Que es el HijackThis
Es una pequeña herramienta (Para usuarios avanzados) que nos permite detectar y eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como: “Toolbars, Paginas de Inicio, Paginas de búsqueda, etc”. Ay que aclarar que no todo los que nos muestra en su log es spyware y hay que tener mucho cuidado con lo que borramos de nuestro registro. Recomendamos visitar nuestro Foro de HijackThis para pedir ayuda.

Iniciando el HijackThis
Una vez que lo bajemos desde el sector de “Anti-Hijackers” Le damos doble click y se nos presentara la pantalla principal, ahí empezamos presionando el botón de “Do a system scan and save a logfile “ obteniendo automáticamente la opción de guardar el log para pegarlo en nuestro “Foro HijackThis” y obtener ayuda.

Analizando los resultados del log.
Cada línea o ítem comienza con una letra o un numero, con las siguientes referencias:

R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer.

F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini…).

N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

O1: Redirecciones mediante modificación del fichero HOSTS.

O2: BHO (Browser Helper Object); Son plugins para aumentar las funcionalidades del Internet Explorer, pero también pueden ser spywares secuestradores..

O3: Toolbars para IE.

O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, desde el llaves en el registro o por estar en la carpeta de Inicio.

O5: Opciones de IE no visibles desde Panel de Control.

O6: Acceso restringido -por el Administrador- a las Opciones de IE.

O7: Acceso restringido -por el Administrador- al Regedit.

O8: Items extra encontrados en el menú contextual de IE.

O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto).

O10: Winsock hijackers.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).

O12: Plugins para IE.

O13: Hijack del prefijo por defecto en IE.

O14: Hijack de la configuración por defecto de IE.

O15: Sitios indeseados en la zona segura de IE.

O16: Objetos ActiveX

O17: Hijack de dominio / Lop.com

O18: Protocolos extra / Hijack de protocolos

O19: Hijack de la hoja de estilo del usuario.

O20: Valores de Registro auto ejecutables AppInit_DLLs

O21: Llaves de Registro auto ejecutables ShellServiceObjectDelayLoad

O22: Llaves de Registro auto ejecutables SharedTaskScheduler

O23: Servicios

Grupo R0, R1, R2, R3:
URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).

Si las URLs que comienzan con R0 o R1 (R2 ya no es utilizado) fueron puestas por nosotros mismos no hay problema, y la dejamos como están, pero si no las reconocemos o tienen nombres muy extensos y sospechosos por lo gral terminan con la sigla “(obfuscated)” la seleccionamos y aplicamos ‘Fix Checked’

Ejemplo Valido:
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

Ejemplo de Spyware, marcar y ‘Fix Checked’:
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http://, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a Url Search Hook.

Ejemplo Valido:
R3 – Default URLSearchHook is missing

Ejemplo Spyware, marcar y ‘Fix Checked’
R3 – URLSearchHook: (no name) – _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} – (no file)

Grupo F0, F1, F2, F3
Programas cargados a partir de ficheros *.ini (win.ini, system.ini, etc..).

F0: Según la gente de Merijn.org (creadores del HijackThis) cualquier código que comience con F0 hay que marcarla y ‘Fix Checked’

F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual su información viene del win.ini en “Run= o Load=”. Es conveniente buscar información del programa especifico antes de marcar y ‘Fix Checked’”

F2 y F3 Son equivalente a los anteriores pero en Windows de núcleo NT (Win NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional.
Por ejemplo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\morralla.exe

Esto se ve en la información del valor userinit, picando dos veces sobre él desde Regedit; estaría de la siguiente manera, separado simplemente por una coma (resaltada en ):

Userinit = [**]\system32\userinit.exe [**]\morralla.exe

Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano.

Grupo N1, N2, N3, N4
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.

Al igual que en R0 o R1 si las reconocemos las paginas no hay problema, si no marcar y ‘Fix Checked’

O1: Redireccionamientos por modificación del fichero HOSTS
El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el Windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com …al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS. De esta manera evitamos que se pueda acceder a dicho dominio indeseable.

Sin embargo, puede ser empleado con fines maliciosos por los spywares que tratamos de combatir en este artículo, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP spyware) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP spyware. Esto redireccionamiento suele ser frecuente de ver por parte de los hijackers.

Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el ‘Fix Checked’.

Si nos muestra O1 – Hosts file is located at C:\Windows\Help\hosts …casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el ‘Fix Checked’, aunque mejor si previamente lo intentamos con herramientas específicas contra CWS como pueden ser CWShredder.

O2: BHO (Browser Helper Object)
Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones spywares.
Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha.
En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}).
Las señaladas en Status como “X” son catalogadas de spyware, las “L” como normales o limpias.

Ejemplo normal:
O2 – BHO: (no name) – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
…si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, lo mostrará catalogado como “L”, es decir, normal, ya que está originado por Adobe Acrobat Reader.

Si por el contrario el resultado de vuestra búsqueda os lo mostrara como “X”, es que se trata de spyware y conviene aplicarle el ‘Fix Checked’. Es preciso que en ese momento no este abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si después de aplicar el ‘Fix Checked’ vuelve a salir en el listado, será necesario reiniciar en modo a prueba de fallos para erradicarlo.

Ejemplo Spyware: (aplicar ‘Fix Checked’)
O2 – BHO: (no name) – {FECA4302-94B5-11D9-8E0D-000E86ADF28B} – C:\WINDOWS\SYSTEM\MLM.DLL

O3: Toolbars para IE
Recordamos la definición de Toolbar: suelen ser un grupo de botones situados generalmente bajo la barra de herramientas del navegador, que pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos.
Su ubicación en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar

Ejemplo normal:
O3 – Toolbar: Web assistant – {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} – C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

Como se ve en el ejemplo, esa toolbar está originada por el Norton Internet Security de Symantec. Sin embargo, en caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseñado para los ítems O2 para tratar de salir de dudas respecto a su identidad. El procedimiento es el mismo: buscar en función del CLSID y comprobar si está referenciado como “X” (spyware) o “L” (limpio). En caso de ser spyware, conviene marcar el ítem y aplicar el ‘Fix Checked’.

O4: Aplicaciones de carga automática en inicio de Windows por Registro
La carga automática de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en directorios del grupo Inicio.

Claves del registro implicadas:

Ejemplo: O4 – HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe

Los directorios del grupo Inicio pueden tener estas ubicaciones:

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio …reflejado en el log de HijackThis como Global Startup; son programas que se cargan para el perfil de todos los usuarios.

Ejemplo: O4 – Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

R:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio …reflejado en el log de HJT como Startup: programas que se cargan sólo para el perfil de ese USUARIO.

Ejemplo: O4 – Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

Si se encuentra un ítem indeseable y se le aplica el ‘Fix Checked’, no será exitoso mientras el proceso esté activo en memoria. En esos casos, primero hay que abrir el Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HijackThis

Ejemplo Spyware: (aplicar ‘Fix Checked’)
O4 – HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una entrada en el fichero control .ini ubicado en [**] (C:\WINNT o C:\WINDOWS, según versión del SO), lo que se reflejaría en el sgte. ítem del log de HJT:

O5 – control.ini: inetcpl.cpl=no

Pero este hecho, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación spyware que de esta manera trate de dificultar que cambiemos las Opciones del IE. Si se trata de esto último, es conveniente aplicar ‘Fix Checked’.

O6: Acceso restringido -por el Administrador- a las Opciones de IE
Si el acceso está restringido por el Administrador o bien porque empleamos Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuración de la Pág. de Inicio…), aparecerá un ítem como el sgte.:

O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el casillero Bloquear el acceso… , observaríamos este otro:

O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la acción preventiva de Spybot, suele ser conveniente aplicar ‘Fix Checked’.

O7: Acceso restringido -por el Administrador- a Regedit
Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del registro (no es infrecuente en políticas de seguridad corporativas), se refleja en un ítem como el sgte.:

O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicar ‘Fix Checked’.

O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que se obtiene al pulsar el botón derecho sobre la web que estáis viendo. Nos muestra diferentes ítems o líneas de selección y pueden deberse a aplicaciones normales, pero también a spyware. Las diferentes opciones en ese menú se albergan en la sgte. cadena del registro:

HKCU\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo normal: O8 – Extra context menu item: Exportar a Microsoft Excel – res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

Pero si no reconocemos la aplicación responsable del ítem extra en el menú contextual y sospechas que sea un spyware, hay que aplicar ‘Fix Checked’.

