0|Pgina

TREND MICRO HIJACKTHIS (USO BASICO)

Introduccin: El Trend Micro HijackThis es un programa muy utilizado por profesionales de la informtica para detectar y en su caso ayudar a eliminar algunas infecciones. Sin embargo, ste programa es muy avanzado para el usuario medio, por lo que se recomienda su uso slo bajo la supervisin de un experto en el uso del programa, ya que su mal uso puede dejar inservible el sistema, incluso siendo necesario formatear para solucionarlo.

ste tutorial estar conformado por 2 secciones.

El primero (ste que estamos leyendo) va dirigido a esos usuarios novatos que desean aprender el uso de ste programa.

El segundo ir dirigido a esos usuarios avanzados que ya se dan una idea del funcionamiento de un sistema, y que se sienten capaces de aprender a interpretar el reporte que entrega.

Pero una advertencia importante: Si no sabemos qu es lo que estamos moviendo, mejor no hay que mover nada y preguntar en el foro para que uno de los moderadores autorizados analice el log, as estaremos seguros de lo que se puede o no eliminar.

Nota: Aunque el nombre oficial del programa esTrend Micro HijackThis, nos referiremos a l simplemente por sus siglas HJT

Descripcin del programa: Dejemos algo bien claro: el HJT NO es un antivirus, ni un antispyware, ni siquiera un limpiador de registro, ni mucho menos es (como muchos piensan) una varita
1|Pgina

mgica que va a eliminar cualquier virus o spyware. Es ms, ni siquiera debe ser la primera herramienta a usar para eliminar o detectar malware. Si tuviera que describirlo, dira que es simplemente un manipulador del registro. El registro es fundamental para el sistema, ya que en l se tiene documentado todo lo que ocurre en el sistema (programas que hemos instalado, si se puede o no cambiar la pgina de inicio de internet Explorer, etc.), por lo que la mayora de los malwares utilizan el registro para meterse en el sistema, ejecutarse cada que reiniciamos, impedir cambios en la pgina de inicio, etc.

Aqu es donde entra el HijackThis. Analiza el registro en las zonas ms comunes donde puede encontrarse algn malware, as que nos dir que sucede en el sistema.

Sin embargo, el programa slo analiza esas partes del registro, pero no elimina absolutamente nada. Somos nosotros como usuarios los que debemos eliminar lo que no debera estar en el registro.

Es ms, el HJT slo debe usarse como ltimo recurso y para confirmar resultados. Antes de usar el HJT, deberemos hacer una limpieza profunda.

Antes de usar el HJT

Los moderadores del foro recomiendan formas distintas para eliminar bichos del sistema y cualquiera de ellas funciona, pero esta es la que yo recomiendo: Paso 1: Descargar e instalar los siguientes programas:

Spybot Superantispyware Unlocker (Para desbloquear archivos que no se pueden eliminar. Manual de uso aqu)

2|Pgina

RegSeeker. (Este ltimo no requiere instalacin. Slo hay que descomprimirlo y mover la carpeta a archivos de programa. Luego hay que crear un acceso directo del ejecutable en el escritorio) Paso 2: Iniciar en modo seguro con funciones de red Paso 3: Actualizar el Superantispyware, y el Spybot Paso 4: Escanear el equipo con el ad Superantispyware, y despus con el Spybot y limpiar lo que te encuentren. Paso 5: Escanear el equipo con algn antivirus en lnea. Yo recomiendo alguno de estos: Panda antivirus on-line Computer associates on-line Trend micro on-line (Para usar ste, hay que tener instalado el Java) Bit defender on-line

Paso 6: Reiniciar nuevamente en modo seguro y escanear nuevamente con el Spybot y limpiar lo que encuentre Paso 7: Hacer una limpieza de registro con el Regseeker Paso 8: Reiniciar en modo normal y usar el HJT, que es lo que aprenderemos a hacer. *Nota 1: Con excepcin del Trend Micro on-line, el escaneo debe hacerse desde el Internet Explorer 6 o superior. No funciona en Firefox, Opera ni ningn otro navegador.

*Nota 2: Hasta donde tengo entendido, una funcin integrada en Windows vista (llamada sandbox), el escaneo on-line puede detectar los virus, pero no puede eliminarlos. Hay que eliminarlos manualmente cuando detecten algo.

