|
|
|
 |
O3: Toolbars para IE
Recordamos la definición de Toolbar: suelen ser un grupo de
botones situados generalmente bajo la barra de herramientas del
navegador, que pueden deberse a aplicaciones normales que
tengamos instaladas, al integrarse de esa manera en nuestro
navegador, aunque en ocasiones pueden ser producto de la
presencia de BHO maliciosos.
Su ubicación en el registro depende de esta cadena: HKLM\Software\Microsoft\Internet
Explorer\Toolbar
Ejemplo normal:
O3 - Toolbar: Web assistant -
{0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de
programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
Como se ve en el ejemplo, esa toolbar está originada por
el Norton Internet Security de Symantec. Sin embargo, en caso de
no reconocer el nombre mostrado, se puede acudir al
mismo listado
reseñado para los ítems O2 para tratar de salir de dudas
respecto a su identidad. El procedimiento es el mismo: buscar en
función del CLSID y comprobar si está referenciado como "X"
(spyware) o "L" (limpio). En caso de ser spyware, conviene
marcar el ítem y aplicar el 'Fix Checked'.
|
|
|
O4: Aplicaciones de carga automática en
inicio de Windows por Registro
La carga automática de estas aplicaciones viene dada por
ciertas claves en el registro o por aparecer en directorios del
grupo Inicio.
Claves del registro implicadas:
|
HKLM\Software\Microsoft\Windows\CurrentVersion |
\RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run |
|
HKCU\Software\Microsoft\Windows\CurrentVersion |
\RunServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run |
|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit |
Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de
programa\SSM\SysSafe.exe
Los directorios del grupo Inicio pueden
tener estas ubicaciones:
C:\Documents and Settings\All Users\Menú
Inicio\Programas\Inicio ...reflejado en el log de
HijackThis como
Global Startup; son programas que se cargan para el
perfil de todos los usuarios.
Ejemplo: O4 - Global Startup: TeleSA.lnk =
C:\Archivos de programa\AVer Teletext\AVerSA.exe
R:\Documents and Settings\USUARIO\Menú
Inicio\Programas\Inicio ...reflejado en el log de HJT como
Startup: programas que se cargan sólo para el
perfil de ese USUARIO.
Ejemplo: O4 - Startup: Microsoft Office.lnk =
C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
Si se encuentra un ítem indeseable y se le
aplica el 'Fix Checked', no será exitoso mientras el proceso
esté activo en memoria. En esos casos, primero hay que abrir el Administrador de Tareas para cerrar dicho proceso y
poder luego actuar con HijackThis
Ejemplo Spyware: (aplicar 'Fix Checked')
O4 - HKLM\..\Run: [sp] rundll32
C:\WINDOWS\TEMP\SE.DLL,DllInstall
|
|
 |
 |
|
 |
Manual de HijackThis en español
Todos los derechos reservados
© El Piedra
InfoSpyware.com
|  |
|
|