O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto)
Si tienes botones extra en la barra de herramientas principal de IE o bien ítems extra en el menú Herramientas de IE (que no sean los incluidos en la instalación por defecto) y quieres eliminarlos por sospechar que provengan de spyware, hay que mirar en este
ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplos normales:
O9 – Extra button: Messenger (HKLM)
O9 – Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O9 – Extra button: AIM (HKLM)

En los normales no es preciso hacer nada, pero ante casos indeseables que se quiera hacerlos desaparecer, el ‘Fix Checked’ debería poder con ellos sin problemas.

O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podrían dañar la conexión a Internet. Desde la propia Merijn.org recomiendan, en caso de necesitar resolver reseñas mostradas en este ítem O10, emplear el LSPFix.exe.
No hay problema si las referencias a algún módulo del antivirus. Puede ser normal en aquellos que actúan a nivel del Winsock.

La entrada 010 es tomada por el conocido spyware New.net si encuentra esto en su log:
O10 – Hijacked Internet access by New.Net

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto)
Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que trae por defecto, vendría reflejado (como los originales) en la sgte. cadena del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Desde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade sus propias opciones en la pestaña de avanzadas. En ese caso el ítem mostrado (Spyware) sería como siguiente:

O11 – Options group: [CommonName] CommonName

Si se encuentra ese caso aplicarle ‘Fix Checked’ . Si es diferente es recomendable buscar mas información para estar seguros.

012: Plugins para IE
En condiciones normales, la mayoría de plugins son de aplicaciones legítimas y están ahí para ampliar funcionalidades de IE.

Ejemplos normales:
O12 – Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O12 – Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll

Generalmente son normales, pero ante la duda, conviene buscar en Google su procedencia.

No obstante, se tiene reportado algún caso claro de spyware en este apartado como es el plugin de OnFlow, que se detecta fácil por su extensión *.ofb; si se encuentra, conviene marcarlo y aplicar ‘Fix Checked’.

O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.). Por defecto IE tratará de emplear http://, pero es posible modificar este valor en el registro mediante la sgte. cadena:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

De hecho, existen aplicaciones spywares que lo llevan a cabo, obligando al navegante incauto a llegar hacia donde no desea. Una de ellas, muy conocida, es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por “http://ehttp.cc/?”, de manera que cuando el usuario introduce “www.google.com”, automáticamente es derivado a “http://ehttp.cc/?www.google.com”, que es un site perteneciente a CWS.

Ejemplo nocivo de CWS:
O13 – WWW. Prefix: http://ehttp.cc/?

En estos casos, antes de emplear HJT, conviene utilizar herramientas específicas contra CWS como CWShredder. Pasar tras reiniciar el scan de HJT y comprobar si ha sido suficiente con eso, aplicando finalmente el ‘Fix Checked’ en caso necesario.

CWS tiene muchas variantes y es un listado en continua expansión.

Otros ejemplos Spyware a los que podéis aplicar ‘Fix Checked’:
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

O14: Hijack de la configuración por defecto de IE
Hay una opción entre las muchas del IE, que es resetear los valores presentes y volver a la configuración por defecto. Los valores de esta última, se guardan en el fichero iereset.inf, ubicado en [**]\inf y el problema puede aparecer si un hijacker modifica la información de dicho fichero porque, de esa manera, al resetear a la configuración por defecto, lo tendríamos presente de nuevo. En estos casos es conveniente aplicar ‘Fix Checked’.

Ejemplo spyware: O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No obstante, tener cuidado porque no todo lo que aparece en este ítem tiene que ser nocivo. A veces puede deberse a manipulaciones legítimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc. En estos casos seguramente reconocerán la URL mostrada y no será necesario ningún procedimiento.

O15: Sitios indeseados en la zona segura de IE
En IE la seguridad se establece por medio de zonas o y según éstas, la permisividad en términos de seguridad es mayor o menor. En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no están permitidos en niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro grado de confianza en ellos y esto se recoge en la sgte. cadena del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Si por ejemplo hemos añadido www.trucoswindows.net a los sitios de confianza, nos aparecería reflejado de esta manera en el ítem correspondiente de HJT:

O15 – Trusted Zone: www.trucoswindows.net

De igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos añadido conscientemente.