Descarga. El programa lo podemos encontrar en la pgina oficial:

3|Pgina

http://www.trendsecure.com/portal/enUS/tools/security_tools/hijackthis/download O tambin lo encontraremos en nuestra seccin de programas: http://www.configurarequipos.com/descargar-trend-micro-hijackthis2.0.2-final.html Si lo bajamos de la pgina oficial, veremos que tenemos 3 opciones: el ejecutable, el archivo comprimido y el instalador. Recomiendo el instalador, ya que al hacer cambios en el registro, crea una copia de seguridad de los cambios, y si algo nos falla podemos recuperar lo que hemos eliminado. Sin embargo, si usamos el ejecutable, tambin crear una copia de seguridad, pero en el lugar donde lo estemos ejecutando (como en el escritorio o en la carpeta de documentos, por lo que podramos eliminarlo por accidente. Instalacin Se instala como una aplicacin cualquiera sin nada especial Al finalizar la instalacin, abrir desde el icono del escritorio y nos saldr la pantalla principal del programa.

4|Pgina

Pantalla principal En la pantalla principal del programa, aparecen las siguientes opciones:
Do a system scan and save a log file (Escanear el sistema y guardar el reporte)

Do a system scan only (Slo escanear el sistema) View the list of backups (Ver la lista de respaldos) Open the Misc Tools secction (Abrir la seccin de herramientas) Open online HijackThis quick start (Abrir el inicio rpido on-line) None of the above, just start the program (Nada de lo anterior, solo iniciar el programa) La realidad es que este programa requiere pocas configuraciones. De hecho, la gran mayora funcionarn bien con la configuracin que viene preinstalada. En la segunda parte (la de usuarios avanzados) s veremos algunas de estas configuraciones. Anlisis. Despus de hacer una limpieza profunda y si an tenemos problemas con algn malware. Abrimos el HJT y le damos donde en el primer botn, es decir, donde dice Do a system scan and save a log file Esto generar un archivo de texto con el nombre hijackthis.log Este es el reporte que entregar. Si somos usuarios novatos, tenemos que hacer lo siguiente: 1: Abrir un post en el foro. (http://www.configurarequipos.com/previopost.php)

Clic en

5|Pgina

2: En el ttulo del post, le ponemos alguna descripcin de lo que hace (o no hace, segn el caso) nuestro equipo 3: En el cuerpo del post, escribimos lo que ya hemos hecho (esto es muy importante) un relato del problema que presenta.

4: Copiar y pegar el reporte que nos entreg el programa. Esperar que el moderador responda el envi del reporte escaneado (24 horas Aprox)

Se recomienda registrarse en el Website http://www.configurarequipos.com

6|Pgina

Eliminacin de entradas Cuando el moderador nos indique que hacer, normalmente nos dir que marquemos algunas entradas y le demos en fix checked. Esto no es complicado pero veremos cmo se hace: Abrimos nuevamente el programa, pero sta vez le damos al segundo botn: Do a system scan only.

En el lado izquierdo aparecern unos cuadritos para marcarlos. PERO SLO SE DEBEN MARCAR LO QUE LOS MODERADORES NOS INDIQUEN. De lo contrario, puede dejar inservible el sistema. Finalmente, en la parte de abajo le damos en donde dice fix checked.

Nos saldr una advertencia de cuntas entradas eliminar, as que lo aceptamos.

Finalmente seguiremos las instrucciones que nos haya dado el moderador, que normalmente incluye (entre otras cosas) pegar un reporte nuevo.

7|Pgina

Recuperacin de entradas En algunos casos (muy raros de hecho) es necesario restaurar algunas entradas que habamos eliminado. (Esto tambin se har bajo supervisin de un moderador) Para recuperar una entrada, abrimos el HJT y le damos en el tercer botn, es decir, donde dice View the list of backups Seleccionamos la entrada que nos haya dicho el moderador y luego le damos en donde dice Restore

Nos preguntar si realmente deseamos recuperar esa entrada y le ponemos que s.

8|Pgina

Pues bien, esto es todo lo que necesitamos saber del uso del programa. Pero si nos sentimos capaces de analizar el reporte, veamos el segundo Tutorial HijackThis (Anlisis del log).

