Hoy día es muy común, gracias a Internet, infectarnos con toda clase de

bichos informáticos: spyware, adware, hijackers, BHO, etc. Muchos de estos

malwares no son detectados por los antivirus, aun los más efectivos.

Para defendernos de estos ataques informáticos disponemos de herramientas eficaces y

gratuitas como el Spybot S&D . Sin embargo, muchas veces no es suficiente y por eso
existe una herramienta más eficaz: el HijackThis. de merijn.org
La gran diferencia entre el HJT y los demás software es que, mientras los demás hacen
todo el trabajo de limpieza automáticamente, con el HJT, aunque es mas especifico,
tendremos que analizar qué borrar. Vamos a ver como utilizar el HJT, pero antes…

¿A que nos enfrentamos?

Muchas veces decimos: Ayuda! Tengo un spyware!, pero ¿Qué es un spyware? ¿un
adware, un hijacker, un toolbar? Ahora vamos a definir todos estos términos.

Hijackers
Modifican las opciones del navegador (generalmente el IE de Microsoft) para dirigirnos
a otros sitios, cambiando la pagina de inicio, etc. Por lo general estos ralentizan el
comportamiento del navegador (consecuentemente nos hace mas lento la navegación en
Internet) utilizando ActiveX maliciosos o vulnerabilidades en el navegador (por eso
recomendamos usar Firefox u Opera)

Spyware
Es un programa que, aunque no lo sepamos, se ejecuta en un segundo plano y
recopilando información de lo que hacemos en Internet (que navegador usamos, que
paginas visitamos, cuantas veces…). Toda esta información es enviada a los creadores
del spyware, violando nuestra privacidad. Todo esto sin nuestro conocimiento ni
consentimiento.

Adware (ADvertising-Supported softWARE)

El adware funciona al igual que el spyware, solo que este viene incluido en programas
shareware y al aceptar el contrato de estos programas estamos consintiendo es su
instalación y ejecución, en otras palabras decimos que estamos conformes de tener un
adware (tal ves decimos: yo nunca aceptaría algo así! Pero muy pocas veces nos fijamos
en el acuerdo legal de un software y terminamos dándole Aceptar)

Toolbars
Conjunto de botones y accesos situado generalmente debajo de la barra de herramienta
del navegador. A veces estos toolbars pueden provenir de fuentes confiables, como
yahoo o google, pero a veces son el resultado de la presencia de BHO.

BHO (Browser Helper Object)

Es un programa que se ejecuta cada vez que abrimos el navegador, puede instalarse
junto con un programa (como el adware) o a través de un AtiveX y su comportamiento
es diverso: captura lo que hacemos, lanza pop-ups, ventanas con mensajes, cambia la
pagina de inicio, crea banners, toolbars. También puede ocasionar conflictos en nuestro
sistema, ralentizar el navegador, etc. Hay que tener en cuenta que los firewalls no
detienen estos procesos por que son tomados como el propio explorador.

Ahora sí veremos como usar el HJT para deshacernos de todos estos molestos bichos
informáticos.
Después de bajarnos el HJT (seguramente comprimido en un .zip o .rar) es conveniente
crear una carpeta con el mismo nombre.

Ahora descomprimimos el HJT en esa carpeta. Esto es importante por que los backup
que genere el HJT se guardaran en esta carpeta.

NOTA: el HJT es un ejecutable, no se instalara, asi que para usarlo tenemos que ir a la
carpeta donde lo descomprimimos y hacer doble clic en el icono del HJT que se
encuentra ahí.

Cuando iniciamos el programa por primera vez seguramente nos saldra este cartel con el
siguiente aviso.
Básicamente lo que dice es que no todo lo que aparece en el log del HJT es un hijacker
y que tenemos que ser cuidadosos con lo que borramos, ya que si borramos
indiscriminadamente podemos causar problemas en el sistema. Recomienda que
pidamos ayuda a quienes saben del tema y mostremos el log para que nos digan que
borrar y que no. (podes hacer esto, aquí en el foro, en esta sección ).