Pero puede darse el caso de que un spyware como CWS, introduzcan silenciosamente sus dominios dentro de los sitios de confianza, lo que podría verse reflejado de la sgte. manera:

O15 – Trusted Zone: *.05p.com (HKLM)
O15 – Trusted Zone: *.awmdabest.com (HKLM)
O15 – Trusted Zone: *.blazefind.com (HKLM)
O15 – Trusted Zone: *.clickspring.net (HKLM)
O15 – Trusted Zone: *.flingstone.com (HKLM)
O15 – Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 – Trusted Zone: *.mt-download.com (HKLM)
O15 – Trusted Zone: *.my-internet.info (HKLM)
O15 – Trusted Zone: *.scoobidoo.com (HKLM)
O15 – Trusted Zone: *.searchbarcash.com (HKLM)
O15 – Trusted Zone: *.searchmiracle.com (HKLM)
O15 – Trusted Zone: *.slotch.com (HKLM)
O15 – Trusted Zone: *.static.topconverting.com (HKLM)
O15 – Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 – Trusted IP range: 206.161.125.149
O15 – Trusted IP range: 206.161.124.130 (HKLM)

En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, y para eliminarlo de manera rápida y segura podemos utilizar la herramienta TZ-Kill.inf

O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files. La ubicación de almacenamiento es [**]\Downloaded Program Files

Podemos encontrar ítems normales como el del sgte. ejemplo:

O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Y otros típicos de spyware que, con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, Toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:

O16 – DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) – http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

En casos de spyware, podemos emplear tranquilamente el ‘Fix Checked’ pero si tras volver a escánear viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8…) para proceder con su eliminación.

SpywareBlaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos. Volvemos a recomendar su utilización preventiva.
018: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocolos estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos “extra” o “no estándar”) que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.

HJT primero busca protocolos “no estándar” en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLM\SOFTWARE\Classes\CLSID

Ejemplo spyware:
O18 – Protocol:relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida spyware como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el item O18 aplicarles ‘Fix Checked’.

O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente
con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle
‘Fix Checked’. Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear el CWShredder

SpyBot – Search & Destroy, es un programa freeware, que nos limpia esos tan indeseables espías que se nos cuelan, a veces sin permiso, pero otras porque no prestamos atención cuando estamos navegando y no sale una ventanita preguntando algo, y decimos que sí.

En las últimas versiones, se han ido incorporando elementos nuevos y nuevas funciones, como el residente que es una aplicación que se está ejecutando de forma permanente para protegernos de las descargas de archivos espías. Es una especie de ayudante de Internet Explorer que bloquea las descargas de archivos que se pueden considerar malignos.

Seguramente el cambio más importante y a tener en cuenta es una nueva parte del programa que reside en memoria. Es de gran utilidad ya que permite controlar en tiempo real si alguien o algo intenta modificar las secciones más delicadas del registro (por ejemplo aquéllas que indican a Windows qué tiene que cargarse al iniciar). También trata de identificar el tipo de amenaza que intenta ejecutarse y ofrece la oportunidad tanto de finalizar el proceso en curso antes de que se ejecute como de eliminar el archivo causante.

Nota: aunque normalmente el término residente conlleva un uso de memoria adicional que dependiendo de tu equipo puede ralentizar algo el sistema, las ventajas de una protección en tiempo real expuestas arriba parecen dejar claro que merece la pena, ya que si bien los ficheros espía se pueden eliminar con una ejecución regular de Spybot S&D y utilidades similares, al poder directamente impedir el acceso a tu disco de estos ficheros evita cualquier daño que éstos puedan causar, por poco que sea o poco tiempo que estén presentes en tu máquina.

Modos de ejecución
Pero la cosa no se acaba ahí, ya que se supone que una nueva versión incluye siempre muchas mejoras y novedades, no sólo una. Y como Spybot S&D no rompe la norma, también hay numerosas innovaciones en cada una de las secciones, que se exponen a continuación:

Modo básico
El menú principal está dividido en las siguientes partes: Spybot S&D, Recuperar, Inmunizar, Actualización. Los cambios en esta sección más remarcables son de diseño, ya que la información de los productos, registros de uso y amenazas se pueden visualizar haciendo clic sobre la pestaña que aparece a su derecha, que despliega un nuevo apartado que divide en dos la pantalla. Sólo hay que situarse encima de cada producto y la información aparece automáticamente. Además la sección Actualización dispone de un archivo que almacena todas las actualizaciones realizadas hasta la fecha.

