Tutorial para HijackThis [Muy Bueno

]
PARA LOS QUE NO LO SEPAN, CON HIJACKTHIS PODES ARREGLAR TU PC DE UN MONTON DE ATAQUES, como Hackers, Spywares y adwares, de un modo muy muy muy seguro de que lo quitas

Cómo usar HijackThis para remover hijackers, spywares y adwares. Introducción HijackThis es una utilidad que produce un listado de ciertas configuraciones halladas en tu computadora. HijackThis escaneará tu registro y varios otros archivos de entrada que son similares a los que un programa spyware o hijacker dejan huella. Interpretar esos resultados podría ser engañoso, ya que hay muchos programas legítimos que están instalados en su sistema operativo de una manera similar a como lo hacen los hijackers. Así que debes ser extremadamente cuidadoso arreglando cualquier problema con el HijackThis. No puedo dejar de presionar en lo importante que es la advertencia.

Como usar HijackThis El primer paso es descargar el HijackThis a la computadora en un lugar donde sepas que lo encontrarás. No necesita instalarse, así que recuerda donde lo dejas para usarlo en el futuro. Puedes descargar el HijackThis aquí: http://www.merijn.org/files/HiJackThis_v2.exe

Crea una carpeta en donde poner el HijackThis. Es importante que tenga su propia carpeta para que pueda usarla para crear copias de respaldo. Si lo ejecutas desde un archivo comprimido, no se podrán crear respaldos. Una vez descargado, da doble click en el icono del HijackThis.exe. Aparecerá una ventana como la siguiente:

Primero da click en el botón "Config", y aparecerán las opciones como lo muestra la captura. Confirma las 4 últimas opciones y desmarca la primera. Por defecto vienen así.

Cuando hayas seleccionado esas opciones, presiona "Back" y continúa con el resto del tutorial. Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa como se muestra a continuación.

En este punto ya debes de tener una lista de todos los elementos encontrados por HijackThis. Si lo ves muy confuso y difícil para ti, entonces clickea en el botón "Save Log", y salva el log en tu computadora, de preferencia en la misma carpeta. Para abrir un log y pegarlo en un foro, sigue estos pasos: 1. Abre el Notepad (o Block de Notas). 2. Click en "Archivo" >> "Abrir" y busca el directoriodonde tienes guardado el log. 3. Cuando llegues elije el log y ábrelo. 4. Presiona en "Edición" >> "Seleccionar todo" 5. Presiona "Edición" >> "Copiar" 6. Ve a algún foro y pega el log, describiendo la situación y los métodos que ya has intentado.

Al final del documento hemos incluído algunas formas básicas de interpretar la información en esos archivos logs. presiona el botón "Fix Checked". Si has configurado el HijackThis como muestra este tutorial. Te aparecerá una pantalla semejante a esta: Cuando hayas buscado información de los objetos listados. Una vez que hayas seleccionado los objetos que quieras remover. y sientas que tu conocimiento sea suficiente para continuar. Lo que no significa que esta información sea suficiente para todas las decisiones . como lo muestra la siguiente captura. Cómo restaurar objetos borrados accidentalmente: HijackThis viene con un herramienta de respaldo y un procedimiento de restauración en caso de que erróneamente hayas borrado una entrada que es legal.Si deseas ver más información acerca de los objetos listados. . Presiona "Yes" o "No" dependiendo de tu elección. HijackThis te preguntará si confirmas remover esos objetos. Si la opción de configuración "Make backups before fixing items" esta marcada. entonces los procedimientos de restauración no trabajarán. pero debería ayudarte a determinar qué es legítimo y que no. mira la lista y selecciona los objetos que desees remover marcando las casillas correspondientes. Si has ejecutado HijackThis desde una carpeta temporal. da click en alguno de ellos y presiona el botón "Info on selected ítem". entonces serás capaz de restaurar las entradas que hayas borrado anteriormente.

R2. Una vez que acabes la restauración de aquellos objetos que fueron arreglados equivocadamente. N4 URL's de páginas de inicio y búsqueda de Netscape y Mozilla O1 Archivo redireccionador de hosts O2 BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador) O3 Barras de Herramientas del Internet Explorer O4 Programa autoejecutables desde el registro O5 Iconos no visibles de IE en el Panel de Control O6 Opciones del IE con acceso restringido por el administrador O7 Acceso restringido al Regedit por el administrador O8 Objetos extras del IE O9 Botones extras en el botón principal de la barra de herramientas del IE o objetos extra en el menú "Herramientas" O10 Hijacker del Winsock O11 Grupo extra en la ventana de Opciones Avanzadas del IE . N2. R3 URL's de páginas de inicio y búsqueda del Internet Explorer F0. como en la imagen siguiente. A continuación se presenta un lista de los nombres de sección y su descripción. F3 Programas autoejecutables N1. N3. R1. puedes cerrar el programa. Obtendrás un listado de todos los objetos que han sido arreglados anteriormente y con la opción de restaurarlos. Cómo interpretar los resultados del escaneo Esta sección te ayudará a diagnosticar los resultados del escaneo del HijackThis. Una vez que restaures un objeto mostrado en esta lista. F2. Cada línea de la lista de resultados del HijackThis empieza con un nombre de sección.exe Si ejecutas HijackThis y clickeas en "Config". tomados del sitio de Merijn's (el creador de HijackThis).HijackThis hará una copia de respaldo de cada entrada que arregles en un directorio llamado "Backups". y después en el botón "Backup". en la misma localización del HijackThis. F1. si vuelves a escanear con el HijackThis. la entrada volverá a aparecer. R0.

