Cómo analizar un reporte HijackThis

Junio 2017


Este artículo está destinado a los que desean conocer mejor esta herramienta, hasta hoy imprescindible para establecer un primer diagnostico de un PC infectado.
La finalidad de este articulo no es la de ser puramente técnico, sino que el usuario se familiarice con los pasos a seguir en el análisis de un reporte HijackThis. Además presentará las principales funcionalidades de esta herramienta.

A lo largo de la lectura descubrirás que el principal objetivo de HijackThis es el de listar los puntos más delicados en el registro del sistema, los procesos y los servicios activos, así como otros lugares que pueden haber sido modificados por programas maliciosos, gusanos, virus, spywares, etc.

Cada una de las diferentes partes del reporte estará sujeto a nuestra interpretación, allí podremos encontrar tanto entradas corruptas como legitimas por lo que debemos tener mucho cuidado.
Nuestra investigación del problema nos permitirá establecer un primer diagnostico que identifique el problema y podamos conducir al usuario al uso de un método de desinfección más focalizado.
Focalizar el problema es importante, porque a menudo, no bastará con eliminar las líneas del reporte para neutralizar la infección.
Por lo general, deberemos utilizar herramientas de desinfección más específicas que se encarguen de eliminar todos los bichos ligados a la infección, comprendiendo aquellos que no podrían aparecer en el reporte HijackThis. Por lo tanto, debemos tener en mente que un reporte HijackThis que a primera vista parece “limpio” no significa necesariamente que el PC no está infectado!


1) Instalar HijackThis y generar un reporte

Primeramente debemos bajar e instalar el programa.
Enlaces de descarga:

Si utilizas el archivo Trend Micro HijackThis Installer (HJTInstall.exe), no tendrás ningún problema con la instalación, solo deberás seguir las instrucciones y aceptar la ruta de instalación propuesta por defecto:
C:\Program Files\Trend Micro
Se creará un acceso directo en el escritorio y el menú principal del programa se abrirá automáticamente.

En caso contrario, deberás crear una carpeta especial para el programa y ejecutar HijackThis desde esta carpeta.
Es muy importante que no dejes el archivo que bajaste entre los archivos temporales, porque sino cuando elimines una línea, la carpeta buckup (copia de respaldo) que es creada también será creada entre estos archivos. Por lo general el contenido de las carpetas temporales es eliminado al hacer una desinfección, y en caso de que hagas una mala manipulación te será imposible volver a ejecutar HijackThis o restaurar una línea eliminada por error!

Para generar un reporte, sigue estos pasos:
  • Ejecuta HijackThis haciendo doble clic en su icono
  • En el menú principal, haz clic en Do a system Scan only and Save a Logfile
  • HijackThis generará un reporte en un archivo texto, será creado en la carpeta de desinfección creada inicialmente para la instalación.
  • Ver este manual de uso


El reporte nos permite conocer los programas y procesos que corren en el PC, pero no revela información confidencial del usuario!

Excepto en dos casos particulares y sobre todo si HijackThis es instalado en el escritorio/mis documentos o si es ejecutado con la conexión a Internet activa.
  • 1) Si la sesión lleva el nombre o apellido de la persona, el reporte mencionará el nombre de la sesión, y por lo tanto el nombre del usuario!
  • 2) La conexión a Internet está activa, la dirección IP de tu PC aparecerá en el reporte.


Consulta este link: Conservar el anonimato

Menú principal de HijackThis:

2) ¿Cómo interpretar las líneas de un reporte HijackThis?

Básicamente el reporte se organiza en tres partes:
  • 1ra parte: informaciones generales acerca del sistema operativo, la versión de HijackThis y el modo en el que ha sido ejecutado: normal o en modo seguro…
  • 2da parte: una lista de los principales procesos cargados en memoria
  • 3ra parte: la más amplia, la que desarrollaremos y detallaremos a continuación, las líneas correspondientes a entradas particulares del registro del sistema que pueden o no haber sido infectadas.


No confundir! HijackThis no es un programa de desinfección como un anti-spyware que escaneará y eliminará los archivos infectados que encuentre después de pedir una confirmación.
Sin embargo, éste puede modificar el registro y eliminar archivos asociados a éstas, por consiguiente este programa está destinado a usuarios bien informados que conozcan bien el funcionamiento de Windows, ya que si es mal utilizado podría causar problemas que van desde la pérdida de la conexión a Internet, hasta problemas en el funcionamiento del sistema o de los programas instalados.

