Cómo analizar los registros de HijackThis

Patrones y sucesiones (Abril 2025)

Patrones y sucesiones (Abril 2025)

Tabla de contenido:

Anonim

HijackThis es una herramienta gratuita de Trend Micro. Fue desarrollado originalmente por Merijn Bellekom, un estudiante en los Países Bajos. El software de eliminación de software espía, como Adaware o Spybot S&D, hace un buen trabajo de detección y eliminación de la mayoría de los programas de software espía, pero algunos programas espía y secuestradores de navegadores son demasiado insidiosos incluso para estas excelentes utilidades antispyware.

HijackThis está escrito específicamente para detectar y eliminar los secuestros del navegador, o el software que controla tu navegador web, altera tu página de inicio y motor de búsqueda predeterminados y otras cosas maliciosas. A diferencia del software anti-spyware típico, HijackThis no usa firmas ni dirige ningún programa específico o URL para detectar y bloquear. Más bien, HijackThis busca los trucos y métodos utilizados por el malware para infectar su sistema y redirigir su navegador.

No todo lo que aparece en los registros de HijackThis es algo malo y no debería eliminarse todo. De hecho, todo lo contrario. Está casi garantizado que algunos de los elementos de sus registros de HijackThis serán software legítimo y la eliminación de esos elementos puede tener un impacto adverso en su sistema o dejarlo completamente inoperable. Usar HijackThis es muy parecido a editar tú mismo el Registro de Windows. No es ciencia espacial, pero definitivamente no deberías hacerlo sin una guía experta a menos que realmente sepas lo que estás haciendo.

Una vez que instale HijackThis y lo ejecute para generar un archivo de registro, hay una gran variedad de foros y sitios donde puede publicar o cargar sus datos de registro. Los expertos que saben qué buscar pueden ayudarlo a analizar los datos de registro y aconsejarle qué elementos quitar y cuáles dejar.

Para descargar la versión actual de HijackThis, puede visitar el sitio oficial de Trend Micro.

Aquí hay una descripción general de las entradas de registro de HijackThis que puede usar para saltar a la información que está buscando:

  • R0, R1, R2, R3: URL de páginas de inicio / búsqueda de Internet Explorer
  • F0, F1 - Programas de carga automática
  • N1, N2, N3, N4: URL de páginas de inicio / búsqueda de Netscape / Mozilla
  • O1 - Hosts redireccionamiento de archivos
  • O2 - Objetos de ayuda del navegador
  • O3 - Barras de herramientas de Internet Explorer
  • O4 - Programas de carga automática desde el registro
  • O5: el icono Opciones de IE no se ve en el Panel de control
  • O6 - Acceso a Opciones de IE restringido por el Administrador
  • O7 - Acceso regedit restringido por el Administrador
  • O8 - Elementos adicionales en el menú contextual de IE
  • O9: botones adicionales en la barra de herramientas del botón principal de IE, o elementos adicionales en el menú 'Herramientas' de IE
  • O10 - secuestrador Winsock
  • O11 - Grupo extra en la ventana de 'Opciones avanzadas' de IE
  • O12 - IE plugins
  • O13 - IE DefaultPrefix secuestro
  • O14 - Secuestro 'Restablecer configuración web'
  • O15 - Sitio no deseado en la Zona de confianza
  • O16 - Objetos ActiveX (también conocidos como archivos de programa descargados)
  • O17 - secuestradores de dominio Lop.com
  • O18 - Protocolos adicionales y secuestradores de protocolo
  • O19 - secuestro de hoja de estilo de usuario
  • O20 - Autoinicio del valor de registro AppInit_DLLs
  • O21 - ShellServiceObjectDelayLoad La clave de registro se ejecuta automáticamente
  • O22 - La clave del Registro SharedTaskScheduler se ejecuta automáticamente
  • O23 - Servicios de Windows NT

R0, R1, R2, R3 - Páginas de inicio y búsqueda de IE

Lo que parece:R0 - HKCU Software Microsoft Internet Explorer Main, Página de inicio = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (este tipo no es usado por HijackThis todavía)R3 - Falta el URLSearchHook predeterminado

Qué hacer:Si reconoce la URL al final como su página de inicio o motor de búsqueda, está bien. Si no lo hace, verifíquelo y pida a HijackThis que lo arregle. Para los elementos de R3, corríjalos siempre a menos que mencione un programa que reconozca, como Copernic.