F1.google.Default_Page_URL = http://www. Mostrará algo parecido a esto: R0 .google.com/ R1 .com O18 Protocolos extras y protocolo de Hijackers O19 Hijacker de Hojas de Estilo O20 Valores de Registro autoejecutables AppInit_DLLs O21 Llaves de Registro autoejecutables ShellServiceObjectDelayLoad O22 Llaves de Registro autoejecutables SharedTaskScheduler Secciones R0.HKCU\Software\Microsoft\Internet Explorer\Main. R3 es para un Buscador de URL's. R1 es para las funciones de búsqueda de IE y otras características. R0 es para las páginas de inicio y el asistente de búsqueda del IE. R2.Start Page = http://www.(this type is not used by HijackThis yet) R3 .HKLM\Software\Microsoft\Internet Explorer\Main.O12 Plug-ins para el IE O13 Hijacker del prefijo por defecto de IE O14 Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web) O15 Sitio no deseado en la Zona de Sitios de Confianza O16 Objetos ActiveX (Archivos de Programa Descargados) O17 Hijacker Lop.com/ R2 . R3 Esta sección abarca la página de inicio y búsqueda del Internet Explorer. F2. R1. F3 . R2 no es usado actualmente.Default URLSearchHook is missing Secciones F0.

y si no estás usando un programa antiguo entonces sospecha. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma línea Shell =.system.ini al cual se está refiriendo el IniFileMapping.ini y win. 2000 y NT de Windows.Estas secciones abarcan aplicaciones que se cargan desde los archivos .exe. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo . IniFileMapping coloca todo el contenido de un archivo . Muchos de los programas modernos no usan esta característica ini. Hay algunos programas que actúan como un reemplazo válido para la shell.ini. Run= fue muy usado en tiempos de Windows 3.ini.X usaba Progman. F0 . pero generalmente no se usa más. system.exe programa_maligno.win. así que puedes encontrar más información del nombre del archivo para saber si es malo o bueno. pero que están ubicadas en el registro para las versiones XP.ini es usado por Windows 9X y anteriores designan qué programa actuará como shell para el sistema operativo. y actuará como la shell por defecto.exe Abreme. El load= era usado para cargar los drivers del hardware. Windows 95 y 98 (¿Windows ME?).INI.ini: Shell=Explorer. Los objetos listado en F1 usualmente son programas muy viejos. Para compensar la compatibilidad usan una función llamada IniFileMapping. Las entradas F2 y F3 corresponden al equivalente de F0 y F1. . Puedes ver que esta llave está refiriendose al registro como si conteniera REG y entonces el archivo . Windows 3.ini. controla la administración de ventanas y permite que el usuario interactúe con el sistema. este primero revisará la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\IniFileMapping. ambos usan el Explorer.ini. para un mapeo . Cualquier programa listado después del shell statement será cargado cuando Windows arranque. Esta línea hará que ambos programas arranquen cuando Windows cargue. Esas versiones de Windows generalmente no usan los archivos system. Los objetos de F0 siempre son malos. La Shell es el programa que carga el escritorio. Cualquier programa listado después de run= o load= cargará cuando Windows cargue.ini ni win. y si encuentra algo leerá las configuraciones desde ahí.ini: run=hpfsched F1 corresponde a las entradas Run= o Load= en win.ini en el registro. F0 corresponde al Shell = statement en System.ini o sus equivalentes en el registro. La Shell = statement en system. 95 y 98 y mantiene compatibilidad con antiguos programas.exe como su shell.ini. pero que son seguros.exe como su shell por defecto.1. como por ejemplo: Shell=explorer. así que conviene arreglarlos.exe F1 .ini. con llaves para cada línea encontradas en el .

Si ves UserInit=userinit. 2000. etc.ini Ejemplo mostrando F0 .exe. para tu nombre de usuario.exe Ejemplo mostrando F2 . Generalmente puedes borrar estas entradas. Archivos Usados: c:\windows\system.C:\Windows\programa_maligno. pero recuerda consultar Google.ini: Shell=explorer.exe. Para F2.exe. fuentes.exe En F0 si ves una línea que sea parecida a Shell=Explorer. Llaves del Registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping. Es posible añadir programas furtivos que inicien desde esta llave separando los programas con una coma.exe cualquier_cosa.exe Ejemplo mostrando F2 . XP y 2003.exe Something. entonces puedes dejar esa entrada por la paz.system. con o sin nddagnt. sigue .exe beta. si ves UserInit=userinit.REG:system. como en el ejemplo de arriba.Otra entrada común encontrada en F2 es la entrada UserInit la cuál corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit la cuál se encuentra en Windows NT.ini c:\windows\win. hijackers y spywares.ini: Shell=Explorer.exe (sin coma). Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\userinit.exe es un programa que restaura tu perfil.nddeagnt.exe. Para las entradas F1 es recomendable que las busques en Google y así determinar si pertenecen a programas legales. Esto hará que ambos programas se ejecuten cuando te loguees y es un lugar común para ejecutar troyanos. colores.exe. Esta llave especifíca qué programa se debe cargar después que un usuario se loguee en Windows.exe. entonces definitivamente deberías borrarlo.ini: UserInit=userinit. Userinit.REG:system. El programa por defecto para esta llave es: C:\Windows\System32\userinit.

El archivo hosts contiene la relación de IP's con hostnames.estando bien. verá la entrada y la convertirá a la dirección IP 127.exe.js Sección O1 Esta sección corresponde al archivo de redirección Hosts. Archivos usados: prefs.js.0. entonces podría ser potencialmente un troyano u otro malware.0. Estas entradas están guardadas en el archivo prefs. N4 Estas secciones son para las páginas de inicio y motor de búsqueda por defecto de los navegadores Netscape y Mozilla.arwinianos.0. ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data.1 www.1 a pesar de la dirección correcta.net Si tratas de ir a www. entonces está bien. N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4. N2 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 6. Por ejemplo: 127. si no. . si ves explorer.arwinianos. Lo mismo va para F2 Shell=. sólo.exe.0. revisará el archivo hosts. Generalmente puedes borrar estas entradas.net. N3 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 7. Si ves otra entrada en userinit. también puedes dejarlo por la paz. Las entradas de Netscape 4 están guardadas en el archivo prefs. entonces podría ser troyano o malware. como en el ejemplo de arriba. Secciones N1. pero no olvides consultar Google primero.js en el directorio de programa el cuál por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs. N2. N3.js. N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla.

google. . entonces usa HijackThis para arreglar esto que lo más probable es que haya sido causado por un infección.com Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y está guardado por defecto en los siguientes lugares dependiendo del Sistema operativo.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS La localización del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí.com y tratas de ir a www.Algunos hijackers usan el archivo de redirección hosts para redirigirte a ciertos sitios en lugar de otros.168. eso significa que estás infectado con el CoolWebSearch.0.google.1. Operating System Location Windows 3. si alguien inserta una entrada como esta: 127.0. a menos que elijas instalarlo en un ruta diferente.1 www.google. Ejemplo del escaneo: O1 .0.0.1 la cuál es tu propia computadora.com. serás redirigido a 127. puedes borrarlas con seguridad.1 www. Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts. Así. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo.Hosts: 192.