Castlecops.com es una página que permite analizar una gran parte de las entradas del reporte HijackThis, esta página es en la actualidad la referencia en la web en materia del análisis de líneas.


A la izquierda de la página de inicio, hay un menú como el de arriba que permite analizar las líneas:
  • 016/ActiveX: las líneas 016
  • CLSID list: las líneas 02 y 03
  • 018, 020, 022, 023, 09: las líneas correspondientes al mismo número para HijackThis
  • StartupList: las líneas 04


Estos son los diferentes resultados que podemos obtener después de una búsqueda:
  • Y = inicio normal
  • U = esto depende si el usuario lo necesita en el inicio
  • X = peligroso/spyware
  • ? = estado desconocido
  • L = legitimo, normal
  • O = abierto a debate (en este caso hacer una búsqueda mas profunda)


Nota: existe una alternativa a Castlecops para las líneas O2 y O4: http://www.sysinfo.org/

Ejemplo de análisis de una línea 02 con Castlecops:
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\byxwv.dll


Después de pegar la cadena de caracteres entre llaves en la barra de búsqueda (Search), obtenemos el siguiente resultado: el estatus nos dice que la línea corresponde a un archivo infeccioso perteneciente al malware Vundo. Una búsqueda en Google del archivo <gras>byxwv.dll asociado a esta línea nos habría llevado a la misma conclusión.

También contamos con la página oficial de análisis de reportes HijackThis en línea:
http://www.hijackthis.de/en

Atención!! Esta página está destinada a usuarios conocedores. Entonces si no cuentas con un mínimo de conocimientos mejor no la utilices, si no será bajo tu entera responsabilidad.

3) Eliminar o Corregir una línea HijackThis

Recuerda: La eliminación de una línea significa su eliminación del registro del sistema.

Antes de eliminar una línea, comprueba:

a) Que el programa esté bien instalado:
  • ej: C:\Program Files\Trend Micro\HijackThis\HijackThis.exe => bien instalado
  • ej: C:\DOCUME~1\michael\LOCALS~1\Temp\Rar$EX00.313\HijackThis.exe => mal instalado ya que está en los archivos temporales de Internet




b) Que HjackThis generará una copia de respaldo:
  • Cierra todas las ventanas.
  • Ejecuta HijackThis y selecciona Open the misc tools section, luego selecciona la opción Main, asegúrate que "Make backups before fixing ítems" esté activado.



Una vez que hayas identificado la línea o líneas a eliminar, haz lo siguiente:
  • En el menú principal, selecciona do a scan only, luego marca la casilla delante de las líneas a corregir y haz clic en Fix Checked.
  • Al final del scan, haz clic en Save log, el reporte será generado en la carpeta inicialmente creada para instalar HijackThis


Observaciones importantes: nota que cuando uno de los elementos es corregido, HijackThis modificará el registro del sistema pero no eliminará automáticamente el archivo asociado en el disco.
Esto significa que será necesario completar el análisis del reporte haciendo una desinfección manual o utilizando otros programas especializados en las infecciones encontradas para eliminar las claves o archivos infecciosos que aun queden.

4) Análisis detallado de cada línea y las infecciones mas comunes asociadas a ellas

1ra Parte: Información general

Logfile of Trend Micro HijackThis v2.0.2 => versión del programa, a la fecha la última versión es la 2.02
Scan saved at 19:57:26, on 30/05/2008 => hora y día que fue generado el reporte, se deberán generar reportes regularmente durante la desinfección para observar su evolución.
Platform: Windows Vista (WinNT 6.00.1904) => la versión del sistema operativo, aquí Windows Vista
MSIE: Internet Explorer v7.00 (7.00.6000.16643) => la última actualización
Boot mode: Normal => modo en el que ha sido generado el reporte, aquí en modo normal, si hubiera sido hecho en modo seguro, habría aparecido: Safe mode

2da Parte: listado de procesos activos

Esta parte te permitirá comprobar la legitimidad de los procesos que se están ejecutando.
Running processes:

C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Lexmark 1200 Series\LXCZbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\VirusKeeper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Windows\System32\mobsync.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\vk_scan.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

En esta parte deberemos comprobar que todos los procesos sean legítimos. Aquí encontraremos, tanto procesos pertenecientes a Windows, programas instalados, controladores asi como a algunos malwares. Por lo tanto deberemos comprobar que los procesos del sistema estén en sus carpetas nativas y respectivas, es decir en la carpeta habitual que se encuentra en un PC sano.
También debemos comprobar la ortografía, puesto que algunos malwares engañan utilizando nombres muy parecidos a los de archivos del sistema!

