltica o SpyBot S&D coloc una restriccin, puedes usar HijackThis para arreglarlo.

Seccin O6 Esta seccin corresponde a una rstriccin, por parte del administrador, de hacer cambios en las opciones o en la pgina de inicio del Internet Explorer por medio de ciertas configuraciones en el registro. Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Estas opciones slo aparecen si su administrador las configur a propsito o si usted us la opcin "SpyBot Home Page and Option Lock" de la seccin Inmunizar del SpyBot.

Seccin O7 Esta seccin corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro. Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Ejemplo de Lista O7 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1 Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propsito, por lo que arreglarlo con HijackThis puede romper normas corporativas. Si eres el administrador y esta opcin ha sido activada sin tu permiso, entonces usa HijackThis para arreglarlo.

Seccin O8 Esta seccin corresponde a los objetos extras encontrados en el Men Contextual del Internet Explorer. Esto significa que vers las opciones que normalmente ves cuando das click derecho en alguna pgina web que ests viendo en tu navegador. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Ejemplo de Lista O8 - Extra context menu item: &Google Search res://c:\windows\GoogleToolbar1.dll/cmsearch.html El listado para estas entradas mostrar los objetos que aparecen en el men contextual cuando das click derecho, y qu programa es usado cuando das click en esa opcin. Algunas, como "Browser Pal" deberan ser borradas siempre, y el resto deberas buscarlas

en Google antes de hacer cualquier cosa. Un ejemplo de un programa legtimo que podramos encontrar ah sera la Google Toolbar. Cuando arregles este tipo de entradas, HijackThis no borrar los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Seccin O9 Esta seccin corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (tems) en el men Herramientas del IE que no son parte de la instalacin por defecto. Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones Ejemplo de la Lista O9 - Extra Button: AIM (HKLM) Si no necesitas estos botones o los tems del men o los reconoces como malwares, puedes arreglarlas con seguridad. Cuando arregles este tipo de entradas, HijackThis no borrar los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Seccin O10 Esta seccin corresponde a los Hijackers del Winsock, tambin conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementacin Winsock 2 en tu computadora. Desde que los LSPs estn encadenados, cuando el Winsock es usado, los datos tambin son transportados a travs de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el trfico que se genera en tu conexin a Internet. Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet. Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing

Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto despus de borrar el LSP problemtico. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cul puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberas consultar a un experto cuando arregles estos errores. Tambin puedes usar LSPFix para arreglar esto. SpyBot generalmente puede arreglar esto pero asegrate de que tienes la ltima versin, ya que las antiguas tienen problemas. Tambin hay una herramienta diseada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no vlidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).

Seccin O11 Esta seccin corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaa de Opciones Avanzadas de Opciones de Internet en el Internet Explorer. Si buscas en el men de Herramientas >> Opciones de Internet vers la pestaa Opciones Avanzadas. Es posible que aparezca ah un nuevo grupo de opciones agregando una entrada bajo una llave del registro. LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Ejemplo de la Lista O11 - Options group: [CommonName] CommonName De acuerdo con Merijn, creador de HijackThis (y tambin de CWShredder, StartupList, etc.), slo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberas usar Google para investigar un poco.

Seccin O12 Esta seccin corresponde a los Plug-ins para Internet Explorer. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legtimos disponibles como por ejemplo el visor de archivos PDF.

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Muchos de los plug-ins son legtimos, as que deberas buscar en Google aqul que no reconoces antes de borrarlo. Un conocido plug-in que deberas borrar es el Onflow plug-in que tiene la extensin de .OFB. Cuando arregles este tipo de entradas con HijackThis, HijackThis querr borrar el archivo listado. Hay ocasiones en que el archivo quiz est en uso incluso si el Internet Explorer est cerrado. Si el archivo contina existiendo despus de que lo hayas arreglado con HijackThis, es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.

Seccin O13 Esta seccin corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuracin en Windows que especifca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu eleccin editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irs a http://ehttp.cc/?www.google.com.mx, el cul es en realidad el sitio web para CoolWebSearch. Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Defa ultPrefix\ Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/? Si ests experimentando problemas similares al problema de arriba, deberas correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu mquina. Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis

para arreglar esta entrada cuando la encuentres.

Seccin O14 Esta seccin corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venan por defecto. Ese fichero est guardado en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que sern usadas. Cuando reseteas una configuracin, se leer el fichero y cambiar las configuraciones que estn en el archivo. Si un hijacker cambia la informacin en ese fichero, entonces te estars reinfectando cuando resetees las configuraciones, porque leer la informacin incorrecta del fichero iereset.inf. Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Por favor est al tanto de este fichero (en dado caso de que aparezca en el log), que es posible que el cambio sea legtimo, que lo haya modificado la manufacturera de computadoras o el administrador de la mquina. Si no reconoces la direccin entonces deberas arreglarlo.

Seccin O15 Esta seccin corresponde con los sitios indeseados en la Zona de Sitios de Confianza. La seguridad de Internet Explorer est basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en trminos de scripts y aplicaciones que pueden correr mientras se est usando esa zona. Es posible agregar dominios a zonas particulares, as que si ests navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirs que se ejecuten scripts, algunos potencialmente peligrosos, de algn sitio web. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net

Entonces, si alguna vez ves algo aqu generalmente debes removerlo a menos que reconozcas la URL como una que tu compaa use. La entrada ms comn que encontrars aqu ser free.aol.com, el cul puedes arreglar cuando quieras.

