En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Uso de HijackThis para eliminar troyanos:

Hijacthis es la mejor herramienta para eliminar troyanos, su reducido tamaño 213 Kb y su eficacia son sus mejores bazas. Pero el uso de Hijackthis requiere conocimientos avanzados debido a los log que genera basados en estas reglas:

R0, R1, R2, R3:
Páginas de inicio/búsqueda en el navegador Internet Explorer. Utilizado en el secuestro del navegador.

F0, F1, F2, F3:
Programas cargados a partir de archivos *.ini. Muy usado por troyanos.

N1, N2, N3, N4:
Páginas de inicio/búsqueda en Netscape/Mozilla.

O1:
Redirecciones mediante entradas en el archivo HOSTS. Usado sobre todo en ataques de phishing.

O2:
BHO (Browser Helper Object), son Plugins para Internet Explorer. Muy usados por spywares.

O3:
Barras de Herramientas para IE.

O4:
Aplicaciones que se cargan automáticamente al inicio. Aquí se encuentran muchos troyanos.

O5:
Opciones de IE invisibles desde Panel de Control. Muy usados por spywares.

O6:
Acceso restringido por el Administrador a las Opciones de IE.

O7:
Acceso restringido por el Administrador al Regedit.

O8:
Opciones extra encontradas en el menú contextual de IE.

O9:
Botones extra en la barra de herramientas de IE, así como opciones extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto).

O10:
Winsock hijackers.

O11:
Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).

O12:
Plugins para IE.

O13:
Hijack del prefijo por defecto en IE.

O14:
Hijack de la configuración por defecto de IE.

O15:
Sitios indeseados en la zona segura de IE.

O16:
Objetos ActiveX

O17:
Hijack de dominio / Lop.com

O18:
Protocolos extra / Hijack de protocolos

O19:
Hijack de la hoja de estilo del usuario.

Aquí va un ejemplo de un log de un Windows XP Profesional recién instalado sin actualizaciones:

Running processes:
C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

E:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Este ejemplo es de un Windows XP recién instalado, eso no quiere decir que un sistema con mas entradas en el log este infectado.

Si usted tiene dudas sobre lo que debe borrar aquí les dejo un link de una pagina donde se interpreta el log automáticamente y un foro donde puede postear el log y le ayudaran.


Descargar Hijacthis:
http://www.infospyware.com/antimalware/hijackthis/

Interpretar log de Hijacthis automáticamente (Ingles):
http://www.hijackthis.de/en

Foro oficial Hijacthis en español:
http://www.forospyware.com/foro-oficial-de-hijackthis-1-99-1/
Uso de HijackThis para eliminar troyanos: Uso de HijackThis para eliminar troyanos: Reviewed by Álvaro Paz on miércoles, agosto 30, 2006 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.