En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Uso de HijackThis para eliminar troyanos:

Hijacthis es la mejor herramienta para eliminar troyanos, su reducido tamaño 213 Kb y su eficacia son sus mejores bazas. Pero el uso de Hijackthis requiere conocimientos avanzados debido a los log que genera basados en estas reglas:

R0, R1, R2, R3:
Páginas de inicio/búsqueda en el navegador Internet Explorer. Utilizado en el secuestro del navegador.

F0, F1, F2, F3:
Programas cargados a partir de archivos *.ini. Muy usado por troyanos.

N1, N2, N3, N4:
Páginas de inicio/búsqueda en Netscape/Mozilla.

O1:
Redirecciones mediante entradas en el archivo HOSTS. Usado sobre todo en ataques de phishing.

O2:
BHO (Browser Helper Object), son Plugins para Internet Explorer. Muy usados por spywares.

O3:
Barras de Herramientas para IE.

O4:
Aplicaciones que se cargan automáticamente al inicio. Aquí se encuentran muchos troyanos.

O5:
Opciones de IE invisibles desde Panel de Control. Muy usados por spywares.

O6:
Acceso restringido por el Administrador a las Opciones de IE.

O7:
Acceso restringido por el Administrador al Regedit.

O8:
Opciones extra encontradas en el menú contextual de IE.

O9:
Botones extra en la barra de herramientas de IE, así como opciones extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto).

O10:
Winsock hijackers.

O11:
Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).

O12:
Plugins para IE.

O13:
Hijack del prefijo por defecto en IE.

O14:
Hijack de la configuración por defecto de IE.

O15:
Sitios indeseados en la zona segura de IE.

O16:
Objetos ActiveX

O17:
Hijack de dominio / Lop.com

O18:
Protocolos extra / Hijack de protocolos

O19:
Hijack de la hoja de estilo del usuario.

Aquí va un ejemplo de un log de un Windows XP Profesional recién instalado sin actualizaciones:

Running processes:
C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

E:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Este ejemplo es de un Windows XP recién instalado, eso no quiere decir que un sistema con mas entradas en el log este infectado.

Si usted tiene dudas sobre lo que debe borrar aquí les dejo un link de una pagina donde se interpreta el log automáticamente y un foro donde puede postear el log y le ayudaran.


Descargar Hijacthis:
http://www.infospyware.com/antimalware/hijackthis/

Interpretar log de Hijacthis automáticamente (Ingles):
http://www.hijackthis.de/en

Foro oficial Hijacthis en español:
http://www.forospyware.com/foro-oficial-de-hijackthis-1-99-1/
Uso de HijackThis para eliminar troyanos: Uso de HijackThis para eliminar troyanos: Reviewed by Álvaro Paz on miércoles, agosto 30, 2006 Rating: 5

11 comentarios:

Docks dijo...

Muy bueno lo de la página que lo analiza automaticamente.

Alvaro Paz dijo...

Esta basado en la experiencia de muchos usuarios y la verdad interpreta los log bastante bien, hasta reconoce el Avast! como antivirus.

Anónimo dijo...

Hola!
Navegando he visto tu página y me ha gustado.
Tengo un problema con mi pc, y es que cuando lo inicio me sale una pantalla de error, del system32, exactamente ahora nosé lo que pone exactamente, '' no detecta volumen genérico bla bla...''

Que puedo hacer para solucionarlo?

wuilly56 dijo...

Muy Buen aporte. Os encontré, usé el HijackThis en mi pc, mandé el log en línea y la verdad me sorprendió gratamente la fidelidad del análisis.
Aun no detecta a Chrome como navegador, pro lo pone como neutro.
Excelente. Muchas gracias.

Alvaro Paz dijo...

Hola
Gracias por vuestros comentarios
@Anonimo ponte en contacto por correo electrónico o el foro del blog y especifica tu caso indicando: sistema operativo y mensaje de error.
@Wuilly56 HijackThis es una herramienta muy buena para quitar malware.
Un saludo

Anónimo dijo...

Hol
Gracias a este post se usar mejor HijackThis para eliminar troyanos.

Un saludo

fede dijo...

Hola alvaro,
tengo un problema en mi XP y me baje el hijackthis, lo he pasado y es bastante claro aunque hay cosas que no entiendo muy bien ¿te puedo enviar el log y me komentas?

Tambien tengo una pregunta que hacerte: ¿como restauro un "menuitem" del IE a partir de un log anterior, no de un backup?

Gracias, espero aprender a limpiar mi equipo con este blog y tu ayuda, saludos:D

Alvaro Paz dijo...

Hola
Mandame el log al correo electronico. A partir de un log no puedes restaurar.

Un saludo

Anónimo dijo...

ademas de ser una buena herramienta, la pagina donde lo interpretan es lo maximo, yo siempre tuve que esperar a que en algun foro me lo interpretaran y eso tardaba inclusive dias y con esta pagina fueron segundos

excelentisimo aporte

gracias

Anónimo dijo...

hola gente, alvero puedo enviarte mi
log? mi problema es que ie me habre pestañas con promociones, no se bien que cerrar, emmm utilizo google chrome ,eso es o mas raro :D
muchas gracias!

Empresas de Seguridad dijo...

Buena aplicación, pero no tengo conocimientos avanzado en la informática.

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.