en español algo así como: "Objetos que Ayudan al Navegador" ) . que es el número entre las llaves en la lista.También puedes descargar el programa Hoster. Cuando arregles este tipo de entradas. Investige cuando esté decidiendo qué quitar y qué no quitar.dll Sección O3 Esta sección corresponde a las barras de herramientas del Internet Explorer. Cuando abra. Para hace eso. Ejemplo de la lista O2 .BHO: NAV Helper . Cuando consultes la lista.C:\Program Files\Norton Antivirus\NavShExt. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO. descarga el programa Hoster y ejecútalo.. Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar Ejemplo de la lista O3 . Estas son las barras de herramientas (toolbars) debajo de su barra de navegación y menú del IE. Para hacerlo es recomendable que reinicies en modo seguro.. ejecuta HijackThis de nuevo y borres lo listado.C:\Program Files\Norton Antivirus\NavShExt. pues algunos de ellos podrían ser legítimos. Si encuentras que no es algo que quieras en tu computadora.Toolbar: Norton Antivirus . . Sección O2 Esta sección corresponde con los Browser Helper Objects (o BHO. has click en el botón "Restore Original Hosts" y luego cierra el programa Hoster. Los BHO son plug-ins que extienden la funcionalidad de tu navegador.org para buscar la entrada o el nombre de esta barra de herramientas. Pueden ser usados por spywares así como programas legítimos como Google Toolbar y Adobe Acrobat Reader. HijackThis no borrará los objetos presentados en la lista. el cuál te permite restaurar el archivo hosts por defecto en tu máquina. puedes quitarlo.dll Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo. usa el CLSID.

Llaves del Registro del Arranque: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER. NT y 2000 (otros sistemas operativos ¿?). Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario. refleja una de las llaves enumeradas abajo en la tabla de llaves del registro.html Directorios usados: . Una completa guía de ubicaciones de arranque y para qué son usadas puede verla aquí: http://www.bleepingcomputer. Las llaves del registro mostradas aquí son válidas para Windows XP.com/tutorials/tutorial44. Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular.Sección O4 Esta sección corresponde a las aplicaciones que están presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automáticamente cuando Windows inicia. Si parece una llave del registro.

Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.HKLM\. HijackThis no borrará los archivos asociados con esta entrada.\Run: [nwiz] nwiz. puedes usar HijackThis para arreglarlo.ini: inetcpl. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles.ini. Archivos de usuario: control. Sección O5 Esta sección corresponde a no poder acceder a las opciones de IE en el Panel de Control.control.cpl=no Si ves una línea parecida como la de arriba quizá sea señal de que un software está tratando de dificultar el cambio de las configuraciones.. como que el administrador configuró la política o SpyBot S&D colocó una restricción.ini la cuál está guardada (al menos para Windows XP) en C:\Windows\control.Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup Ejemplo de la lista O4 . HijackThis borrará los accesos directos en esas entradas. Las entradas Global Startup y Startup trabajan un poco diferente. Deberás borrarlos manualmente.ini Ejemplo de la lista O5 . Sección O6 Esta sección corresponde a una rstricción. Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions . de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro. usualmente reiniciando lo máquina y entrando en modo a prueba de fallos. A menos que se conozca una razón específica.exe /install Cuando arreglas las entradas O4. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado. pero no los archivos a los que apuntan. por parte del administrador.

como "Browser Pal" deberían ser borradas siempre. por lo que arreglarlo con HijackThis puede romper normas corporativas.dll/cmsearch. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Ejemplo de Lista O8 . Algunas.Extra context menu item: &Google Search res://c:\windows\GoogleToolbar1.html El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho. Si eres el administrador y esta opción ha sido activada sin tu permiso. entonces usa HijackThis para arreglarlo. Sección O8 Esta sección corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.Ejemplo de Lista O6 .HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Estas opciones sólo aparecen si su administrador las configuró a propósito o si usted usó la opción "SpyBot Home Page and Option Lock" de la sección Inmunizar del SpyBot. Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador. Sección O7 Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro. Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Ejemplo de Lista O7 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1 Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propósito. y el resto deberías buscarlas . y qué programa es usado cuando das click en esa opción.

Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora.Broken Internet access because of LSP provider 'spsublsp. puedes llegar a perder tu acceso a Internet. Extrema precauciones cuando borres estos objetos. Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones Ejemplo de la Lista O9 .Extra Button: AIM (HKLM) Si no necesitas estos botones o los ítems del menú o los reconoces como malwares.dll' missing . Sección O9 Esta sección corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto. Ejemplo de la Lista O10 . Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas). también conocidos como LSP (Layered Service Provider). Sección O10 Esta sección corresponde a los Hijackers del Winsock.en Google antes de hacer cualquier cosa. puedes arreglarlas con seguridad. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas). HijackThis no borrará los archivos que vienen mencionados en la lista. Cuando arregles este tipo de entradas. Desde que los LSPs están encadenados. los datos también son transportados a través de cada LSP en la cadena. HijackThis no borrará los archivos que vienen mencionados en la lista. cuando el Winsock es usado. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar. si es removido sin el arreglo adecuado en la cadena. Cuando arregles este tipo de entradas.

Muchos escaneadores de virus empiezan a escanear virus. Deberías consultar a un experto cuando arregles estos errores. la cuál puede ser similar al ejemplo de arriba.). También puedes usar LSPFix para arreglar esto. puedes removerlo con seguridad. SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar.com/members/zupe/lsps. Sección O11 Esta sección corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer. llamada LSPFix (http://www. StartupList.org/lspfix. ya que las antiguas tienen problemas.. Si ves CommonName en la lista. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia. troyanos. Existen muchos plug-ins legítimos disponibles como por ejemplo el visor de archivos PDF. etc. al nivel del Winsock.html). Sección O12 Esta sección corresponde a los Plug-ins para Internet Explorer. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro. Si ves otra entrada deberías usar Google para investigar un poco. aunque de hecho el Internet sigue trabajando. etc. Esto puede causar que HijackThis vea un problema y muestre una advertencia.Options group: [CommonName] CommonName De acuerdo con Merijn.angeltowns.htm). El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. creador de HijackThis (y también de CWShredder. para agregarle funcionabilidad al navegador.cexx. Si buscas en el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. . Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www. LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Ejemplo de la Lista O11 . sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName.