TREND MICRO HIJACKTHIS (USO AVANZADO)

En el Tutorial HijackThis (Uso bsico) vimos el uso bsico del HJT. Ahora veremos qu hace un moderador cuando nos analiza el log, y de esta manera podremos analizar nuestro propio sistema. Antes de empezar, tenemos 3 advertencias: 1: En configurarequipos.com, slo el personal autorizado puede analizar el log del resto de los usuarios, no est permitido que los usuarios en general digan que se puede o no eliminar. 2: El uso del HijackThis es muy peligroso para el sistema si no se usa apropiadamente. As que el uso por parte del usuario queda a su propio riesgo. 3: Si usas Windows Vista o Seven, se debe ejecutar el HJT como Administrador. Configuracin: En la pantalla principal del programa, iremos al ltimo botn. None of the above, just start the program

Luego le damos al botn config (en la esquina inferior derecha)

9|Pgina

Nos aseguramos que estn activadas las opciones que aparecen en sta captura. Aqu es importante que pongamos la pgina de inicio que deberamos tener, ya que al arreglar las pginas de inicio y bsqueda desde el HJT, sern reemplazadas por las que pongamos aqu.

Cuando hayamos terminado de configurarlo, regresaremos a la pantalla de escaneo.

le

damos

al

botn

back

Anlisis. El reporte que nos entrega el HJT es un archivo de texto que consta de 3 secciones:

1: Datos del sistema 2: Procesos en ejecucin 3: El anlisis del sistema.

10 | P g i n a

Veamos cmo analizar parte por parte.

1: Datos del sistema.

En el encabezado de un reporte encontraremos datos bsicos.

Veamos que significa cada uno:

1: Versin que estamos usando del HijackThis. Al da de hoy (Septiembre de 2011) la versin actual es la 2.0.4 2: Fecha y hora del anlisis. Como podrn imaginarse, esto es irrelevante para lo que vamos a hacer. 3: Sistema operativo. Aqu s es necesario tener el sistema actualizado con el ltimo Service pack que haya publicado Microsoft. Para Windows XP la ms reciente es el Service Pack 3 y para Windows 7 es el Service pack 1 4: Versin instalada del Internet Explorer. Tambin es ideal tenerlo actualizado. A sta fecha instalado el IE9. 5: Cmo arrancamos el sistema. El anlisis debe hacerse en modo normal. Muchas veces usan el HJT en modo seguro (o modo seguro con funciones de red) pero esto no es lo ms recomendable, ya que no sabremos que est corriendo en estos momentos en el sistema y podramos pasar por alto algo importante.

11 | P g i n a

2: Procesos en ejecucin. Pues eso. Nos dir que se est ejecutando en el sistema. Aqu es donde entra la experiencia en procesos. Hay muchos programas que es normal y hasta necesario que se encuentren funcionando. Sin embargo, esto slo nos ser til como informacin, ya que as sabremos qu se est ejecutando en el sistema, pero poco podemos hacer aqu, porque slo sabemos que se est ejecutando, pero no sabemos qu programa o comando lo inicia. Aunque, s podemos cerrar el proceso para que pueda ser eliminado en caso de que sea necesario.

Notemos que la ubicacin del archivo es Program Files Trend Micro - HijackThis Hijackthis.exe

Esto es lo ideal, ya que como vimos en el tutorial anterior, HJT hace un respaldo de lo que se elimina por si es necesario recuperarlo. Y si tenemos el ejecutable del HJT en un lugar del fcil acceso como el escritorio o la carpeta de documentos, podramos eliminar esos respaldos por accidente

12 | P g i n a

3: El anlisis del sistema.

Aqu es donde comienza la parte complicada del anlisis. Cada parte de este anlisis consta de una letra y un nmero (que puede ser de uno o dos dgitos) y luego su descripcin o ubicacin. As que el anlisis en realidad, lo veremos por secciones, basndonos en el cdigo que nos muestre el HJT. Ahora bien, para saber cules son las entradas ''buenas'' y cules debemos eliminar, necesitaremos mucha experiencia en el manejo de sistemas operativos y procesos. Y como sta segunda parte del tutorial es para esos usuarios avanzados, no daremos demasiados detalles de qu es cada proceso, ya que (adems de que se saldra de la intencin del tutorial) la lista sera interminable. Lo que s haremos es dar unas indicaciones concretas de cmo proceder ante ciertas entradas dainas para el sistema. Tambin (cuando sea necesario) se explicar para qu es cada una. Veamos para que sirve cada uno de ellos en base a la letra que usan. R = Cambios en la pgina de inicio y bsqueda F = Archivos auto-arrancables N = Cambios en la pgina de inicio de Netscape o Mozilla O = Otras

