Manual HijackThis

Que es el HijackThis Es una pequea herramienta (Para usuarios avanzados) que nos permite detectar y eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como: Toolbars, Paginas de Inicio, Paginas de bsqueda, etc. Ay que aclarar que no todo los que nos muestra en su log es spyware y hay que tener mucho cuidado con lo que borramos de nuestro registro. Iniciando el HijackThis Una vez que lo bajemos desde el sector de Anti-Hijackers Le damos doble click y se nos presentara la pantalla principal, ah empezamos presionando el botn de Do a system scan and save a logfile obteniendo automticamente la opcin de guardar el log para pegarlo en nuestro Foro HijackThis y obtener ayuda. Analizando los resultados del log. numero, con las siguientes referencias: Cada lnea o tem comienza con una letra o un

R0, R1, R2, R3: URLs de pginas de inicio/bsqueda en el navegador Internet Explorer. F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini). N1, N2, N3, N4: URLs de pginas de inicio/bsqueda en Netscape/Mozilla. O1: Redirecciones mediante modificacin del fichero HOSTS. O2: BHO (Browser Helper Object); Son plugins para aumentar las Internet Explorer, pero tambin pueden ser spywares secuestradores.. O3: Toolbars para IE. O4: Aplicaciones que se cargan automticamente en el inicio de Windows, desde el llaves en el registro o por estar en la carpeta de Inicio. O5: Opciones de IE no visibles desde Panel de Control. O6: Acceso restringido -por el Administrador- a las Opciones de IE. O7: Acceso restringido -por el Administrador- al Regedit. O8: Items extra encontrados en el men contextual de IE. O9: Botones extra en la barra de herramientas de IE, as como tems extra en el apartado Herramientas de IE (no incluidas en la instalacin por defecto). O10: Winsock hijackers. O11: Adicin de un grupo extra en las Opciones Avanzadas de IE (no por defecto). O12: Plugins para IE. O13: Hijack del prefijo por defecto en IE. O14: Hijack de la configuracin por defecto de IE. O15: Sitios indeseados en la zona segura de IE. O16: Objetos ActiveX funcionalidades del

O17: Hijack de dominio / Lop.com O18: Protocolos extra / Hijack de protocolos O19: Hijack de la hoja de estilo del usuario. O20: Valores de Registro auto ejecutables AppInit_DLLs O21: Llaves de Registro auto ejecutables ShellServiceObjectDelayLoad O22: Llaves de Registro auto ejecutables SharedTaskScheduler O23: Servicios Grupo R0, R1, R2, R3: Explorer (IE). URLs de pginas de inicio/bsqueda en el navegador Internet

Si las URLs que comienzan con R0 o R1 (R2 ya no es utilizado) fueron puestas por nosotros mismos no hay problema, y la dejamos como estn, pero si no las reconocemos o tienen nombres muy extensos y sospechosos por lo gral terminan con la sigla (obfuscated) la seleccionamos y aplicamos Fix Checked Ejemplo Valido: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R1 HKLM\Software\Microsoft\Internet http://www.google.com/ Explorer\Main,Default_Page_URL =

Ejemplo de Spyware, marcar y Fix Checked: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http://, ftp://) el navegador tratara de encontrar uno automtico y en caso de que no lo logre, acudir a Url Search Hook. Ejemplo Valido: R3 - Default URLSearchHook is missing

Ejemplo Spyware, marcar y Fix Checked R3 - URLSearchHook: (no name) _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Grupo F0, F1, F2, F3 etc..). Programas cargados a partir de ficheros *.ini (win.ini, system.ini,

F0: Segn la gente de Merijn.org (creadores del HijackThis) cualquier cdigo que comience con F0 hay que marcarla y Fix Checked F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual su informacin viene del win.ini en Run= o Load=. Es conveniente buscar informacin del programa especifico antes de marcar y Fix Checked F2 y F3 Son equivalente a los anteriores pero en Windows de ncleo NT (Win NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\Software\Microsoft\Windows =[**]\system32\userinit.exe,[**]\morralla.exe NT\CurrentVersion\Winlogon\Userinit

Esto se ve en la informacin del valor userinit, picando dos veces sobre l desde Regedit; estara de la siguiente manera, separado simplemente por una coma (resaltada en ): Userinit = [**]\system32\userinit.exe [**]\morralla.exe Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano. Grupo N1, N2, N3, N4 URLs de pginas de inicio/bsqueda en Netscape/Mozilla.