Sección O13 Esta sección corresponde a un hijacker del prefijo por defecto del Internet Explorer. Prefix: http://ehttp. Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Defa ultPrefix\ Ejemplo de Lista O13 . Si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis. deberías correr CWShredder.cc/? Si estás experimentando problemas similares al problema de arriba. Si CWShredder no encuentra o arregla el problema.mx.cc/?. el cuál es en realidad el sitio web para CoolWebSearch.com.google. como el prefijo por defecto. HijackThis querrá borrar el archivo listado. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. como www. etc. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Ejemplo de la Lista O12: Plugin for . así que deberías buscar en Google aquél que no reconoces antes de borrarlo.WWW. que son manejados. en realidad irás a http://ehttp. entonces puedes usar el HijackThis .cc/?www.dll Muchos de los plug-ins son legítimos.google. es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.OFB. Eso significa que cuando te conectes a una URL. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Cuando arregles este tipo de entradas con HijackThis. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://.mx. Un conocido plug-in que deberías borrar es el Onflow plug-in que tiene la extensión de .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.com. Por defecto Windows agrega http:// al principio. ftp://.

Ejemplo de Lista O14 .net Entonces. Si un hijacker cambia la información en ese fichero.para arreglar esta entrada cuando la encuentres. La entrada más común que encontrarás aquí será free. de algún sitio web. . entonces permitirás que se ejecuten scripts.Trusted Zone: http://www. si alguna vez ves algo aquí generalmente debes removerlo a menos que reconozcas la URL como una que tu compañía use. entonces te estarás reinfectando cuando resetees las configuraciones. Si no reconoces la dirección entonces deberías arreglarlo. La seguridad de Internet Explorer está basada en un conjunto de zonas.IERESET.com Por favor esté al tanto de este fichero (en dado caso de que aparezca en el log).com. Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venían por defecto. Sección O15 Esta sección corresponde con los sitios indeseados en la Zona de Sitios de Confianza. que lo haya modificado la manufacturera de computadoras o el administrador de la máquina.searchalot.aol. se leerá el fichero y cambiará las configuraciones que estén en el archivo. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden correr mientras se está usando esa zona. Sección O14 Esta sección corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web).arwinianos. así que si estás navegando en un dominio que es parte de una zona de baja seguridad. Ese fichero está guardado en C:\Windows\inf\iereset. porque leerá la información incorrecta del fichero iereset.INF: START_PAGE_URL=http://www. Cuando reseteas una configuración. el cuál puedes arreglar cuando quieras. que es posible que el cambio sea legítimo.inf.inf y contiene todas las configuraciones por defecto que serán usadas. algunos potencialmente peligrosos. Es posible agregar dominios a zonas particulares. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Ejemplo de Lista O15 .

Cuando arregles entradas O16.arwinianos. no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste. Borrando los objetos ActiveX de tu computadora. HijackThis intentará borrarlas del disco duro. dialer. porn. Estos objetos están guardados en C:\windows\Downloaded Program Files. puedes arreglarlas. Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos.DPF: (iPix ActiveX Control) http://www. pero hay ocasiones en que HijackThis no será capaz de borrar el archivo.85. Siempre borra las entradas O16 que tengan palabras como sex.com. Puedes descargarlo y buscar a través de su base de datos para localizar objetos ActiveX peligrosos. casino. Si sientes que no lo son. deberías buscar en Google para ver si son o no legítimas. free. adult.net. como www.ipix. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. etc. tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces bórralo. Usa SpywareBlaster para proteger tu computadora de spyware.56.Sección O16 Esta sección corresponde a los objetos ActiveX. Ejemplo de Lista O16 . Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. El hackeo de dominios sucede . Cuando tu vas a un sitio web usando un dominio. Normalmente esto no será problema. hijackers y malware. también conocidos como Downloaded Program Files (Archivos de Programa Descargados).15. Existen muchos controles ActiveX legítimos como este de ejemplo. Ten en cuenta que hay muchas aplicaciones de compañías que usan objetos ActiveX así que ten cuidado.cab Si ves nombres o direcciones que no reconozcas. el cuál es un visor iPix.com/download/ipixx. en lugar de una dirección IP. Sección O17 Esta sección corresponde al dominio Lop.

mx a sus servidores DNS. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información. Sección O18 Esta sección corresponde a los protocolos extra y protocolos de hijackers. te redirijan al sitio de su elección. entonces deberías usar HijackThis para arreglar esto.HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.google. y Lop.69. ellos pueden hacer que cuando vayas a www. Related Links.175 Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet.com.dll Los más comunes que hacen esto son CoolWebSearch.147.com.mx.146. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.cuando el hijacker cambia los servidores DNS en tu máquina para que apunten a sus propios servidores. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qué compañía le pertecen. .C:\PROGRA~1\COMMON~1\MSIETS\msielink. Si ves estos nombres puedes arreglarlos con HijackThis. Usa Google para investigar si los archivos son legítimos. Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. donde pueden dirigirte a cualquier sitio que ellos quieran. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.com.Protocol: relatedlinks .57.14.57. Agregando google. Ejemplo de Lista O18 . Ejemplo de Lista O17 . Llaves del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter HijackThis primero lee la sección de protocolos del registro en busca de protocolos noestándar. y los servidores DNS no pertenecen a tu ISP o compañía.

Sección O19 Esta sección corresponde al hijacker de las hojas de estilo del usuario. colores y fuentes que se visualizan en una página HTML. El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32. Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Ejemplo de Lista O19 . lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada.Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a éste. muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos. Sección O20 Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos. la cuál fue diseñada para ayudar a los usuarios. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema. Una hoja de estilo es una plantilla para saber cómo mostrar las capas.User style sheet: c:\WINDOWS\Java\my. Cuando arregles este tipo de entradas.dll.css Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo. .dll está cargando. Este tipo de hijacking sobreescribe la hoja de estilo por defecto. Deberías de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente. El archivo user32. y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial. Muchos ejecutables de Windows usan la librería user32. HijackThis no borrará los archivos listados.

puede ver más fácil esta DLL. HijackThis no borrará los archivos listados. Los archivos bajo esta llave son cargados automáticamente por Explorer. La diferencia es que ésa en lugar de apuntar al archivo mismo.exe cuando tu computadora inicia. También puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O20 List Cuando arregles este tipo de entradas. Un hijacker que usa el método puede reconocerse por las siguientes entradas: Ejemplo de Lista: R0 . Como Explorer. Sección O21 Esta sección corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos. ésta siempre se va a cargar. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana. el cuál contiene la información acerca del DLL en particular que se está usando. pero debes proceder con cautela cuando borres los archivos que son listados aquí.Start Page = C:\WINDOWS\secure. y seleccionando Modificar dato binario.HKCU\Software\Microsoft\Internet Explorer\Main.Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor.html . Usa Google para investigar si los archivos son legítimos. así también cargando los archivos bajo esta llave. Esta llave contiene valores similares a los de la llave Run. Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows Ejemplo de Lista O20 . por otra parte. ésta señala al InProcServer del CLSID.exe es la shell para tu computadora. Registrar Lite .AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll Existen muy pocos programas legítimos que usan esta llave del registro.