Cuando se abre el programa vamos al ultimo botón, “…just start the program”.

Antes que nada, vamos a hacer clic en el botón Config, para entrar en el panel de
configuración del HJT.

En la solapa “Main” del panel de configuración nos aseguramos que todo este como se
muestra en la imagen (sobre todo que este marcada la casilla que dice “Make backups
before fixing ítems”) y luego hacemos clic en el botón “Backups”.
En esta solapa se alojaran todos los backups que el HJT haga. Desde aquí podremos
restaurar o borrar los backups que tengamos. Como dijimos anteriormente, borrar
equivocadamente un archivo puede causar problemas en nuestro sistema operativo, así
que creando y guardando los backups de cada acción podemos deshacer los cambios
hechos. Aun así, lo mejor es hacer un backup del registro con otro programa, o hacer un
punto de restauración. Bien, ahora hacemos clic en el botón “Back”.

Aquí hacemos clic en el botón “Scan” y el HJT hará un escaneo de llaves de registros,
procesos, ejecutables y demás y nos mostrara un listado. Es importante tener en cuenta
que mientras menos procesos tengamos, menor será el log del HJT, para eso podemos
abrir el administrador de tareas de Windows y finalizar procesos conocidos (programas
de grabación de cd, reproductores, etc…)
Como pueden ver, después del escaneo nos muestra los distintos procesos, cada proceso
tiene una clave diferente: R0, F0, O2 – O23.

Estas letras y números tienen la siguiente referencia:

R0, R1, R2, R3: urls de páginas de inicio/búsqueda de IE.

F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).

N1, N2, N3, N4: urls de páginas de inicio/búsqueda de Nescape/Mozilla.

O1: Redirecciones mediante modificación del fichero HOSTS.

O2: BHO (Browser Helper Object); pueden ser plugins para aumentar las
funcionalidades de nuestro navegador, pero también pueden deberse a aplicaciones
maliciosas.

O3: Toolbars para IE.

O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, pudiera ser

mediante las claves en el registro, o por aparecer en la carpeta del grupo Inicio.

O5: Opciones de IE no visibles desde Panel de Control.

O6: Acceso restringido -por el Administrador- a las Opciones de IE.

O7: Acceso restringido -por el Administrador- al Regedit.

O8: Items extra encontrados en el menú contextual de IE.

O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado
Herramientas de IE (no incluidas en la instalación por defecto).

O10: Winsock hijackers.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).

O12: Plugins para IE.

O13: Hijack del prefijo por defecto en IE.

O14: Hijack de la configuración por defecto de IE.

O15: Sitios indeseados en la zona segura de IE.

O16: Objetos ActiveX.

O17: Hijack de dominio / Lop.com.

O18: Protocolos extra / Hijack de protocolos.

O19: Hijack de la hoja de estilo del usuario.

Analicemos cada uno…

R0 – R3
urls de páginas de inicio/búsqueda de IE. Si podemos verificar las direcciones web de
estas claves R0 y R1 (R2 ya no es muy utilizado) entonces no hay problema. Por
ejemplo:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.windowsue.com

Esta es una dirección valida, ya que windowsue.com es la pagina del Windows

Unattended Edition. En cambio si vemos una clave con el siguiente valor:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\System32\mbnmmc.dll/sp.html (obfuscated)

con el “(obfuscated)” al final, es muy posible que se deba a algún spyware. Lo que
debemos hacer es tildar este valor y darle al boton “Fix”.
R3 esta relacionado al Url Search Hook, esto es cuando ponemos una dirección sin
especificar su protocolo (http://, ftp://,). En este caso el valor es más o menos así:
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks

Si el valor sale de la siguiente manera

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
_ - (no file)

con ese guión al final ( _ ) es aconsejable utilizar el regedit para reparar esta clave, pero
en ningún caso la borremos. Lo mejor es que investiguemos las diferentes claves R3 y si
hace referencia a un programa instalado por nosotros no hay problema, de lo contrario,
de ser sospechoso, lo seleccionamos y le damos fix.