Ahora veamos a detalle algunas de estas R0 = Nos indica la pgina de inicio que tenemos en el Internet Explorer Si la entrada R0apunta hacia un archivo *.html dentro de nuestro disco duro. (Por ejemplo, C-Archivos de programa-carpeta-index.html) deberemos eliminar la entrada en el HJT y adems, hay que eliminar el archivo al que apunta (y en su caso, la carpeta entera.), ya que el HJT slo lo cambia del registro, pero no lo elimina.

13 | P g i n a

R1 = Pginas de inicio y bsqueda. Deben ser de nuestro buscador favorito (google, yahoo, Microsoft, etc.) si no la conocemos, se elimina. R2 = Ya no se usa R3 = Search Hook. Cuando introducimos una direccin en la barra de direcciones de Internet Explorer, pero no le ponemos la direccin completa (incluyendo el http://), el Search Hook ''busca'' cul es el protocolo ms adecuado y lo agrega en la barra de direcciones. Sin embargo, algunos spyware pueden poner algo distinto logrando as redireccionar nuestra navegacin. Por regla general, las entradas R3 siempre se eliminan. A veces podemos encontrarnos con una entrada R3 que termina con un guion bajo _ Esto complica la eliminacin desde el HJT, as que tendremos que hacerlo manualmente. Para ello, vamos a inicio-ejecutar-REGEDIT Luego buscamos lo siguiente: HKEY_CURRENT_USER Software Microsoft - Internet Explorer URLSearchHooks

Entonces borramos la entrada CLSID que no debera estar all, y dejamos la CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es la que es vlida por defecto. Si no reconocemos alguna de las entradas R podemos eliminarla sin problemas, ya que el HJT slo la cambiar a la que habamos puesto en la configuracin. F0 = Siempre eliminar F1 = Igual que F2 y F3, pero slo es para Windows 9X (95, 98, ME)

14 | P g i n a

F2, F3 = Si sabemos de qu software es, lo dejamos. Si no lo reconocemos buscamos en google para ver de qu se trata. Si es de algn malware, se elimina. N1 N2 N3 N4 = = = = pgina pgina pgina pgina de de de de inicio inicio inicio inicio y y y y bsqueda bsqueda bsqueda bsqueda de de de de Netscape 4. Netscape 6. Netscape 7. Mozilla.

Igual que las entradas R, si no los reconocemos, los eliminamos. Como la mayora del malware est diseado para IE, esto normalmente se encuentra a salvo, pero como sabemos, los creadores del malware innovan cada vez ms, as que a veces podemos encontrar malware aqu. O1 = Redireccionamiento por el archivo Hosts

En los inicios de internet, cada dominio (por ejemplo http://www.configurarequipos.com) tena una IP que se registraba en un archivo de texto dentro de la misma mquina. En la actualidad, ya son tantos dominios que si se siguiera usando el mismo sistema, el archivo sera enorme y perdera su utilidad, adems de que la lista sera interminable, as que se usa otro sistema (que no viene al caso explicar).

Sin embargo, todas las mquinas siguen teniendo y utilizando el archivo hosts (incluso MAC, Unix, Linux, etc.) Si modificamos el archivo hosts y escribimos una direccin que est registrada en el archivo, nos redireccionar a la IP que se encuentre all. Ejemplo. Supongamos que en el archivo hosts encontramos lo siguiente: 127.0.0.1 www.configurarequipos.com

Si escribimos en el navegador (no importa cual usemos) la direccin www.configurarequipos.com, revisar el archivo hosts, ver la entrada y nos redireccionar a la direccin IP 127.0.0.1 (la cual, por cierto, es nuestra misma mquina)
15 | P g i n a