F0, F1, F2, F3: carga automática de programas desde archivos INI

Lo que parece:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Qué hacer:Los elementos F0 son siempre malos, así que repáralos. Los elementos de F1 suelen ser programas muy antiguos que son seguros, por lo que debería encontrar más información en el nombre del archivo para ver si es bueno o malo. La lista de inicio de Pacman puede ayudar a identificar un artículo.

N1, N2, N3, N4 - Página de inicio y búsqueda de Netscape / Mozilla

Lo que parece:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Archivos de programa Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Qué hacer:Por lo general, la página de inicio y la página de búsqueda de Netscape y Mozilla son seguras. Rara vez son secuestrados, solo Lop.com ha sido conocido por hacer esto. Si ves una URL que no reconoces como tu página de inicio o página de búsqueda, haz que HijackThis la arregle.

O1 - Redirecciones de archivos de hosts

Lo que parece:O1 - Hosts: 216.177.73.139 auto.search.msn.comO1 - Hosts: 216.177.73.139 search.netscape.comO1 - Anfitriones: 216.177.73.139 ieautosearchO1: el archivo de hosts se encuentra en C: Windows Help hosts

Qué hacer:Este secuestro redirigirá la dirección a la derecha a la dirección IP a la izquierda.Si la IP no pertenece a la dirección, será redirigido a un sitio incorrecto cada vez que ingrese la dirección. Siempre puede hacer que HijackThis solucione esto, a menos que coloque esas líneas a sabiendas en su archivo Hosts.

El último elemento ocurre a veces en Windows 2000 / XP con una infección Coolwebsearch. Arregle siempre este elemento, o haga que CWShredder lo repare automáticamente.

O2 - Objetos de ayuda del navegador

Lo que parece:O2 - BHO: Yahoo! Compañero BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: ARCHIVOS DE PROGRAMA YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (sin nombre) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (falta el archivo)O2 - BHO: MediaLoads mejorado - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Qué hacer:Si no reconoce directamente el nombre de un Objeto auxiliar del navegador, use BHO y la Lista de la barra de herramientas de TonyK para encontrarlo por el ID de clase (CLSID, el número entre llaves) y vea si es bueno o malo. En la lista de BHO, 'X' significa spyware y 'L' significa seguro.

O3 - IE toolbars

Lo que parece: O3 - Barra de herramientas: y Yahoo! Compañero - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: ARCHIVOS DE PROGRAMA YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Barra de herramientas: Eliminador de ventanas emergentes - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: ARCHIVOS DE PROGRAMA POPUP ELIMINATOR PETOOLBAR401.DLL (falta el archivo)O3 - Barra de herramientas: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Qué hacer:Si no reconoce directamente el nombre de una barra de herramientas, use BHO y la Lista de barras de herramientas de TonyK para encontrarlo por el ID de clase (CLSID, el número entre llaves) y vea si es bueno o malo. En la Lista de la barra de herramientas, 'X' significa spyware y 'L' significa seguro. Si no está en la lista y el nombre parece una cadena de caracteres aleatoria y el archivo está en la carpeta 'Datos de la aplicación' (como la última en los ejemplos anteriores), probablemente sea Lop.com, y definitivamente debería tener la solución HijackThis eso.

O4 - Programas de carga automática del registro o grupo de inicio

Lo que parece:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Archivos de programa Archivos comunes Symantec Shared ccApp.exe"O4 - Inicio: Microsoft Office.lnk = C: Archivos de programa Microsoft Office Office OSA9.EXEO4 - Inicio global: winlogon.exe

Qué hacer:Usa la lista de inicio de PacMan para encontrar la entrada y ver si es buena o mala.

Si el elemento muestra un programa que se encuentra en un grupo de Inicio (como el último elemento anterior), HijackThis no puede corregir el elemento si este programa aún está en la memoria. Use el Administrador de tareas de Windows (TASKMGR.EXE) para cerrar el proceso antes de arreglarlo.

O5 - Opciones de IE no visibles en el Panel de control

Lo que parece: O5 - control.ini: inetcpl.cpl = no

Qué hacer:A menos que usted o su administrador del sistema hayan ocultado a sabiendas el icono del Panel de control, pida a HijackThis que lo arregle.

O6 - Acceso a Opciones de IE restringido por el Administrador

Lo que parece:O6 - HKCU Software Policies Microsoft Internet Explorer Restricciones presentes

Qué hacer:A menos que tenga la opción de Spybot S&D 'Bloquear la página de inicio de cambios' activa, o que el administrador del sistema ponga esto en su lugar, haga que HijackThis arregle esto.

O7 - Acceso regedit restringido por el Administrador

Lo que parece:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Qué hacer:Siempre haga que HijackThis solucione esto, a menos que el administrador del sistema haya implementado esta restricción.