F0 – F3
Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
ATENCIÓN: Puede haber graves problemas para iniciar el sistema (sobre todo con el
valor F2), aun después de haber restaurado el backup del HJT. Por eso como dijimos
anteriormente, lo mejor es que hagamos un backup del registro.
F0: si nos aparece esta clave, en Merijn.org recomiendan darle siempre fix.
Normalmente, esta clave hace referencia al gestor del entorno gráfico del sistema, el
responsable de cargar el escritorio al inicio del Windows y permitir manejarnos con
ventanas. En otras palabras, nos referimos al explorer.exe. Pero si después de,
explorer.exe, tenemos un morralla.exe, se cargará igualmente al iniciar nuestro sistema.
Por eso todo lo que encontremos aca, después del explorer.exe, se convierte en
altamente peligroso.
F1: Esta relacionado con programas antiguos y lo mas conveniente es buscar
información antes de hacer cualquier cambio, para cerciorarnos de si realmente es
nocivo o no.
Pueden consultar los Sitios de referencias , los cuales nos dan información de los
diferentes procesos, en este post .
F2 y F3 Son claves equivalentes al F1, pero en los Windows de núcleo NT (Win
NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional, sino
de entradas en el registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Es motivo para darle fix al HJT si, por ejemplo, en la segunda linea encontramos
después del Userinit, el v.s.t.exe:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
=[**]\system32\userinit.exe,[**]\v.s.t.exe

( NOTA: el v.s.t.exe significa virus – spyware – troyano. Como seria imposible poner
todos los nombres de virus, englobamos a todos en estas siglas v.s.t. Por lo tanto, no
estoy diciendo que encontremos un v.s.t.exe, sino que esto representa al virus, spyware
y/o troyano que se haya metido en nuestra PC)

En cambio no debemos preocuparnos si encontramos: Userinit,nddeagnt.exe, este es el

valor predeterminado del Windows NT y es normal encontrarlo. Cualquier otra cosa
probablemente sea un troyano.

N1 – N3
urls de páginas de inicio/búsqueda de Nescape/Mozilla.
Como los navegadores de Nescape/Mozilla no son objetos de constantes ataques como
el IE, (en parte por el uso extendido de este último navegador) es menos frecuente que
encontremos problemas en estas entradas. Pero esto no quiere decir que estén exentos de
cualquier virus. Por eso si reconocemos la dirección web en estas claves no hay de que
preocuparnos, sino, lo seleccionamos y le damos fix.

O1: Redirecciones mediante modificación del fichero HOSTS.

Como comente en otro post los archivos HOSTS son como base de datos para nuestro
navegador. Sin embargo vamos a ver en profundidad que son y cuanta importancia
tienen.
Estos archivos se encuentran en
Win9x/Me - C:\Windows
WinNT/2K - C:\Winnt\System32\Drivers\etc
WinXP Home/Pro - C:\Windows\System32\Drivers\etc
Los archivos HOSTS sirven para asociar IP’s con dominios. Normalmente se utilizan
para evitar acceder a determinado sitio. Podemos editarlos manualmente asociando
nuestra dirección localhost 127.0.0.1 con el dominio donde no queremos ingresar, por
ejemplo: www.dominioxxx.com
Abrimos el archivo HOSTS con el bloc de notas y ponemos asi:
127.0.0.1 www.dominioxxx.com