Esto es aprovechado por algunos malwares, al poder redireccionar cualquier direccin a otra IP. En el HJT encontraramos algo como esto: O1 - Hosts: 127.0.0.1 www.configurarequipos.com Por regla general, las entradas O1 siempre se eliminan, con excepcin de esta: O1 - Hosts: 127.0.0.1 local host El archivo hosts es un archivo de texto (que por cierto, no tiene ninguna extensin) que puede ser editado por cualquier editor de texto (como el block de notas) y est guardado en los siguientes lugares dependiendo del Sistema operativo: Windows 9X (95, 98 ME):Windowshost Windows NT y 2000: Winnt--system32--drivers--etc--hosts Windows XP, 2003 y Vista: Windowssystem32--drivers--etc--hosts UNIX, Linux y Mac: /etc/hosts Aunque esta es la ubicacin en la que debera estar, se puede cambiar de ubicacin modificando el registro. Si vemos que se encuentra en otro lugar que no debera, debemos corregir esto desde el HJT.

O2 = Browser Helper Objects (o BHO, Objetos que Ayudan al Navegador). Los BHO son plug-ins para el internet explorer para ampliar su funcionalidad. Por ejemplo, la Maquina virtual Java, Gestores de descargas, el antivirus, etc. es normal que se encuentren aqu. Ejemplo legtimo: O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll Es del antivirus AVG. La clave que aparece entre corchetes se le llama CLSID, que es como un nmero que identifica a cada archivo.
16 | P g i n a

Ante la duda existe esta web: http://www.systemlookup.com/

Aqu podremos consultar la CLSID para ver de qu se trata. Si encontramos seales de algn malware, cerramos cualquier ventana de internet explorer y luego la eliminamos con el HJT. A veces, el proceso sigue activo an despus de eliminarlo desde el HJT. Si esto sucede, deberemos reiniciar en modo seguro y eliminar el archivo en cuestin. O3 = Barras de herramientas del Internet Explorer.

Estas son las llamadas toolbars (barras de herramientas) debajo de la barra de navegacin y men del IE. Ejemplo genuino: O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} c:\program files\google\googletoolbar2.dll Es de la barra de Google. Si tenemos que quitar algo desde el HJT, es recomendable quitarlo arrancando el sistema en modo seguro O4 = Programas que se inician cuando inicia Windows. Los hay de 3 tipos: Los que son parte del sistema, los que se funcionan con todos los usuarios (Global Startup) y los que se inician con el usuario que est usando la PC en el momento del anlisis (Startup) Ejemplo legtimo: O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

Es de Windows Defender, el antispyware de Microsoft que viene preinstalada en Windows Vista (y disponible para su descarga gratuita para Windows XP) Para eliminar una entrada O4 debemos hacer 2 cosas:
17 | P g i n a

Antes de eliminarlo desde el HJT, tenemos que cerrar el proceso al que apunta y despus de eliminarlo del HJT, hay que eliminar el archivo manualmente (El mismo HJT te da la ubicacin de los archivos). A veces, ser necesario eliminar la carpeta entera si sta es de algn programa malicioso. Muchos programas legtimos se inician cuando arrancamos el sistema, pero ante la duda, siempre est Google. O5 = Acceso a las opciones de IE Se puede impedir el acceso a las opciones de Internet Explorer desde el registro, en cuyo caso veramos esta entrada: O5 - control.ini: inetcpl.cpl=no Por regla general debemos eliminarla a menos que el administrador del sistema (o el Spybot) lo pusiera por alguna razn, en cuyo caso lo dejamos como est. O6 = Bloqueo en las opciones o pgina de inicio de Internet Explorer. Ejemplo: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Lo mismo que las entradas O5. Si el administrador del sistema lo puso a propsito o si tenemos activada la opcin Spybot Home Page and Option Lock de la seccin Inmunizar del Spybot, es normal que aparezca. Si no es as, la eliminamos. O7 = Bloqueo del Regedit

Ejemplo: O7 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1

Lo mismo que las anteriores O5 y O6, eliminarlas si no fueron puestas all a propsito. En un caso tpico, no deberemos ver ninguna entrada O5, O6 ni O7 Aqu es importante mencionar, que los administradores de sistemas bloquean
18 | P g i n a

estas opciones por una razn, as que si es nuestro caso deberemos dejarlo como est, ya que de lo contrario, podramos romper alguna norma corporativa y podramos tener problemas laborales (En cuyo caso, dejaramos que los encargados de sistemas arreglen el problema) Y por el contrario, si eres el administrador de sistema y encuentras alguna de las O5, O6 y O7 y tu sabes que no deberan estar all, puedes eliminarlas sin problemas

O8 =

Objetos

extras

en

el

Men

Contextual

de

Internet

Explorer.