O8 - Elementos adicionales en el menú contextual de IE

Lo que parece: O8 - Elemento de menú de contexto adicional: & Búsqueda de Google - res: // C: WINDOWS ARCHIVOS DE PROGRAMA DESCARGADOS GOOGLETOOLBAR_ES_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Elemento de menú contextual adicional: Yahoo! Buscar - archivo: /// C: Archivos de programa Yahoo! Common / ycsrch.htmO8 - Elemento de menú de contexto adicional: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Elemento de menú contextual adicional: Zoom O y ut - C: WINDOWS WEB zoomout.htm

Qué hacer:Si no reconoce el nombre del elemento en el menú del botón derecho en IE, pida a HijackThis que lo arregle.

O9 - Botones adicionales en la barra de herramientas principal de IE, o elementos adicionales en el menú 'Herramientas' de IE

Lo que parece: O9 - Botón extra: Messenger (HKLM)O9 - Menusem 'Herramientas' adicionales: Messenger (HKLM)O9 - Botón extra: AIM (HKLM)

Qué hacer:Si no reconoce el nombre del botón o elemento del menú, pida a HijackThis que lo arregle.

O10 - secuestradores de Winsock

Lo que parece: O10 - Acceso a Internet secuestrado por New.NetO10 - Falta de acceso a Internet debido a que falta el proveedor de LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll'O10 - Archivo desconocido en Winsock LSP: c: archivos de programa newton knows vmain.dll

Qué hacer:Es mejor solucionarlos utilizando LSPFix de Cexx.org, o Spybot S&D de Kolla.de.

Tenga en cuenta que HijackThis no solucionará los archivos 'desconocidos' en la pila LSP, por cuestiones de seguridad.

O11 - Grupo extra en la ventana de 'Opciones avanzadas' de IE

Lo que parece: O11 - grupo de opciones: CommonName CommonName

Qué hacer:El único secuestrador a partir de ahora que agrega su propio grupo de opciones a la ventana de Opciones avanzadas de IE es CommonName. Así que siempre puedes hacer que HijackThis arregle esto.

O12 - IE plugins

Lo que parece: O12 - Complemento para .spop: C: Archivos de programa Internet Explorer Plugins NPDocBox.dllO12 - Complemento para .PDF: C: Archivos de programa Internet Explorer PLUGINS nppdf32.dll

Qué hacer:La mayoría de las veces estos son seguros. Solo OnFlow agrega un complemento aquí que no desea (.ofb).

O13 - IE DefaultPrefix secuestro

Lo que parece: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefijo: http://ehttp.cc/?

Qué hacer:Estos siempre son malos. Haz que HijackThis los arregle.

O14 - Secuestro 'Restablecer configuración web'

Lo que parece: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Qué hacer:Si la URL no es el proveedor de su computadora o su ISP, pida a HijackThis que lo arregle.

O15 - Sitios no deseados en la Zona de confianza

Lo que parece: O15 - Zona de confianza: http://free.aol.comO15 - Zona de confianza: * .coolwebsearch.comO15 - Zona de confianza: * .msn.com

Qué hacer:La mayoría de las veces, solo AOL y Coolwebsearch agregan sitios a la Zona de confianza en silencio. Si usted mismo no agregó el dominio listado a la Zona de confianza, haga que HijackThis lo arregle.

O16 - Objetos ActiveX (también conocidos como archivos de programa descargados)

Lo que parece: O16 - DPF: Yahoo! Chat: http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Qué hacer:Si no reconoce el nombre del objeto o la URL desde la que se descargó, pida a HijackThis que lo arregle. Si el nombre o la URL contienen palabras como 'marcador', 'casino', 'free_plugin', etc., definitivamente repárelo. SpywareBlaster de Javacool tiene una enorme base de datos de objetos ActiveX maliciosos que se pueden usar para buscar CLSID. (Haga clic con el botón derecho en la lista para usar la función Buscar).

O17 - secuestros de dominio Lop.com

Lo que parece: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: Domain = W21944.find-quick.comO17 - HKLM Software .. Telefonía: DomainName = W21944.find-quick.comO17 - HKLM Sistema CCS Servicios Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Dominio = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Qué hacer:Si el dominio no es de su ISP o red de la empresa, pida a HijackThis que lo arregle. Lo mismo ocurre con las entradas 'SearchList'. Para las entradas del 'Servidor de nombres' (servidores DNS), busque la dirección IP o IP de Google y será fácil ver si son buenas o malas.