. HijackThis no borrará los archivos listados.SSODL: System . Las entradas en este registro se ejecutan automáticamente cuando inicias Windows.c:\windows\system32\mtwirl32.com/tutorials/tutorial81. Como siempre has una búsqueda en Google de cualquier DLL listada en estas llaves. Si ves un listado para esto. entonces no es algo estándar y deberías considerarlo como sospechoso. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.dll fuente: http://www.html#1 .Smartfinder usa esta llave.C:\WINDOWS\system32\system32. Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ SharedTaskScheduler Ejemplo de Lista O22 .R1 .dll HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta llave. A la fecha sólo CWS.HKCU\Software\Microsoft\Internet Explorer\Main. También puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O21 List Cuando arregles este tipo de entradas.Default_Page_URL = C:\WINDOWS\secure.bleepingcomputer.html Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceO bjectDelayLoad Ejemplo de Lista O21 . Sección O22 Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.SharedTaskScheduler: (no name) .

.:.7.7.7484193/48:77039'07843!4..:3 :8:.8.079. $0.5.8..7484193/48:77039'07843#:3$07..6:F843:8.0 $419.7.:J.3.8..70.:.7484193/48:77039'07843#:3 &$419.20390./0.70./.84507.6:07:8:.3/48! %  49748 88902.80./48.70.70.07./.70..4308/0.:.47708543/0....43086:0089E357080390803..08 &$419.0854707#:3 $419.08 $419.70..70...08 3.0 $419.:.7.74035.3/48040.:..E/./0* *&085.08....08 3.7484193/48:77039'07843#:3$07..48    $5.08/070897424897..70..7484193/48:77039'07843#:3$07.77.6:J843.037010703..74   .08/0#08974/077.9.08030 708974.70.0 $419....79:589484-0948.0 &$419.0/0708974 7010.7   4-.70.43086:0.70.70.79.08/0708974   $9..0 &$419.9:7../.0854707#:3 &$419.0:3..7484193/48%:77039'078433443&80739   49.8.9.7484193/48:77039'07843#:3 3.-..36:05.O3.. *&##%*&$#   &3.6:J 995.7484193/48:77039'07843#:3 3..85.3/43/483.4843..79:589484-0948.7484193/48:77039'07843#:3 $419.7.8.7484193/48:77039'07843#:3$07.  ...5...7484193/48:77039'07843!4./0 ./0:-.8.O3   89..42509.7509..7..43086:0.-70.8/03.:3.403.037010703.70.:942E9.85:0/0.7484193/48:77039'07843#:3 3.8.5.0803:207.3/48040.$9.3.. .-.36:0  $419.

.

 -0053.42.425:907 .

9:947.8.

9:947./48  . 92  70.94748:8.

3/$09938&8078$9.$9.28$9.4.:20398.79:54.79:5   0254/0.28$9.   #:33(3 00.:20398.89.3/$09938&$#$9.79:5 4-.7903:!747.7903:!747.

/4     $0..4/1070390  .O3 5:0/08:8.79:597.203485./01..  ..%8-477.08..57:0-.O3 5475.7482../03.7.8.8.O:3.O3../.7.9..9.3:354.7.7485.43974 3 08/0080.0848/70.3/4./.2-4803 ...43974 3.43089.5 .48.77-.770. /03974/0.J1.70.74    $0.2...84-.:3.0/07.8 50743448..47708543/0.54J9./. 70897.9:....79:5$9.8-08   7./06:0:38419./.9480308./4.$9..5:39.424.431:7.9438 .439746:0 34/0-03807.45:0/080850.3/4:3.4/039073095470754720/4/0.:E089E:.7.80.8  .43974 3  0254/0.30/043974.0397.3/403 24/4.1.7/.0/0#08974&$419..79:54$9.44.84./23897.74....20390 :8:..89.7.3/4 /0/1.07.47708543/0./.7.08:3.30/043974   8548-0/08.2-4/0.O3   89.J30.4397408030!.48/0:8:.431:7O.4. 0397.7../47 /0.08 807E-477.4$549$ .80397.48.:9../0.431:7.486:0 .:9.3/48!  033/48.O3   89.70!4..947484-.43974 3309.O3.-0.5E3.79:503943.$9.079...4308/0030!./.7.534  $..80397.845.48 .%85.3:.89.708/00348/70.5.70./48.0397...:3.3008/0.4246:00.790/0.4308403.-../23897.770.%834-477.  :../47.7..7E48.3 $:300..70.6:E80.7E48.80./.389.4308030708974   .20390703.434.3454/07.3/442E6:3../0..748419390730954707#0897..7897.4308 203486:080.8 .. ...O3 0850.70089E97. .80N.80397. 0-07E8-477.845.

O3$549420!.:3.6:00#00/9345:0/080700.O3   89.5.43.74    $0.0-6:0089F8..74.803.70.07E8.08$8902  0254/089.48.8..08....770.484-0948097..5745O894 547 46:0././47   ..O3.7.45.O3./47089.9438  89.8/4.770..43909203:902 440$0. 45.6:0.47547.08:8./4/0-/4.-0#00/9  !471../0.O3.7484193907309 5470703:9  0254/089.80.08.5745O89448:890/:8O.030708974   .70.80./070.7484193/48:77039'07843!4.%85:0/07425073472..8 $07080 .47708543/0./23897.  708.403 .O332:3.748419390730954707#0897.845./0 390730954707   894831.43088O4./4708/041.4734906:02:.70.3.  97.5E3....47708543/0..9.431:7O.3/4/.:.8.03/4039:3.0.7/0$549    $0.2-4/0:3.70.0.0/0#08974&$419.3/ 59434. 0397.845.0/0#08974*&##%*&$#$419./47. 0254/089.70!4.08$8902 8.7484193/48:77039'07843!4.%85./23897.4397.8-46:0./23897.80.20390.30#00/9./. .839:507284 03943..O3   89..:9..0388:.43086:03472../480300343909:.7.  &$419.8.9.   &$419...