N1, N2, N3, N4 corresponden respectivamente a las pginas de inicio/bsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador. Al igual que en R0 o R1 si las reconocemos las paginas no hay problema, si no marcar y Fix Checked O1: Redireccionamientos por modificacin del fichero HOSTS El fichero HOSTS lo podemos encontrar en diversas ubicaciones segn el Windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003. Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemticos, simplemente editando a mano el fichero HOSTS y asociando nuestra direccin localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com al hacerlo, si introducimos esa direccin en el navegador, nuestro equipo primero la buscar en el fichero HOSTS y al encontrarla, se evitar resolverla externamente mediante DNS. De esta manera evitamos que se pueda acceder a dicho dominio indeseable. Sin embargo, puede ser empleado con fines maliciosos por los spywares que tratamos de combatir en este artculo, sencillamente dndole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llammosla IP spyware) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la direccin de google en nuestra barra de direcciones, seremos llevados a la pgina de la IP spyware. Esto redireccionamiento suele ser frecuente de ver por parte de los hijackers. Si el tem O1 nos muestra una IP que no se corresponde con la direccin, podemos marcarla y aplicarle el Fix Checked. Si nos muestra O1 - Hosts file is located at C:\Windows\Help\hosts casi con toda probabilidad estamos delante de una infeccin por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el Fix Checked, aunque mejor si previamente lo intentamos con herramientas especficas contra CWS como pueden ser CWShredder. O2: BHO (Browser Helper Object) Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero tambin pueden deberse a aplicaciones spywares. Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha. En el listado de Tony Klein y colaboradores en Sysinfo, podris encontrar referenciadas numerosas CLSID (class ID, el nmero entre llaves: {nmero class ID}). Las sealadas en Status como X son catalogadas de spyware, las L como normales o limpias. Ejemplo normal: O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx si introducs ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, lo mostrar catalogado como L, es decir, normal, ya que est originado por Adobe Acrobat Reader.

Si por el contrario el resultado de vuestra bsqueda os lo mostrara como X, es que se trata de spyware y conviene aplicarle el Fix Checked. Es preciso que en ese momento no este abierta ninguna ventana del navegador e incluso as, a veces hay casos rebeldes. Si despus de aplicar el Fix Checked vuelve a salir en el listado, ser necesario reiniciar en modo a prueba de fallos para erradicarlo. Ejemplo Spyware: (aplicar Fix Checked) O2 - BHO: (no name) - {FECA4302-94B511D9-8E0D-000E86ADF28B} - C:\WINDOWS\SYSTEM\MLM.DLL O3: Toolbars para IE Recordamos la definicin de Toolbar: suelen ser un grupo de botones situados generalmente bajo la barra de herramientas del navegador, que pueden deberse a aplicaciones normales que tengamos instaladas, al integrarse de esa manera en nuestro navegador, aunque en ocasiones pueden ser producto de la presencia de BHO maliciosos. Su ubicacin en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet Explorer\Toolbar Ejemplo normal: O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19A37C9A5676A7} C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll Como se ve en el ejemplo, esa toolbar est originada por el Norton Internet Security de Symantec. Sin embargo, en caso de no reconocer el nombre mostrado, se puede acudir al mismo listado reseado para los tems O2 para tratar de salir de dudas respecto a su identidad. El procedimiento es el mismo: buscar en funcin del CLSID y comprobar si est referenciado como X (spyware) o L (limpio). En caso de ser spyware, conviene marcar el tem y aplicar el Fix Checked. O4: Aplicaciones de carga automtica en inicio de Windows por Registro La carga automtica de estas aplicaciones viene dada por ciertas claves en el registro o por aparecer en directorios del grupo Inicio. Claves del registro implicadas: HKLM\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce \RunServices \Run \RunOnce \RunOnceEx \Policies\Explorer\Run

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de programa\SSM\SysSafe.exe Los directorios del grupo Inicio pueden tener estas ubicaciones: C:\Documents and Settings\All Users\Men Inicio\Programas\Inicio reflejado en el log de HijackThis como Global Startup; son programas que se cargan para el perfil de todos los usuarios. Ejemplo: O4 - Global Teletext\AVerSA.exe Startup: TeleSA.lnk = C:\Archivos de programa\AVer

R:\Documents and Settings\USUARIO\Men Inicio\Programas\Inicio reflejado en el log de HJT como Startup: programas que se cargan slo para el perfil de ese USUARIO. Ejemplo: O4 - Startup: Office\Office10\OSA.EXE Microsoft Office.lnk = C:\Archivos de programa\Microsoft

Si se encuentra un tem indeseable y se le aplica el Fix Checked, no ser exitoso mientras el proceso est activo en memoria. En esos casos, primero hay que abrir el Administrador de Tareas para cerrar dicho proceso y poder luego actuar con HijackThis

Ejemplo Spyware: (aplicar Fix Checked) C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4