O18 - Protocolos adicionales y secuestradores de protocolo

Lo que parece: O18 - Protocolo: enlaces relacionados - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protocolo: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Secuestro de protocolo: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Qué hacer:Sólo unos pocos secuestradores aparecen aquí. Los malos conocidos son 'cn' (CommonName), 'ayb' (Lop.com) y 'relatedlinks' (Huntbar), deberías tener HijackThis para corregirlos. Otras cosas que aparecen aún no están confirmadas como seguras o han sido secuestradas (es decir, el CLSID ha sido modificado) por spyware. En el último caso, haz que HijackThis lo arregle.

O19 - secuestro de hoja de estilo de usuario

Lo que parece: O19 - Hoja de estilo del usuario: c: WINDOWS Java my.css

Qué hacer:En el caso de una ralentización del navegador y ventanas emergentes frecuentes, haga que HijackThis arregle este elemento si aparece en el registro. Sin embargo, ya que solo Coolwebsearch hace esto, es mejor usar CWShredder para solucionarlo.

O20 - Autoinicio del valor de registro AppInit_DLLs

Lo que parece: O20 - AppInit_DLLs: msconfd.dll

Qué hacer:Este valor del Registro ubicado en HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows carga una DLL en la memoria cuando el usuario inicia sesión, después de lo cual permanece en la memoria hasta el cierre de sesión. Muy pocos programas legítimos lo usan (Norton CleanSweep usa APITRAP.DLL), la mayoría de las veces es utilizado por troyanos o secuestradores de navegador agresivos.

En caso de que se cargue un archivo DLL 'oculto' desde este valor del Registro (solo visible cuando se usa la opción 'Editar datos binarios' en Regedit), el nombre de la dll puede tener el prefijo de una tubería '|' para hacerlo visible en el registro.

O21 - ShellServiceObjectDelayLoad

Lo que parece: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Qué hacer:Este es un método de ejecución automática no documentado, normalmente utilizado por algunos componentes del sistema de Windows. Los elementos enumerados en HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad son cargados por Explorer cuando se inicia Windows. HijackThis utiliza una lista blanca de varios elementos SSODL muy comunes, por lo que cada vez que se muestra un elemento en el registro es desconocido y posiblemente malicioso. Tratar con mucho cuidado.

O22 - SharedTaskScheduler

Lo que parece: O22 - SharedTaskScheduler: (sin nombre) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Qué hacer:Esta es una ejecución automática no documentada solo para Windows NT / 2000 / XP, que se usa muy raramente. Hasta ahora solo CWS.Smartfinder lo usa. Tratar con cuidado.

O23 - Servicios NT

Lo que parece: O23 - Servicio: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Archivos de programa Kerio Personal Firewall persfw.exe

Qué hacer:Esta es la lista de servicios que no son de Microsoft.La lista debe ser la misma que se ve en la utilidad Msconfig de Windows XP. Varios secuestradores de troyanos utilizan un servicio casero como complemento de otras startups para reinstalarse. El nombre completo suele ser importante, como "Servicio de seguridad de red", "Servicio de inicio de sesión en la estación de trabajo" o "Asistente de llamada a procedimiento remoto", pero el nombre interno (entre paréntesis) es una cadena de basura, como "Ort". La segunda parte de la línea es el propietario del archivo al final, como se ve en las propiedades del archivo.

Tenga en cuenta que arreglar un artículo O23 solo detendrá el servicio y lo deshabilitará. El servicio debe eliminarse del Registro manualmente o con otra herramienta. En HijackThis 1.99.1 o superior, el botón 'Eliminar el Servicio NT' en la sección de Herramientas Misc puede usarse para esto.

NSLOOKUP y cómo funciona con los registros DNS

NSLOOKUP y cómo funciona con los registros DNS

El comando nslookup muestra información sobre los servidores de Internet consultando a los servidores DNS la dirección IP (A), el servidor de correo (MX) y otros registros DNS.

Cómo acceder a los registros de chat de Google Hangouts en Gmail

Cómo acceder a los registros de chat de Google Hangouts en Gmail

Es fácil mirar hacia atrás en una conversación previa de chat de Google. Desde Gmail, puedes activar Google Hangouts para leer y enviar mensajes desde la barra lateral.

Cómo descargar los registros de chat de Gmail a través de IMAP

Cómo descargar los registros de chat de Gmail a través de IMAP

Descarga tus transcripciones de Google Hangouts desde Gmail si configuraste Gmail como una cuenta IMAP en un programa de correo electrónico como Microsoft Outlook.

La Elección Del Editor