y de esa manera, cuando pongamos esa dirección en nuestro navegador, nuestro equipo
primero lo buscara en el archivo HOSTS y si lo encuentra, se evitará resolverla
externamente mediante DNS.
Acá hay un ejemplo de un archivo hosts, que esta en el post anteriormente citado, donde
ya se le han agregado las direcciones de sitios altamente peligrosos (en la imagen solo
aparecen unos cuantos, la lista es realmente larga…)
De esta manera evitamos ingresar a sitios peligrosos. Pero debemos tener cuidado, esto
puede ser usado por v.s.t que queremos combatir, haciendo el proceso inverso. Si en
lugar del localhosts se utiliza una IP (llamémosla IP v.s.t) para direcciones que usamos
normalmente, como www.tecniconline.com.ar entonces cada vez que ingresemos esta
dirección en nuestro navegador, nos redireccionara a la pagina del IP v.s.t
Veamos un ejemplo:
Si tras el scan del HJT nos encontramos con esto
O1 - Hosts file is located at C:\Windows\Help\hosts[…]
Entonces es lo mas seguro que se trata del CoolWebSearch (CWS), por lo que hay que
seleccionarlo y darle fix, aunque se recomienda que primero intentemos sacarlo con el
CWShredder de Trend o
CWShredder de merijn

O2: BHO (Browser Helper Object)

Pueden tratarse de plug-ins normales o puede ser que estemos infectados de algún v.s.t.
Para saberlo, lo mejor es que investiguemos de que se trata esta clave. En la base de
datos de sysinfo.com (has clic en este link ya que de la forma habitual no podrás entrar)
en el listado de Tony Klein, podemos averiguar la CLSID (class ID, el numero que hay
entre {…}) si nos aparece una X, es un spyware, si aparece una L, entonces es normal.
Ejemplo de una clave normal:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-
784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll

Si introducimos la clave {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} en el sitio

anteriormente citado, nos dara como resultado una L, indicándonos que esto es normal,
ya que es una entrada generada por el Acrobat. Si por el contrario nos apareciera una X
entonces lo seleccionamos y le damos fix. Seria conveniente que no tengamos el
explorador abierto, ya que son difíciles de eliminar. Es mas, si después de darle fix y
reiniciar todavía aparece, entonces tenemos que iniciar en modo a prueba de fallos y
eliminarlo de ese modo.

O3 Toolbars para IE
Su ubicación en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet
Explorer\Toolbar

Veamos un ejemplo de un toolbar normal:

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:\Archivos de programa\Archivos comunes\Symantec
Shared\AdBlocking\NISShExt.dll

Como vemos este toolbar pertenece a Norton Internet Security y por lo tanto no hay
peligro. Si no reconocemos la clave, entonces hacemos como en el caso anterior, vamos
a sysinfo.com e introducimos la clave entre {…} y ya sabemos, si nos aparece X,
entonces seleccionamos y le damos fix.

O4: Aplicaciones que se cargan automáticamente en el inicio de Windows

La carga de estas claves depende de si se encuentran en el registro o en el grupo Inicio.
Claves del registro implicadas:
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run

Por ejemplo:
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

En cambio si se encuentra en el grupo Inicio se ve de la siguiente manera:

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de
programa\HP\Digital Imaging\bin\hpqtra08.exe

Como verán, aparece Global Startup, lo que significa que esa aplicación se ejecuta para
todos los usuarios. Por el contrario, si solo aparece Startup, entonces esa aplicación se
carga para un solo usuario:
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft
Office\Office10\OSA.EXE

Como vimos en el caso del grupo F0 – F3, para reconocer que es lo que se carga
podemos ir al sitio Pacman’s Startup List o a cualquier otro sitio de listado de procesos
que se encuentran en el post citado anteriormente. Si identificamos algún item nocivo,
antes de eliminarlo con el HJT, asegurémonos de cerrar el proceso, mediante el
Administrador de tareas de Windows, o de ser mas rebelde, podemos usar el KillBox y
una vez que hemos cerrado el proceso y ya no esta activo en memoria, lo seleccionamos
con el HJT y le damos fix.
O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de IE son accesibles desde Panel de
Control. Existe la posibilidad de no permitirlo (desaparecer su icono), añadiendo una
entrada en el fichero control.ini ubicado en (C:\WINNT o C:\WINDOWS, según
versión del SO), que se vería de la siguiente manera en del log de HJT:
O5 - control.ini: inetcpl.cpl=no

Pero, a menos que sea una acción intencionada del Administrador del Sistema (en cuyo
caso lo dejaríamos tal cual), podría deberse a la acción de alguna aplicación v.s.t. Si
confirmamos que esto es así, lo seleccionamos y le damos fix.