Modo avanzado
Quizá son las secciones que experimentan más cambios. Los detalles técnicos se pueden consultar en el historial de versiones (próxima traducción al español) disponible en la página web de Spybot S&D , de forma más breve los cambios más significativos por secciones son:

En Configuración: Coockies y Planificador
En la sección Configuración se pueden señalar los apartados Cookies y Planificador. La primera, Cookies, permite visualizar la lista de cookies almacenadas en el ordenador, el navegador que las acepta, e indicar a la aplicación si ha de ignorarlas cuando realice un análisis. La segunda, Planificador, permite la ejecución de Spybot S&D cuando se desee como si se tratara de una tarea programada del propio Windows (por ejemplo especificando el día y la hora), establecer un tiempo máximo para el análisis, fijar un análisis cada vez que se inicialice Windows, poner una contraseña de seguridad y especificar su ejecución por tipo de usuario (administrador, usuario avanzado, etc.) en el caso de NT y XP, así como otras posibilidades de personalización.

Lista de procesos
El apartado Lista de procesos también experimenta cambios importantes, ya que ahora se puede hacer clic sobre el proceso y Spybot S&D muestra en la parte inferior todos los módulos (librerías dinámicas o DLL de Windows, etc.) implicadas en el mismo. Esto ayudará a los usuarios avanzados a determinar mejor qué realiza cada proceso y si forma parte o no del sistema.

Inicio del sistema
Numerosos cambios encontramos también en el apartado Inicio del sistema, donde se muestra ahora, de la misma forma que en el análisis, información de cada elemento que se ejecuta al iniciarse Windows, de forma que se podrá saber en el mismo momento si se trata de una amenaza o simplemente forma parte del sistema o de alguna aplicación que pueda haber instalada (ya sea con autorización del usuario o de forma inconsciente).

Información de desinstalación
Se añade también un apartado, llamado Información de desinstalación, con los datos de todas las aplicaciones instaladas en el sistema, con la posibilidad de eliminarlas de la lista que podemos encontrar en Panel de Control, Agregar o quitar programas de Windows. Ello es de utilidad cuando hemos eliminado una aplicación (por ejemplo eliminándolo de forma directa con Eliminar desde el Explorer -no muy recomendable- o desde un desinstalador de la misma aplicación ) pero continua apareciendo en la lista de programas instalados en el sistema.

Partes internas del sistema
Otro cambio es el apartado Partes internas del sistema, donde se puede comprobar la integridad del registro de Windows y llegado el caso intentar su reparación (rutas erróneas, archivos inexistentes, etc.), ayudando así a mantener el registro saneado y eliminar aquellas claves que hayan quedado en desuso, disminuyendo el tamaño del registro y optimizando el arranque del sistema.

En Info & Licencia: Estadísticas
Por último, la sección Info & Licencia incorpora un apartado denominado Estadísticas desde el que se pueden encontrar todas las incidencias que han ocurrido en los diferentes análisis y que permite saber por cada producto el día, el número de incidencias, y las distintas reparaciones.

Un “Browser Helper Object” es una librería (DLL) que permite a los desarrolladores personalizar y controlar tu navegador. Un BHO no es siempre visible aunque a veces se muestran como una barra de herramientas adicional (ej: Google toolbar). Es posible que sin saberlo tengamos instalados en nuestros equipos varios de estos BHO.El peligro de estos objetos tiene dos orígenes distintos:

- Pueden estar desarrollados para obtener información privada de nuestro equipo o para cualquier otro proposito malicioso.

- Pueden no tener un fin negativo pero estar mal programados y volver inestable nuestro sistema.

Con el fin de tener controlados estos BHO podemos instalarnos el software BHODemon que nos permitirá conocer y gestionar los BHO instalados en nuestro Equipo.

Características técnicas.

Autor: DefinitiveSolutions
Ultima Version: 1.0.0.3
Compatibilidad: Windows 9x, ME, NT 4.0, 2000, XP
Tamaño:2 MB
Estado: Freeware (gratis).

Instalación.