.

.7 /.3/48440%44-.

280.7E484-09486:0.:.80397.42474807!./.:.5.3/4/./.70.43909:.7.8-:8.8 .2./070. .8.089.03030203.4 6:F5747. 92  89.8802570 070894/0-07J.0308.08:8./4..7..45./0-07J.3807-477..3/4/.8..7.8 .O3  :3./45.824897.

74841939073095470790384308  0254/0...039:. 08/06:048$!8089E303.8    $0.47708543/0.770080890954/00397.:9943    $3430./07 858:-85 /  2883  ...7509.  97.0303 203.2039.7..808948-494308448J9028/020344870.O3.8/06:0348435.3907309   9702. &300254/0:35747..4308.46:080 0307.2.748$!85..484-0948 J9028 030203077.0794/4097E1../07 48$!8843:3./4 48/.43.434.%834-477.03440.J807J... 870.O3   89.3908/0.08...0785:0/03:8.8../03.8573.8    $0.80.97.48-4943086:0903024803.47708543/0.089.2-F384397.7   :./   :.0303 203.:.9489.080324/480:74-477080848 .-06:0703.7.48..080324/480:74-477080848 .:.4380:7/.7E48./..-.486:0./48.3/4.:.039:..24803.-06:0703.. 9. 870.89.2039.7.:./48  .7...4242...770080890954/00397.O3384. 389.3/4-47708089484-0948 8087024./03..89.084..0!74.89.7509.4397...6:07.5./0077.$!03 .424$! ..8 ./03.7.3907309   0254/0..94   ./0..7.8 .7704.O3    89.078/0384.7.7.4203/.F8/0.:.790/0.486:0..507/079:.2.48 034.3/4...70.570.425:9. 5:0/080.9: 2502039./4 03.440%44-.434./0:37:38419.84308.80.08:8.2-F3. 4885.0/0#08974$ %#.89.770...4203/.0J9246:0 54/7J.O3..43.84308.307.3/40384.070/$07.708 5:0/08 . /04./47..O3547/010./4830.:8041$!574..48.   74033907309.07.48 034.708.430O3..088-0.77.%834-477./48./4803./4803.385479../.7E48./.

/.0.203905:0/0.:.48/0048347047/03.4808.5.438:9.:E5:0/080782.77-. 574-02.30.:.8 %..8.00254/0.7.92...07903. .77008089480774708  %..30.$! 995.:3574-02./4708/0.078O3 .2039.:8./..43086:080./80N.7 . ..0/0 384.7.:3. 6:0.7.94 /085:F8/0-477./.7$!5.3/4 0-07J.807.708945074.7:8 974.770. .:36:0/00.76:0..70894   $5490307.08..4 8945:0/0.3/4.:3050794.3.8.4 039073098:097.2-F35:0/08:8..2-F3.348 09.077.3.7. 2:08970:3.0890954/0 0/.-0203902047:8.39:.7.%8.770.2.7:80250..574-.890303574-02.348$!803047/03.-.4770.90/06:090308.70$!574-02E9.086:02:.

.

0 47. .

:3.85:0/08 .-078843434.89.89.7.851 92 !.E/.89.7./0$!/0:50 995./0$!8.

.

309438 .42. .

202-078.

:50.

:..8 5.O3   89.8 :8.0/0#08974* *$ %#.7:354.O3   89.20 $ ..70..O3.089408042243.076:0:8.4308.0/ 59438  0254/0.08497.3.43073 .7../0 5..74405.48!: 385. 3.47708543/0..7:54/045.7.89././47 89032:..0397./.847/0 . 8O480.858 92    $0.0.J:33:0.O3.8 8548-06:0.2039.4308/03907309.3..3. 5...70.3/403907309547073.4308 .485: 380J9248/8543-08.N.0842243.8/0 8419.706:080.08903..434..7..0/0.20(42243.2-F3/0$70//07 $9./0:3.70.38/4.N.430834547/010.07E8.-/.79:589  09.0/0708974   .4308/03907309030390730954707   $-:8.3/4:3.:3././.80. 5:0/087024.4308..0397.48!   .7.3.390730954707 48!: 3884350.80.4:3..89.7484193907309 54707/.43.47708543/0.%8 9.701:3.   5943874:542243...2003.../47/0.70.424547002540.8 03./. -.5..5089.074.8030203/0077.089../0-07J..5089./.946:0.:07/4.70.47:54/045. 5.7.4    $0./ $.4380:7/.20  0.8/0 5.3.

8.434.0/0#08974* *8419.7.08.39054307995..077.O3033/486:00850..7.7080 3145: 3 6:09030..8J6:0/0-07J.770..O3   89.48-477.7-.2083907309 54707!&$355/1 /  :.4 89.424&#8.883./..%8 0870.702.7.3908/0-477...84308036:00.80..703440..48/0485: 388430J9248 . !:3147 !!747.4..07/057014547/010.46:E089F03:843..47708543/0./4    $0.8-:8.3/4.434.%86:077E-477.7484193907309 0547075:38  0254/0.8.-06:0703./45: 36:0/0-07J..4..43 .:8480390730954707 089E.6:04 6:008.. 09038O3/0    :.4203/.74 &3.4 89..43..8-477..431:7.08034/4.4393./0.94/0390730954707  57014547/010./4 .89..:3.1J.70.%8 .6:F6:034 70.!7:0-.770080890954/00397.O3.9408:3.7./4.70../4 $0.08903/4/085:F8/06:04.

.

195.

.

/48 !47/010.70. 6:08432.995.943/48 .30. 09.

.

54 ..424057014547/010...94.7089057014547 /010.573.995..3/40708974 .2-.00894.3/4057014547/010./4..O30/9.2-.7.424 440-$0..94 8548-0.434.94547:34/09:00..07.

.

0995 .