Cuando le damos clic con el botn derecho del mouse en IE, aparecen varias opciones. Aqu encontraremos las que no vienen normalmente en el sistema operativo. Ejemplo legtimo:

O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201 Es del gestor de descargas Orbit Downloader Antes de eliminar nada de esta seccin, es mejor consultar en google para salir de dudas. Al igual que las entradas O4, el HJT no eliminar el archivo en cuestin, as que despus de eliminarlo con el HJY, hay que eliminar el archivo manualmente O9 = Botones y opciones extras en Internet Explorer Si no necesitamos estos botones o las opciones del men o se trata de un malware, podemos arreglarlo con seguridad desde el JT Al igual que las entradas O4 y O8, en caso de malware, tambin hay que eliminar el archivo manualmente (o en su caso, la carpeta)

O10 = Hijackers del Winsock, tambin conocidos como LSP (Layered Service Provider). Algunos spywares y Hijackers pueden usar los LSPs para ver todo el trfico que se genera en tu conexin a Internet. No se recomienda arreglar las entradas O10 desde el HJT, ya que pueden daar la conexin a internet. Incluso, el autor original del HJT recomienda mejor usar el Spybot para solucionarlo, pero hay que recordar que debemos tener la ltima versin y adems actualizarla.
19 | P g i n a

O11 = Opciones adicionales en las opciones avanzadas de Internet Explorer. Si abrimos Internet explorer y vamos a herramientasOpciones de Internet Opciones avanzadas es posible que haya opciones adicionales. Ejemplo de Malware: O11 - Options group: [CommonName] CommonName Slo se conoce ste malware que usa esta opcin (que es la que aparece en el ejemplo). Sin embargo, si vemos otra buscamos en google y en su caso eliminarla. En un caso tpico, no deberamos ver ninguna entrada O11

O12 = Plug-ins para Internet Explorer. Hay muchos plug-ins legtimos para IE. Ejemplo: O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Lector de archivos PDF. Si es necesario eliminar una entrada O12, se recomienda hacerlo en modo seguro, ya que el HJT intentar eliminar el archivo al que apunta. O13 = Hijacker del prefijo por defecto del Internet Explorer. Muy parecido a la funcin de las entradas R3. Por ejemplo, el malware conocido como CoolWebSearch cambia el Hijacker por defecto a http://ehttp.cc/?. Eso significa que cuando intentemos conectarnos a www.configurarequipos.com, nos redireccionar a http://ehttp.cc/?www.configurarequipos.com, el cul es en realidad el sitio web para CoolWebSearch. Ejemplo del CoolWebSearch: O13 - WWW. Prefix: http://ehttp.cc/? Se recomienda usar el programa CWShredder para intentar solucionar el problema. Si no lo arregla, entonces se usa el HJT para eliminarla.

20 | P g i n a

O14 = Restauracin de las Configuraciones de IE Si abrimos IE y vamos a herramientasOpciones de InternetOpciones avanzadas, veremos que hay un botn que se llama Restablecer. Lo que regresara a las configuraciones por defecto que vinieron preinstaladas en el IE. Para lograr esto, se usa un archivo llamado iereset.inf que contiene todas las configuraciones por defecto que sern usadas, as que si un malware cambia (por ejemplo) la pgina de inicio en este archivo y por alguna razn restablecemos la configuracin, en realidad, estaremos poniendo la pgina de inicio del malware. Tambin es normal que aparezca cuando nuestra PC es de alguna marca reconocida, ya que usan su propia pgina de inicio.

Ejemplo de Malware: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Si no reconocemos alguna configuracin se puede eliminar con el HJT. O15 = Sitios de Confianza.

Internet Explorer tiene 3 zonas de seguridad. Es posible agregar sitios a alguna zona en particular, dependiendo de la necesidad.

Supongamos que ponemos a www.configurarequipos.com a una zona de baja seguridad. Entonces, al navegar por este sitio se permitir la ejecucin de scripts. Ejemplo de malware:

O15 - Trusted Zone: *.coolwebsearch.com A menos que reconozcamos el sitio (y que est puesto all a propsito), se debe eliminar.