HKLM\..\Run: [sp] rundll32

O5: Opciones de IE no visibles desde Panel de Control En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su icono), aadiendo una entrada en el fichero control .ini ubicado en [**] (C:\WINNT o C:\WINDOWS, segn versin del SO), lo que se reflejara en el sgte. tem del log de HJT: O5 - control.ini: inetcpl.cpl=no Pero este hecho, a menos que sea una accin intencionada del Administrador del Sistema (en cuyo caso lo dejaramos tal cual), podra deberse a la accin de alguna aplicacin spyware que de esta manera trate de dificultar que cambiemos las Opciones del IE. Si se trata de esto ltimo, es conveniente aplicar Fix Checked. O6: Acceso restringido -por el Administrador- a las Opciones de IE Si el acceso est restringido por el Administrador o bien porque empleamos Spybot S&D y aplicamos su proteccin-bloqueo de las Opciones del IE (en Herramientas > Modificaciones de IE: Bloquear la configuracin de la Pg. de Inicio), aparecer un tem como el sgte.: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Si por ejemplo en ese mismo apartado de Spybot S&D Bloquear el acceso , observaramos este otro: no hemos marcado el casillero

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Si el acceso restringido (primer tem de ejemplo) aparece y no se debe a medidas intencionadas por parte del Administrador y/o la accin preventiva de Spybot, suele ser conveniente aplicar Fix Checked. O7: Acceso restringido -por el Administrador- a Regedit Cuando el acceso a Regedit est bloqueado mediante la correspondiente clave del registro (no es infrecuente en polticas de seguridad corporativas), se refleja en un tem como el sgte.: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Salvo que lo anterior se deba a medidas tomadas intencionadamente por el Administrador (en cuyo caso ignoraramos el tem), es conveniente aplicar Fix Checked. O8: Items extra en el men contextual de IE El men contextual en IE es el que se obtiene al pulsar el botn derecho sobre la web que estis viendo. Nos muestra diferentes tems o lneas de seleccin y pueden deberse a aplicaciones normales, pero tambin a spyware. Las diferentes opciones en ese men se albergan en la sgte. cadena del registro: HKCU\Software\Microsoft\Internet Explorer\MenuExt Ejemplo normal: O8 - Extra context menu item: Exportar res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 a Microsoft Excel -

Pero si no reconocemos la aplicacin responsable del tem extra en el men contextual y sospechas que sea un spyware, hay que aplicar Fix Checked. O9: Botones extra en la barra de herramientas de IE / Items extra en el apartado Herramientas de IE (no incluidas en la instalacin por defecto) Si tienes botones extra en la barra de herramientas principal de IE o bien tems extra en el men Herramientas de IE (que no sean los incluidos en la instalacin por defecto) y quieres

eliminarlos por sospechar que provengan de spyware, hay que mirar en este log de HJT, que obtiene los datos de la sgte. cadena del registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones Ejemplos normales: O9 - Extra button: Messenger (HKLM) Windows Messenger (HKLM) O9 - Extra button: AIM (HKLM)

tem O9 del

O9 - Extra Tools menuitem:

En los normales no es preciso hacer nada, pero ante casos indeseables que se quiera hacerlos desaparecer, el Fix Checked debera poder con ellos sin problemas. O10: Winsock hijackers En este apartado hay que ser extremadamente cautos o podran daar la conexin a Internet. Desde la propia Merijn.org recomiendan, en caso de necesitar resolver reseas mostradas en este tem O10, emplear el LSPFix.exe. No hay problema si las referencias a algn mdulo del antivirus. Puede ser normal en aquellos que actan a nivel del Winsock. La entrada 010 es tomada por el conocido spyware New.net si encuentra esto en su log: O10 - Hijacked Internet access by New.Net O11: Adicin de un grupo extra en las Opciones Avanzadas de IE (no por defecto) Estamos hablando de IE > Herramientas > Opciones > pestaa Opciones Avanzadas. Si ah apareciera algn grupo extra, no perteneciente a los que trae por defecto, vendra reflejado (como los originales) en la sgte. cadena del registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Desde Merijn.org comentan que, de momento, slo el hijacker CommonName aade sus propias opciones en la pestaa de avanzadas. En ese caso el tem mostrado (Spyware) sera como siguiente: O11 - Options group: [CommonName] CommonName Si se encuentra ese caso aplicarle Fix Checked . Si es diferente es recomendable buscar mas informacin para estar seguros. 012: Plugins para IE En condiciones normales, la mayora de plugins son de aplicaciones legtimas y estn ah para ampliar funcionalidades de IE. Ejemplos normales: O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll Generalmente son normales, pero ante la duda, conviene buscar en Google su procedencia. No obstante, se tiene reportado algn caso claro de spyware en este apartado como es el plugin de OnFlow, que se detecta fcil por su extensin *.ofb; si se encuentra, conviene marcarlo y aplicar Fix Checked. O13: Hijack del prefijo por defecto en IE El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cmo son manejadas las URLs que introducimos en el casillero de direcciones del navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.). Por defecto IE tratar de emplear http://, pero es posible modificar este valor en el registro mediante la sgte. cadena: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ De hecho, existen aplicaciones spywares que lo llevan a cabo, obligando al navegante incauto a llegar hacia donde no desea. Una de ellas, muy conocida, es el hijacker

CoolWebSearch (CWS), que sustituye el DefaulPrefix por http://ehttp.cc/?, de manera que cuando el usuario introduce www.google.com, automticamente es derivado a http://ehttp.cc/?www.google.com, que es un site perteneciente a CWS. Ejemplo nocivo de CWS: O13 - WWW. Prefix: http://ehttp.cc/?