430.908.42 2 0370.:3. 6:0./7E8..:.424 440 . 995.3/490.&# . 84831./.

.

0995 .

   !701995.7../.:E080370.7. :9!701  0254/089.42 2 0. 440 ./08940-5.7484193/48:77039'07843&#01.0/0#08974 * *$ %#.   . 440-$0.

.

0995 .

:0397.8.47707 $70//07 8905747. /0-07J.8.3089.085:0/08:8.0574-02.702:0..7039:2E6:3.3/4574-02.8/0440-$0.434.%8 .   $$70//073403.4.4308.574-02.094/.70.7.770.7..2././0.8. 6:05:0/.708.  $089E805072039. 03943.77-..882.

:.8.3/4.8:3.3547/010.4770.94 801.03J.8..:.7.074 03943..80.8 431:7.770.431:7.:.31472....43080..O303080 1.3/4708090..9.03.43903094/.425:9.9.07.47708543/0..O33.3/470809008.7089.:039708    $0./47. .0397.6:00390730954707:8.845.7/.431:7.2-.074039:.86:0.3/4708090..07/0#08090-$09938 #080904/0.4308 5476:0007E .7E870310./403 3/4831070809 31.O3   89.074.7E.  #$% $%#%*!*&#995.5./01.4308547/010..0890089./.074089E:.8 :...8.4 $:3..:31. .074070809 31   0254/089.431:7.O3.O3 80007E01.7.8 .431:7./...2-.43086:0089F3030...946:0807E3 :8.31472....4308.3/4.8.

.

O3../47./.0J924 6:04.24/1.43./70.0/0#08974 *&##%*&$#$419../.70.74    $0...2.43:394/043./4.47089F.43.7/42348. 80:7/.394/008901.3:1..08 /0-07J.8 ..3/403:3/42346:0085./ 03943.47708543/0./0 .70.08 507297E86:08000./47/0.7484193/48:77039'078433907309 $09938430.3.8.84/06:0.434889483/080.770./4803..:34854903.47707 20397.880089E:8. ./4..38  0254/089.80.43.  %7:890/430995.0/080:7/.03:3.7.434.49 .:9038./23897.9:707.7598.3/408.708 .5.7598 .9030 /10703903...O3   89.38940-   .2E6:3.80:7/.//0390730954707089E-.074 03/.425:9.... 8548-0. 80.0.9.203905074848 /0.43.42  !471../039F72348/08...2-480.43.70./0$948/0431.8J6:0 8089E83.:. $3470.790/0:3.85.840.0304 6:008 548-06:00.08.8.43086:05:0/03.O303943./0-.542.5.79..

.

4236:003.:E5:0/08.20390/0-087024.6:09:..:.0397..:3.425.770.434.4.73.424:3.3/46:07.NJ.4 . .6:J807E1700 ./.7E8 .08 8.0.203486:0 70.&#.6:J0307.8  .4397.42 0.348 309   3943.08.:80 .7.074.8.2E8.

08.00J9248..48./48/08/089480-843:. 89484-0948089E3:.9.847!   0254/089.08435747../48   484-0948.7.  ! !.O3   89.425:9.80.208 7...86:0843/08.7./48033/48434.:E08:3.O3.7/./48./0/!747.7/.4240890/0 00254 0./03.9.9.043974   995./0 32074803970..4397408.47708543/0.7010703.2.08< 89032:../48 039:..:E08:3.  $0.424434.0 9.2-F3./0/ !747.484-0948..0307089745478:$0.7.2./47.2 08 894890303:3.48/0!747.434..9..

.

 5 .42.

/./434.

04/0/423488:.5 .97.8 6:0903.08342-7084/70.%839039.7./085../0.-7.770080397.7..%834807E.!7:0-...:8.9.02.0782.3/4:3/4234 ..:38940-:8./0-477.2:.80/0/.4803943.8 0397.0/003943.4../47.2.7.6:0/08.890 %0303.7.9./.3/4.8/0/8.7.6:0.:3807..89076:054800:3.8 477...770..4.9485.89075.8 /0-07J.84308036:0.425:9..8./4 $02570-477.47708543/0.NJ...424 ..7..5E3.348 309 03:..034/4.7.8 .5..:/.8  .70.42480 5473 /...35..3/4484-0948.948/04-0948 .70..20390...4..7.8 $8039086:0344843 5:0/08.70.86:0:8.70   :.:.05074848   &8.7./.97.425:9.34-0948./70.0/0 ./70.47574-02.3/49:.3-..425:9.O3.4    $0.73.7483:0.O3!5. 34903/7E82..$5.20390 089434807E574-02.70 .././47$5.F8/08:-..4 $08948:.7.:039.2.5.80.43086:03470.    ../08/0/43/048/08.8-:8.-  $.7./47.425....3/4039708 /03:0.7034405..70342-70/0 /423403:3.   890:35747.57490079:.80/0/.08-O77./4$5.7E-477..O3! 9:.70 .. 5074.834 .74-:8./47.434.9.078843 4340J92.4308/0..4/:74 472.7.O3   89.8./423445 .381472.8J6:0903.7 4-0948.4848 !:0/08/08.08703.07 1700 .0 /09:.7/0 :3.0./:9 09..42   :.9.

O3/057494.07574547.7.42 $.4857494.2-.425.448/0.7.08/0#08974 * *$ %#..425.3/403.6:0.030894843440-$0./45.5445.424.  /0.%85..J..76:09: .08 08948342-7085:0/08.7.7.:.O3.8808!# %  $907  .424.80.42 2 9070/7.3/4 440 .48   .:8.7.425:9.458.8:8.43974.42:3086:0.08036:09:./090723..470..8:8 574548807.078   8902F94/408:8.3.  440 .748.6:F.03..2-.8.07.770.70.3 70. 03943.3/40....488430J9248 %...  !7494.076:0.. 894507290./47.43974 /0.4   0254/089.:..894/08:00.3/07 * *$ %#..7.03.:0397.5:3903.748.03    $0.90/38 45 ..07948.-031472.7 :..%8   &8.425. 6:090574547.43.8:8807.NJ.07          $.7.3..44834 089E3/..O3.9:$!4./4708$ 0485:0/03.9:$!4 ./. 7:9.07 :348..2-F35:0/08:8.48807.7848.O3   0254/089.497486:00.3907309 48807.735.90/38   !# #=  =$%$2803 /  482E8.6:078946:00486:07.:..!/0807./47$5..430O3.7.08/0-07J.43.43...3/4.08'$%!.80.  $8902$$07../057494.NJ.8/008909543470.%857207400..89..7..770.3.70894 !:0/087.7.0$5.089./47.8808!# %  $ * *$ %#.7.080397.42 2.7.080/42345079030...O3   .050790.20$07.8808$ * *$ %#./4708 /43/05:0/03/7790./4708$039:2E6:3...748.44089E3/.7.NJ.4731472...7.890.425:9..434..:342:0897.O3   89.4405.448/070897403-:8.7.5.07942..57494.071../4708/057494..2.47708543/0.8808!# %  $../0.7.448097./4708$345079030.8J. #0.0390.