1. Lanzamos el ejecutable que hemos descargado. Nos sale una pantalla que nos avisa de que se va a instalar el software BHODemon.

2. El contrato de licencia se nos muestra y nos pregunta si estamos de acuerdo. Pulsamos que “si”.

3. Seleccionamos el directorio donde queremos instalar el software. Podemos aceptar lo que el asistente nos ofrece por defecto.

4. Elegimos el nombre con el que queremos que se muestre en el menu de inicio.

5. Nos pregunta si queremos crear iconos en el escritorio o en la barra de ccesos directos.

6. Esta sexta pantalla nos muestra un resumen de los parametros que hemos introducido para la instalación.

7. Pulsamos install y la aplicación queda instalada en muy pocos segundos.

Funcionamiento.

Por defecto el programa se queda instalado en el menu de inicio y se arranca al iniciarse el Sistema Operativo. Veremos aparecer un pequeño demonio en nuestra barra de tareas. Ese demonio actua como vigía y nos avisa cuando alguna pagina instala un BHO. Si una página instala uno de estos objetos obtendremos un mensaje como el que sigue:

Podemos ver los BHO instalados en nuestra maquina sin más que hacer doble clic sobre nuestro diablillo. Al hacerlo obtenemos una pantalla donde aparece un listado con el nombre y descripcion de los BHO que residen en nuestro equipo.

Las columnas que aparecen dan la siguiente información:

1) Enabled. En esta columna determinamos si queremos que se ejecute el objeto. Debemos saber que hay programas como Go!zilla que dejan de funcionar si deshabilitamos un BHO que instala.

2) file name. Nombre del fichero (librería).

3) Status. El programa determina si es “benigno” el objeto y si debemos dejarlo instalado en nuestro explorador.

4) ProgID. Identificador del objeto.

5) Description. Datos del objeto que nos permitirán saber cual es el origen del producto, su fabricante etc..

Si queremos saber más sobre alguno de los objetos que aparezcan en nuestra lista debemos hacer doble click sobre el objeto. De esta forma obtenemos una descripción mas detallada.

Desde esta ventana podemos:

1) Acceder a la carpeta que contiene la librería.

2) Acceder a la entrada de registro que hace referencia al objeto (No acceder si no se está familiarizado con el registro y la aplicación regedit).

3) Buscar en google información acerca de este objeto.

4) Salvar los datos de esta ventana en un fichero de texto (.txt).

5) Buscar dentro de la librería si existe alguna parte que tenga aspecto de poder ser leido. Nos muestra un fichero de texto en el que podemos distinguir alguna frase legible que nos dará alguna pista más sobre el origen y la compañía que ha desarrollado el objeto.

Resumen.

BHODemon es una aplicación gratuita que nos permitirá conocer un poco más de esos objetos o “barras” que se ejecutan “sobre” nuestro navegador y que en ocasiones son totalmente indeseados. Gracias a este programa podremos deshabilitarlos con un solo clic.

Ad-Aware SE Personal Build 1.06, es una herramienta que se usa para detectar objetos ofensivos (spywares, adwares, etc), el cual actualiza su base de datos periódicamente, siendo esto muy importante a la hora de luchar contra estos parásitos y dándole al usuario la posibilidad de ponerlos en cuarentena y eliminarlos sin perjuicios.

Ad-Aware 6 VS. Ad-Aware SE
Las diferencias mas grandes entre la versión anterior 6 y estas nueva SE (Second Edition) son internas y no tanto a nivel de usuario. Algunos de estos cambios son:

1- Usa una nueva tecnología de análisis llamada CSI (Identificación De la
Secuencia Del Código) la cual busca mas a fondo posibles spywares

2- Permite estipular la pagina de inicio y de búsqueda protegiendo contra hijackers

3- Se puede realizar diferentes tipos de escaneo incluyendo uno total sin
necesidad de configurar nada.

Y otras mejoras en seguridad y en cuanto a protección de su base de datos, pero como pusimos anteriormente no tanto a nivel usuario sino mas que nada son cambio (muy importantes) pero internos, y por tal motivo recomendamos a los viejos usuarios de Ad-Aware 6 a actualizar su versión por la 6 Second Edition Personal Build 1.05.