21 | P g i n a

O16 = Objetos ActiveX

Tambin son conocidos como Downloaded Program Files (Archivos de Programa Descargados). Estos programas suelen ser muy tiles. Por ejemplo, cuando escaneamos con algn antivirus on-line aparecern en una entrada O16, o el programa que usa Hotmail para subir varias fotos a la web al mismo tiempo, que es el que aparece en el ejemplo: O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://u.hotmail.com/mail/w3/resources/MSNPUpld.cab Si no conocemos algo, podemos eliminarlo con seguridad, ya que si se trataba de un programa legtimo, cuando lo necesitemos se descargar nuevamente. Siempre hay que eliminar las entradas O16 que tengan que ver con sitios porno o de casinos. Se recomienda eliminar las entradas O16 n modo seguro

O17 = Dominio Lop.com Muy parecido a las entradas O1, pero lo hacen desde los mismos DNS Si un malware logra cambiar los servidores DNS en nuestra PC, puede hacer que vayamos a otro sitio. En un caso normal, la entrada O17 no aparece, o en su caso, aparece la IP de nuestro proveedor de internet, tambin conocido como ISP. Si aparece la entrada O17 y no es la IP de nuestro DNS, se elimina. O18 = Protocolos extra y protocolos de Hijackers. Es un poco complicado explicar cmo funcionan las entradas O18. A grandes rasgos, se trata de un programa que toma el control de todo el trfico que entra y sale de nuestra PC a internet. En teora, slo deberamos ver algo relacionado con nuestro Antivirus Veamos 2 ejemplos, el primero es de un spyware y el segundo del antivirus AVG (por lo tanto, es legtimo).

22 | P g i n a

O18 - Protocol:relatedlinks {5AB65DD4-01FB-44D5-9537-3767AB80F790} C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} C:\Program Files\AVG\AVG8\avgpp.dll

Los malwares ms comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si encontramos alguno de estos, se elimina. Otra vez, google es indispensable para saber si alguna es legtima o no. Es necesario mencionar que es necesario eliminar el archivo al que haga referencia manualmente en modo seguro

O19 = Hojas de estilo del usuario.

Una hoja de estilo es una plantilla para saber cmo mostrar las capas, colores y fuentes etc., que se visualizan en un documento HTML. Si tenemos una entrada O19, veremos una gran cantidad de ventanas emergentes de publicidad, y mucha lentitud. Generalmente se puede arreglar desde el HJT, a menos que la hoja de estilo se haya hecho intencionalmente. Se recomienda eliminar las entradas O19 en modo seguro

O20 = Archivos que se cargan a travs de user32.dll

Las entradas O20, O21 y O22 son muy similares. Son archivos que se cargan al inicio del sistema, pero cada uno lo hace de una forma distinta. En el caso de las O20 usan el archivo user32.dll para cargarse. Explico: Muchos programas usan la clave de registro AppInit_DLLs para que el archivo user32.dll lo cargue al inicio. As que cualquier *.dll que se encuentre en esa parte del registro, user32.dll lo cargar al inicio del sistema, con lo que el malware se puede auto proteger, ya que se inicia antes de que cargue completamente el
23 | P g i n a

sistema Nuevamente, google es necesario para salir de dudas, ya que hay programas legtimos que usan esta entrada. En estos ejemplos veremos una entrada legtima (Antivirus AVG) y una de malware: O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: ppts16 - C:\WINDOWS\SYSTEM32\ppts16.dll Al arreglar una entrada O20, hay que eliminar el archivo manualmente.

O21 = Archivos que se cargan a travs de Explorer.exe

Al igual que las entradas O20, estos archivos se cargan en el sistema usando un archivo legtimo del mismo. En el caso de las O20 usa el user32.dll, y en el caso de las O21 usa el archivo Explorer.exe Ejemplo de malware: O21 - SSODL: s2440w32.dll 922332 {00000222-1111-1234-4321-0A1B2C3D4E99} -

Al igual que las entradas O20, hay que eliminar tambin el archivo manualmente. O22 = Archivos que se cargan a travs de SharedTaskSheduler Al igual que las entradas O20 y O21, esto tambin se carga al inicio del sistema. Hay que eliminar el archivo manualmente despus de eliminar la entrada en el HJT. Ejemplo de malware: O22 SharedTaskScheduler: exegeses 6e5fe658fc5f} - C:\WINDOWS\system32\bubbj.dll {1817ab5d-25bf-4d5e-ba90-