439030:3.:.770080890954/00397./48030.!7:0-...-08/03/48:8.80.%834-477.48-477..43/07804574900780.7.7../.3/408.0/0708974 5539*89.3.-707J.97./0.6:048.7.8.203486:09:..3/49:904:0.08034/4..486:080../08/0 545 :58 .2-F3807E.4.:E1:0/80N.:8...5.8..8.7E3 .O2424897.8 6:080.7..48 ./4.76:0.4329508574. 894./48.084.F890 0-07J.4.2:/1J.8345./008948    $0.-477.08486:0 3..!7:0-.403.748 574.:.8/00894/0:8:.39086:0903.7.770.4889....:942E9./0089408:3..39/.5.3:.7.7....77.7..7..  .7 0848.3.07..8 894831./00894547 /010..48:8:.824/1.7.:/.07/0..20390547088902.4./0/8 -707J.80397.88  0307....88902./4.-07.:9.485.8 .8.7.% 890954/0.84.8.7..  &8078908009..03.48/048.825479..08345:0/03807/0903/4883 ...6:076:0089F89.5./.4.39.3/4..:.06:080..7-0..74   &3. :807 / 46:0831.08.6:0.48.-/.O3.7.248 .0397.384-7008.94 ..7024..7..20390    $0.08/0#08974*&##%*&$#$419..7.5./0 0894   :.   .70.8:.7.203905:0/08./.0399:/54903.0848 2:.80397./.47/0708974 5539*8   . $.7484193907309 54707$908&807$9080098  0254/089.7.2 .8 .390.303:3.47/070897455398./.4../.7.O3.80./0..039.7E48...7.7.84./ ..47708543/0.6:0 089.0-477..447081:039086:0 80.7:3..3.F8/0..3.475539*8807E3.8020703908/05:-.4:807 /9./. .3/4:807 /089E.5E3.8/0703.36:0/0 3/485072903/4./403574.3/4 :./.70.89..73089.7:93.O3    89..-06:0703..3/4..:..7034/4./03088902.4.7E..../0..4203/..2-F308:8.482..8J282.47708543/0.7.7.:8./48 8 70.4800.7089.O3   89.030708974 30.770.3.

 31472./4547:3.7/.9.   5539*8 $$890231 /  89032:54....3/4.7.0. F89.85.7.0/07.O3   89./4890257.078003#00/9/.890..7...45 8  89  :.02F94/45:0/070..:.7.97.O3.889.4.74 #0897.8  0254/089.48.:/..4405.0843.07.7.07/0$ 0.7484193/48 %:77039'078433/48  0254/089..90.7.3.48/0./   89.F8/0.0/0708974 $0$07.3!74./0..08034/4..76:080089E:8.7 .4-4770848.0  $80..439030.485747..%834-477.79!.2-F35:0/08:8.0/0708974 5074/0-08 574.. 3.434.7.5:39.3.-.3089./48.80257080.8J9.4203/.3/4.708.4884354749..80 .7.2.3.3/4-4770848.7..48-.48  0053425:907$9..0 -0.-06:0703.486:084389./.486:080.:70 92 ..:90.48-.805..7848.:...0780547.770080890954/00397.6:073907.:E.8O45:0/0 ....7.79:5.7.43.:..9:../0035..3 $9..7.3.2039054754707 00.20390030574.7..48    $0.7.70..8 .7 /0.484-700.425:9..4.394 ..807:8.88:039080397. 42454707 0008.../4.072E81E.7.439030.   &3./.7.94 -3.80N.3/448../070.80.....7..7..03. 8902F94/408.:..071.0/0#08974* *$419..$07.:77.790..03:.084/03. ..O3.748.089.42824 F89.70.2-F3.47708543/0.4889.43.790 547497.7E48.   .7.488430J9248 %./47./47. .390/0440-$0.470882.7.076:0:8.748419390730954707...5.4089.086:0F8.3/4   48.425:9..7.3/44/1..790 5:0/0.47 800.4089.3908/06:04.3/49: .O3 :2.0 8948../48 8 70.0#:3 .79..7.:942E9./48..#  &$419.!7:0-./10703.6:J &8..089..80J92486:0:8..434...

%8:8.0/0#08974 * *$ %#..70/%.8:3...7..08034/4..7.4./.484 424802570.08 %..97.089.70.79:5.80308907089748000.6:0789.3 01.7.4203/.80 .80J92.80.:.3././..45 8 89  :.85.:9..:942E9.4089E3/.890.748.3.70/%.  $.  $$ $8902   $8890288902 /  .0 -0..748419390730954707.3/4.0/0#08974 * *$419.:3..F8/0.438/07.7.071.8$...770080890954/00397.5.:9*!.74 .48 0053425:907$9.89.7.0   .0*&#  $80.%834-477.-06:0703.48    $0.4-4770848.0/:07 343.2-F35:0/08:8./45.0/:07   .20390.8 .8$.!7:0-.8O4$ $2.7.-.70/%.7913/07:8...80397..4889.8$.4 089.20    .7484193/48:77039'07843$0$07./  0254/089.7..8.42484850./0./.47708543/0.083408.3/4888902297 /   1:0390995.08:389.7.7484193/48:77039'0784354707 $.3.-.80397.03440/0.42:308-.39073..889.8..8..0894 03943..486:080.83/48 ..:.70.790.7/0-07J.:/.9.0 $.O3   89.48.90.03 089..47/0708974 $..-86:0/.7.# &$419.O3./48 8 70.0/:07  0254/089..7E48.3/43. 10.:70 92  .3424897.7...

.

 -0053.425:907 .42.

9:947.8.

9:947. 92 .