INSTALACIÓN DE AD-AWARE SE PERSONAL:
Descargue el archivo “aawsepersonal.exe” del sector Anti-Spywares.
Comience la instalación, si es usuario de la versión anterior Ad-Aware 6, el programa de instalación lo detectara y le invitara a desinstalarla para no crear conflictos con la nueva
Por defecto viene marcada la casilla de Uninstall previous versión of Ad-Aware (Desinstalar versión anterior de Ad-Aware) Recomendamos dejarla así y pulsar el botón “Next” en la cual nos aparecerá otra pantalla mostrando el resultado Uninstall Successful (Desinstalación completa).

BUSCAR ACTUALIZACIÓN
Una vez instalado, al ejecutarlo se va a encontrar con la pantalla principal en la cual lo primero que hay que hacer es buscar la ultima actualización disponible para tener su base de datos al dia. Para eso hacemos clic en Check for updates now (Buscar actualización ahora) Accederemos al sector de WebUpdate (Actualización vía Internet) Presionamos sobre el botón “Conect” para que Ad-Aware SE se conecte con el servidor de Lavasoft y busque la mas reciente actualización. Si hubiera le damos “Next” hasta que rellene su 100% y luego “Fin” en coso contrario directamente “OK” y volvemos a la pantalla principal.

PUESTA EN MARCHA
Ahora que Ad-Aware SE está actualizado ya pueden hacer uso del mismo. En la pantalla principal apretar el botón de “Start” donde aparecerá el Modulo de Análisis donde se puede elegir en que modo escánear el PC.

Perform smart system scan (Realizar optima exploración del sistema)
Esta es la opción que viene por defecto, la cual realiza un análisis rápido del sistema.

Perform full system scan (Realizar exploración completa del sistema)
Es la opción mas recomendable para analizar nuestro sistema la primera vez que ponemos en marcha el Ad-Aware SE para buscar a fondo estos parásitos (spywares)

Use custom scanning options (Usar opciones personalizadas)
Esta opción permite seleccionar que archivos, carpetas, o unidades de disco queremos analizar.

Scan volume for ADS (Volumen de exploración para ADS)
Esta opción busca ADS (Cadenas de Datos Alternativas). Realiza su funcionamiento en dos partes. Primero analiza el sistema y guarda la informacion de cada archivo individualmente y después analiza en detalle toda la informacion relacionada con cadenas de datos. Esta opción requiere que el usuario seleccione carpetas o unidades para lleva a cabo el análisis.

ANALIZANDO EL SISTEMA.
Una vez elegida la opción de análisis presionamos el botón “Next”

Una ves finalizada el análisis de nuestro sistema nos indicara los resultados en una pantalla similar a esta donde tenemos la opción “Show Logfile” (Que mostrara la informacion detallada de los spywares encontrados) y la opción de “Next” (Pasando a la selección de lo que se va a eliminar)

PANTALLAS DE RESULTADOS
Scan Summary – Resumen del Análisis
Critical Objects – Objetos Críticos
Negligible Objects – Objetos MRU mas usados
Scan Log – Resumen del Análisis

ELIMINANDO SPYWARES
Una vez que Ad-Aware SE encontra los intrusos en el sistema se puede acceder a diferentes funciones presionando el botón derecho del Mouse.
Entre ellas la de seleccionar todos los objetos para ser eliminados. Luego de marcarlos presionar “Next” donde aparecerá una ventana de confirmación y pulsando OK eliminaremos lo seleccionado y volveremos a la pantalla principal.

CAMBIANDO SKINS
A partir de la versión SE (Second Edition) de Ad-Aware es posible cambiarle el diseño (Skins) al programa eligiendo de las diferentes posibilidades.
Descargue el archivo “Skins” que prefiera de la larga lista de esta web.

CAMBIAR AD-AWARE SE A IDIOMA ESPAÑOL
Primero hay que descargar el archivo “pllangs.exe” del sector de herramientas y seguir los siguientes pasos.

1- Ejecute el archivo y elija los idiomas que quiere instalar o todos

2- Abrir el programa Ad-Aware SE e ir a la configuración.

3- Pulsar en el botón “Interface” y en el campo “Lenguage File” que va a estar
en ‘default’ cambiar por ‘Spanish’

4- Pulsar el botón “Proceed” y ya tenemos el Ad-Aware SE en nuestro idioma.