O6: Acceso restringido -por el Administrador- a las Opciones de IE

Si el acceso está restringido por el Administrador o porque usamos el Spybot S&D
y aplicamos su protección (en Herramientas - Modificaciones de IE - Bloquear la
configuración de la página de Inicio), aparecerá la siguiente clave:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Si por ejemplo en esas mismas opciones del Spybot S&D no hemos marcado el
casillero Bloquear el acceso, observaríamos este otro:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Si el acceso restringido del primer ejemplo, aparece, y no se debe a medidas tomadas

por parte del Administrador y/o la acción preventiva de Spybot, entonces lo
seleccionamos y le damos fix.

O7: Acceso restringido -por el Administrador- al Regedit

Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave del
registro, se ve la siguiente clave en el log del HJT:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1

Nuevamente, si esta medida no esta tomada por el Administrador, lo mejor es que lo

seleccionemos y le demos fix.

O8: Items extra encontrados en el menú contextual de IE

El menú contextual en IE es el que sale cuando hacemos clic con el botón derecho en la
web que estamos navegando. Las diferentes opciones en ese menú se albergan en la
siguiente clave del registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo normal:
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

Ahora bien, si no se identifica la clave, y sospechamos que puede ser producto de un

v.s.t, entonces lo seleccionamos y le damos fix.

O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el
apartado Herramientas de IE (no incluidas en la instalación por defecto)
Estos botones extras que no aparecen después de la instalación, pero que aparecen al
instalarse algunas aplicaciones, normalmente no son peligrosos y, por ende, no hay que
hacer nada. Si nos fijamos, veremos claramente de donde provienen
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Archivos de programa\ICQLite\ICQLite.exe

Pero en caso de que querramos que estos botones desaparezcan, o que sospechemos de
la presencia de v.s.t, entonces los seleccionamos y le damos fix.

O10: Winsock hijackers

Llegado a este punto, tenemos que ser muy cuidadosos con lo que hacemos aquí, un
error y tendremos problemas con nuestra conexión a Internet. Desde merijn.org
recomiendan, si encontramos estas claves, utilizar el Spybot S&D o el LSPFix
(ambas herramientas disponibles en el post citado anteriormente) para tratarlas, así que
no vamos a profundizar en este ítem. No es de preocupar si encontramos alguna
referencia a nuestro antivirus en esta clave, es normal en aquellos que funcionan a nivel
winsock.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE

Esta clave hace referencia a IE – Herramientas – Opciones – Opciones avanzadas. Si
aquí nos aparece algún grupo extra, que no tuviera relación con los que vienen por
defecto, se encontraría en la siguiente clave:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

En merijn.com comentan que hasta ahora, sólo el hijacker CommonName añade sus
propias opciones en la pestaña de avanzadas. Esto se vería del siguiente modo:
O11 - Options group: [CommonName] CommonName

Lo seleccionamos y le damos fix. En caso de encontrar otro distinto, primero deberemos

investigar para proceder.

O12: Plugins para IE

Normalmente estos plug-ins son comunes, sirven para ampliar la funcionalidad del IE,
veamos algunos ejemplos de plug-ins comunes:
O12 - Plugin for .spop: C:\Archivos de programa\Internet
Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet Explorer\Plugins\nppdf32.dll

Si tenemos alguna duda, podemos buscar en Internet. El ejemplo mas claro de un v.s.t
es el plugin de OnFlow, que se detecta fácil por su extensión *.ofb; si lo encontramos,
hay que seleccionarlo y darle fix.