Seccin O16 Esta seccin corresponde a los objetos ActiveX, tambin conocidos como Downloaded Program Files (Archivos de Programa Descargados). Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. Estos objetos estn guardados en C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cul es una cadena larga de nmeros entre llaves {}. Existen muchos controles ActiveX legtimos como este de ejemplo, el cul es un visor iPix. Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) http://www.ipix.com/download/ipixx.cab Si ves nombres o direcciones que no reconozcas, deberas buscar en Google para ver si son o no legtimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrs mayor problema que descargarlos nuevamente cuando entres de nuevo a la pgina desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de compaas que usan objetos ActiveX as que ten cuidado. Siempre borra las entradas O16 que tengan palabras como sex, porn, dialer, free, casino, adult, etc. Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar a travs de su base de datos para localizar objetos ActiveX peligrosos. Usa SpywareBlaster para proteger tu computadora de spyware, hijackers y malware. Cuando arregles entradas O16, HijackThis intentar borrarlas del disco duro. Normalmente esto no ser problema, pero hay ocasiones en que HijackThis no ser capaz de borrar el archivo. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces brralo.

Seccin O17 Esta seccin corresponde al dominio Lop.com. Cuando tu vas a un sitio web usando un dominio, como www.arwinianos.net, en lugar de una direccin IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una direccin IP parecida a 200.56.15.85. El hackeo de dominios sucede

cuando el hijacker cambia los servidores DNS en tu mquina para que apunten a sus propios servidores, donde pueden dirigirte a cualquier sitio que ellos quieran. Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te redirijan al sitio de su eleccin. Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compaa que te proporciona conexin a Internet, y los servidores DNS no pertenecen a tu ISP o compaa, entonces deberas usar HijackThis para arreglar esto. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qu compaa le pertecen.

Seccin O18 Esta seccin corresponde a los protocolos extra y protocolos de hijackers. Este mtodo es usado para cambiar los controladores de protocolo estndar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora enva y recibe informacin. Llaves del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter HijackThis primero lee la seccin de protocolos del registro en busca de protocolos noestndar. Cuando encuentra uno muestra el CLSID para mayor informacin as como la ruta del archivo. Ejemplo de Lista O18 - Protocol: relatedlinks - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll Los ms comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis. Usa Google para investigar si los archivos son legtimos. Tambin puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.

Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a ste. Deberas de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente.

Seccin O19 Esta seccin corresponde al hijacker de las hojas de estilo del usuario. Una hoja de estilo es una plantilla para saber cmo mostrar las capas, colores y fuentes que se visualizan en una pgina HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cul fue diseada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial. Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo. Cuando arregles este tipo de entradas, HijackThis no borrar los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.

Seccin O20 Esta seccin corresponde a los archivos que se cargan a travs del valor del registro AppInit_DLLs. El valor del registro AppInitDLLs contiene una lista de dlls (libreras) que se cargarn cuando user32.dll est cargando. Muchos ejecutables de Windows usan la librera user32.dll, lo que significa que cualquier DLL que est listada en la llave del registro AppInit_DLLs tambin ser cargada. Esto hace que sea muy difcil remover la DLL ya que estar cargando con mltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll tambin es usado en procesos que inician automticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs sern cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a s misma antes que tengamos acceso al sistema.

Este mtodo es conocido al ser usado por una variante de CoolWebSearch y slo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver ms fcil esta DLL. Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll Existen muy pocos programas legtimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aqu. Usa Google para investigar si los archivos son legtimos. Tambin puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O20 List Cuando arregles este tipo de entradas, HijackThis no borrar los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.

Seccin O21 Esta seccin corresponde a los archivos que se cargan a travs de la llave del registro ShellServiceObjectDelayLoad. Esta llave contiene valores similares a los de la llave Run. La diferencia es que sa en lugar de apuntar al archivo mismo, sta seala al InProcServer del CLSID, el cul contiene la informacin acerca del DLL en particular que se est usando. Los archivos bajo esta llave son cargados automticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, sta siempre se va a cargar, as tambin cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervencin humana. Un hijacker que usa el mtodo puede reconocerse por las siguientes entradas: Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceO bjectDelayLoad Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll HijackThis usa una lista blanca interna para no mostrar las entradas legtimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estndar y deberas considerarlo como sospechoso. Como siempre has una bsqueda en Google de cualquier DLL listada en estas llaves. Tambin puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O21 List Cuando arregles este tipo de entradas, HijackThis no borrar los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.

Seccin O22 Esta seccin corresponde a los archivos que se cargan a travs del valor del registro SharedTaskScheduler. Las entradas en este registro se ejecutan automticamente cuando inicias Windows. A la fecha slo CWS.Smartfinder usa esta llave. Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ SharedTaskScheduler Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - c:\windows\system32\mtwirl32.dll

fuente: http://www.bleepingcomputer.com/tutorials/tutorial81.html#1