24 | P g i n a

O23 = Servicios

Los servicios de Windows son pequeos programas que se cargan al inicio del sistema y lo hacen de tal modo que no necesitan intervencin del usuario. Esto es bueno en muchos casos, ya que nuestro antivirus, el controlador de las unidades Lightscribe (grabadoras de DVD que adems de grabar CD y DVD, graban la cartula del disco) y otros usan este sistema para cargarse al inicio del sistema. Supongamos que eliminamos la entrada del Lightscribe, todo nuestro sistema funcionar correctamente... hasta que intentemos usar la unidad en su funcin Lightscribe. Como no se cargo al inicio, no funcionar. Nuevamente, google es nuestro amigo.

Ejemplo de entrada legtima: O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe Corresponde al programa Alcohol 52%

O24 = Wallpaper

S. Hasta los Wallpaper (fondos de escritorio) pueden ser usados por algn malware. Normalmente es usado por los malware para advertirnos que nuestra PC est infectada y que compremos una solucin para erradicar el problema. Desde luego, estos son programas rogue (falsos programas de limpieza) Aunque con eliminar las entradas O24 eliminara el Wallpaper infectado, es recomendable mejor usar el programa Malwarebytes Anti-Malware (Manual de uso aqu) para solucionar el problema, y una vez solucionado, volver a buscar si tenemos entradas O24 y en su caso, eliminarlas. Por regla general, las entradas O24 siempre se eliminan, a menos que lo hayamos puesto all intencionalmente.

25 | P g i n a

Herramientas tiles que vienen en el HJT:

1: Administrador de procesos:

Cuando vamos a eliminar una entrada en el HJT, muchas veces es necesario matar el proceso que se est ejecutando. El HJT puede hacer eso tambin. Para esto, vamos al botn Config y luego el botn llamado Misc tools. All encontraremos el botn Open Process manager

Al darle clic all, veremos qu procesos se estn ejecutando y en su caso, detenerlos seleccionndolos y pulsando en el botn Kill Process

26 | P g i n a

2: Editor del archivo Hosts.

En las entradas O1 vimos lo que es el archivo Hosts y para qu sirve. Aqu podemos editar ese archivo para quitar (o poner) lo que necesitemos. Lo encontraremos justo abajo del botn open process manager.

27 | P g i n a

3: Borrar archivos.

En ocasiones, no es posible eliminar algunos archivos porque se encuentran ejecutndose en ese momento. Incluso, hay algunos que ni cerrando el proceso permiten su eliminacin. As que hay que eliminarlos antes de que se carguen en el sistema.

Para esto, vamos al botn delete a file on reboot. Justo abajo del administrador del archivo hosts.

28 | P g i n a

Nos saldr una ventana en la cual podremos elegir qu archivo queremos que elimine. Luego nos saldr una ventana diciendo que es necesario reiniciar, as que despus de reiniciar, lo habr eliminado.

29 | P g i n a

Error comn:

El HJT no me elimina las entradas que marco.

Hay ocasiones en que el HJT fracasar rotundamente. Por eso en el primer tutorial se explic que antes de usarlo se debe hacer una limpieza profunda.

Otra razn que puede impedir que el HJT haga cambios en el sistema es porque si usamos Windows vista o 7 no estamos usando el HJT con privilegios de administrador. Notas finales:

Como vimos, el HJT es una herramienta muy verstil y potente, pero tambin es muy compleja de usar. Se recomienda que antes de comenzar a analizar logs practiquemos un poco viendo lo que contestan los moderadores en el foro, as tomaremos algo de experiencia y con el tiempo, tener los suficientes conocimientos para hacerlo nosotros mismos.

En internet, hay varias webs que analizan el log automticamente, pero no se recomienda su uso a usuarios poco experimentados ya que estos sistemas pueden dar falsos positivos (o lo que es peor, falsos negativos). S se recomienda su uso, pero slo para usarlo como referencia, no como una norma a seguir.

La web ms importante que analiza el log es http://hijackthis.de (en ingls y alemn), pero repito, slo se recomienda su uso para usarlo como referencia y para simplificar el anlisis.

Jess Tovar - 19 Sep 2011

30 | P g i n a