O13: Hijack del prefijo por defecto en IE

El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son manejadas
las urls que introducimos en el casillero de direcciones del navegador IE, cuando no
especificamos el protocolo (http://, ftp://, etc.). Por defecto IE tratará de emplear http://,
pero es posible modificar este valor en el registro mediante la siguiente clave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
De hecho hay v.s.t que hacen esas modificaciones, obligándonos a ir a donde no
queremos. La mas conocida es el hijacker CoolWebSearch (CWS), que sustituye el
DefaulPrefix por "http://ehttp.cc/?", de manera que cuando introducimos
"www.google.com", por ejemplo, automáticamente nos deriva a "http://ehttp.cc/?
www.google.com", que es un sitio perteneciente a CWS.
Ejemplo de algunas claves infectadas:
O13 - WWW. Prefix: http://ehttp.cc/?...
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

En estos casos, es preferible que antes de usar el HJT, tratemos de eliminar estos v.s.t
con el CWShredder, si después de reiniciar, le pasamos el HJT y nos muestra que la
clave todavía persiste, entonces lo seleccionamos y le damos fix.

O14: Hijack de la configuración por defecto de IE

El IE tiene, entre tantas opciones, una para restablecer la configuración por defecto. Los
valores se guardan en iereset.inf, ubicado en [**]\inf y el problema estriba en que si un
hijacker modifica este valor, cada vez que queramos volver a la configuración
preestablecida, en realidad estaremos poniendo la configuración del hijacker. Veamos
un ejemplo:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Lo mas recomendado es seleccionarlo y darle fix, pero hay que tener cuidado, no todo
aquí es peligroso. A veces puede deberse a manipulaciones legítimas del Administrador
de Sistemas, manufactura de equipos de ciertas marcas, etc. En estos casos seguramente
reconoceremos la URL mostrada y no será necesario ningún procedimiento.

O15: Sitios indeseados en la zona segura de IE

En el IE, la seguridad se establece mediante zonas, y según estas, los permisos serán
menores o mayores. En niveles bajos de seguridad, es posible ejecutar scripts o
determinadas aplicaciones que no están permitidos en niveles altos. Es posible añadir
dominios a unas zonas u otras (sitios de confianza/sitios restringidos), según nuestro
grado de confianza en ellos y esto se recoge en la siguiente clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains

Si, por ejemplo, añadimos www.tecniconline.com.ar a nuestros sitios de confianza, nos

aparecerá del siguiente modo en el log del HJT:
O15 - Trusted Zone: www.tecniconline.com.ar

Pero también pudiera ser que algún v.s.t, como el CWS, introduzcan sus dominios
dentro de nuestros sitios de confianza, como se ve en el ejemplo:
O15 - Trusted Zone: *.coolwebsearch.com

En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio de

confianza, lo seleccionaremos y le daremos fix.

O16: Objetos ActiveX

Los objetos ActiveX son programas descargados de alguna web y guardados en nuestra
PC. Es por eso que también se los denominan Downloaded Program Files, y su
ubicación es [**]\Downloaded Program Files. En el HJT se verán del siguiente modo:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

Los típicos v.s.t serán claramente reconocibles si vemos nombres como porno, dialers,
toolbars indeseadas o palabras claves como casino, adult, etc. Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) -
http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab

Aquí seleccionamos y damos fix, pero si tras reiniciar volvemos a encontrarlos en el

log, entonces tendremos que reiniciar en modo a prueba de fallos y eliminarlos desde
ahí.

O17: Hijack de dominio / Lop.com

Cuando escribimos el nombre de un sitio en nuestro navegador, en lugar de la dirección
IP, nuestra PC se conecta a un servidor DNS, para que resuelva correctamente el
nombre del dominio. Por supuesto, un hijacker puede cambiar las DNS que utilizamos,
por su propio servidor DNS, redireccionandonos a donde se le de la gana.
Para saber si la clave es normal o no, tendremos que hacer un whois , yendo por
ejemplo a la pagina de ARIN ( http://www.arin.net/index.shtml ) o a RIPE (
http://www.ripe.net/whois ) y allí hacemos nuestra consulta. Si los resultados revelan un
v.s.t, entonces lo seleccionamos y le damos fix.