En estos casos, antes de emplear HJT, conviene utilizar herramientas especficas contra CWS como CWShredder. Pasar tras reiniciar el scan de HJT y comprobar si ha sido suficiente con eso, aplicando finalmente el Fix Checked en caso necesario. CWS tiene muchas variantes y es un listado en continua expansin. Otros ejemplos Spyware a los que podis aplicar Fix Checked: http://www.pixpox.com/cgi-bin/click.pl?url= O13 http://prolivation.com/cgi-bin/r.cgi? O13 - DefaultPrefix: WWW Prefix:

O14: Hijack de la configuracin por defecto de IE Hay una opcin entre las muchas del IE, que es resetear los valores presentes y volver a la configuracin por defecto. Los valores de esta ltima, se guardan en el fichero iereset.inf, ubicado en [**]\inf y el problema puede aparecer si un hijacker modifica la informacin de dicho fichero porque, de esa manera, al resetear a la configuracin por defecto, lo tendramos presente de nuevo. En estos casos es conveniente aplicar Fix Checked. Ejemplo spyware: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com No obstante, tener cuidado porque no todo lo que aparece en este tem tiene que ser nocivo. A veces puede deberse a manipulaciones legtimas del Administrador de Sistemas, manufactura de equipos de ciertas marcas, corporativos, etc. En estos casos seguramente reconocern la URL mostrada y no ser necesario ningn procedimiento. O15: Sitios indeseados en la zona segura de IE En IE la seguridad se establece por medio de zonas o y segn stas, la permisividad en trminos de seguridad es mayor o menor. En niveles bajos de seguridad, es posible ejecutar scripts o determinadas aplicaciones que no estn permitidos en niveles altos. Es posible aadir dominios a unas zonas u otras (sitios de confianza/sitios restringidos), segn nuestro grado de confianza en ellos y esto se recoge en la sgte. cadena del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Si por ejemplo hemos aadido www.trucosgratis.net a los sitios de confianza, nos aparecera reflejado de esta manera en el tem correspondiente de HJT: O15 - Trusted Zone: www.trucosgratis.net De igual manera puede aparecer, por ejemplo, el dominio de empresa de nuestro puesto de trabajo o cualquier otro que hayamos aadido conscientemente. Pero puede darse el caso de que un spyware como CWS, introduzcan silenciosamente sus dominios dentro de los sitios de confianza, lo que podra verse reflejado de la sgte. manera:

O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.124.130 (HKLM)

En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de confianza, y para eliminarlo de manera rpida y segura podemos utilizar la herramienta TZ-Kill.inf O16: Objetos ActiveX Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello tambin se les denominan Downloaded Program Files. La ubicacin de almacenamiento es [**]\Downloaded Program Files

Podemos encontrar tems normales como el del sgte. ejemplo: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Y otros tpicos de spyware que, con suerte, sern fcilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, Toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo: O16 DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab (Installer Class) -

En casos de spyware, podemos emplear tranquilamente el Fix Checked pero si tras volver a escnear viramos casos rebeldes que siguen presentes, sera necesario reiniciar en modo seguro (pulsando F8) para proceder con su eliminacin. SpywareBlaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos. Volvemos a recomendar su utilizacin preventiva. 018: Protocolos extra / Hijack de protocolos Es difcil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocolos estndar para enviar/recibir informacin, pero algunos hijackers pueden cambiarlos por otros (protocolos extra o no estndar) que les permitan en cierta manera tomar el control sobre ese envo/recepcin de informacin. HJT primero busca protocolos no estndar en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la informacin del path, tambin desde el registro: HKLM\SOFTWARE\Classes\CLSID Ejemplo spyware: O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-95373767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll Esta tcnica no es de las ms frecuentes de ver, pero puede ser empleada por conocida spyware como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el item O18 aplicarles Fix Checked. O19: Hijack de la hoja de estilo del usuario Segn Merijn.org, en caso de aparecer en el log de HJT este tem O19, coincidente con un navegador ralentizado y frecuentes popups, podra ser conveniente aplicarle Fix Checked. Sin embargo, dado que hasta el momento slo se tiene reportado a CWS como responsable, la recomendacin es emplear el CWShredder