O18: Protocolos extra / Hijack de protocolos

Esta parte se vuelve difícil de explicar. Digamos que nuestro SO utiliza unos protocolos
estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por
otros protocolos no estándar que les permita tener el control del envío y recepción de
información de nuestra PC. HJT primero busca protocolos "no estándar" en
HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID
trata de obtener la información del path, también desde el registro:
HKLM\SOFTWARE\Classes\CLSID

Ejemplo de una clave infectada con v.s.t

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

Algunos de los v.s.t que utilizan este método son Huntbar -RelatedLinks- (la del
ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. De encontrarlos, los
seleccionamos y le damos fix.

O19: Hijack de la hoja de estilo del usuario

De aparecer esta clave, si nuestro navegador esta ralentizado y frecuentes pop-ups, en
merijn.org nos recomienda que, le demos fix. Hasta ahora solo el CWS es responsable
de problemas en esta clave y, por tanto, utilicemos primeramente el CWShredders.
Aunque puede haber usuarios que tengan prefijada una hoja de estilo a su gusto, en cuyo
caso no deberían prestar atención a este ítem.

Sección O20
Esta sección corresponde a los archivos que se cargan a través del valor del registro
AppInit_DLLs.
El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán
cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería
user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro
AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya
que estará cargando con múltiples procesos, muchos de los cuales no pueden ser
detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado
en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto
significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al
inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o
protegerse a sí misma antes que tengamos acceso al sistema.

Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede
verse en Regedit dando clic derecho sobre el valor, y seleccionando Modificar dato
binario.
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legítimos que usan esta llave del registro, pero debemos
proceder con cautela cuando borremos los archivos que están alistados aquí.
Investiguemos en Internet si los archivos son legítimos. También puedes usar las listas
para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O20 List

Cuando arreglemos este tipo de entradas, HijackThis no borrará los archivos listados. Es
recomendable que reiniciemos en modo a prueba de fallo y borremos los archivos.

Sección O21
Esta sección corresponde a los archivos que se cargan a través de la llave del registro
ShellServiceObjectDelayLoad.
Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en
lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál
contiene la información acerca del DLL en particular que se está usando.
Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu
computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se
va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo
tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier
intervención humana.
Un hijacker que usa este método puede reconocerse por las siguientes entradas:
Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
C:\WINDOWS\secure.html

Llave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServic
eObjectDelayLoad
Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes
bajo esta llave. Si vemos un listado para esto, entonces no es algo estándar y deberíamos
considerarlo como sospechoso. Será preciso que busquemos en Internet la lista de
cualquier DLL halladas aquí. También podemos usar las listas para ayudarnos a
verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O21 List

Cuando arreglemos este tipo de entradas, HijackThis no borrará los archivos listados. Es
recomendable que reiniciemos en modo a prueba de fallo y borremos los archivos.

Sección O22
Esta sección corresponde a los archivos que se cargan a través del valor del registro
SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando iniciamos Windows.
A la fecha sólo CWS.Smartfinder usa esta llave.
Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explor
er\SharedTaskScheduler

Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - -

c:\windows\system32\mtwirl32.dll

Tengamos cuidado cuando removamos los objetos encontrados en estas claves ya que
algunas son legítimas. Puedes verificar en Internet para intentar determinar si éstas son
válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar
las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup Database
Castlecop's O22 List

HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no
borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID.
Por lo tanto, deberemos reiniciar en modo a prueba de fallos y borrar manualmente este
archivo.

O23: Servicios
Todos los servicios de Windows NT/XP/2000/2003
Por lo general estos servicios son comunes y no debemos hacer nada con ellos, a menos
que encontremos claros indicios de un v.s.t.

Volvemos a recordar, este tutorial solo sirve para tener una clara idea de que es
cada cosa y para que sirve, que podemos hacer y que no, pero de ningún modo, el
staff de TecnicOnLine! nos hacemos responsables por el uso de hijackthis. Siempre
esta la opción de postear el log del HJT en la sección correspondiente del foro para
ser ayudados.