En este ejemplo, podemos comparar diferentes modos en que un malware se camufla:
  • C:\Windows\system32\svchost.exe <= OK!
  • C:\Windows\system32\scvhost.exe <= ilegitimo!
  • C:\Windows\svchost.exe <= ilegitimo!
  • C:\DOCUME~1\michael\LOCALS~1\Temp\svchost.exe <= ilegitimo!


Esta parte del reporte también nos permitirá saber, si:
  • Un antivirus está instalado y está activado.
  • Un cortafuegos está instalado.
  • HijackThis está bien instalado, y eventualmente si ha sido renombrado correctamente, en el caso de que sea necesario renombrarlo para que aparezca la actividad de ciertos spywares en el reporte.


En caso de dudas acerca de la legitimidad de un archivo, la búsqueda que hagamos en Internet será decisiva! De aquí la importancia de tener un conocimiento mínimo de los procesos de Windows más comunes y ponerles una atención especial durante el análisis. Con la práctica, los procesos dudosos aparecerán más fácilmente.

3ra Parte: líneas correspondientes a las entradas del registro del sistema

Líneas: R0, R1, R2, R3: URLs de páginas de inicio y búsqueda en Internet Explorer

Análisis: hay que verificar las URLs y eliminar las indeseables

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Smitfraud:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:://www.quicknavigate.com/bar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

Vbs\Solow:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Window Title = Hacked by MOOzilla”
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

Diversos:
R3 - URLSearchHook: download-boosters Toolbar - {e4000b62-fa5d-4b39-b254-0a4c485aaf11} - C:\Program Files\download-boosters\tbdown.dll
R3 - URLSearchHook: (no name)
R3 - URLSearchHook: Multi_Media_France - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
R3 - Default URLSearchHook is missing

Líneas: F0, F1, F2, F3: programas cargados automáticamente en el inicio del sistema a partir de archivos .INI

Análisis: hay que comprobar la legitimidad de los archivos .exe

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Banker/msn:
F2 – REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe,
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe

Brontok:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"

Líneas N1, N2, N3, N4: corresponde a las URLs de páginas de inicio y búsqueda por defecto en los navegadores Netscape y Mozilla.

Análisis: lo mismo que para las líneas R0, R1, R2, R3

Líneas 01: modificación del archivo Host, para redirigir el acceso a una página web o bloquear el acceso a una.

Análisis: si uno mismo no ha hecho ninguna restricción, entonces todas deben ser eliminadas!

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Redirección, bloqueo del acceso a páginas de antivirus en línea:
O1 - Hosts: 2130706433 www.kaspersky.com
O1 - Hosts: 2130706433 www.avp.com
O1 - Hosts: 2130706433 kaspersky.com

Brontok:
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}

Lineas 02, 03: plug-ins y barra de herramientas por defecto o agregadas al navegador

Análisis: Tan solo hay que copiar la cadena de caracteres en negrita en la barra de búsqueda de Castlecops, también la podemos hacer directamente comprobando la legitimidad de los archivos o programas.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Vundo:
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\byxwv.dll

Barra de herramientas no deseadas Mirar (rogue):
O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\version69ie7fix.dll

Lineas 04: Programas que se cargan automáticamente en el inicio de Windows

Analisis: verificar la legitimidad y ubicación del archivo con castelcops y a través de tus búsquedas en Internet.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Los archivos (en negrita) infectados indican la presencia de malwares
O4 - HKCU\..\Run:Run: [taskmgra] C:\WINDOWS\system32\taskmgra.com
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - Global Startup: winlgn.exe
O4 - Global Startup: SRVSPOOL.exe

Líneas 05, 06: Iconos de opción de Internet de IE y Acceso restringido a las opciones de IE por el administrador

Análisis: Estás restricciones pueden haber sido agregadas por el administrador del PC o por un malware, es necesario verificar la legitimidad de estas restricciones antes de eliminarlas!

Ejemplo de restricciones:
O5 - control.ini: inetcpl.cpl=no
O5 - control.ini: Desk.cpl

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Líneas 07: Acceso restringido por el administrador al registro del sistema

Análisis: preguntar al usuario del pc si la restricción ha sido hecha como medida de seguridad antes de eliminarla.

Ejemplo de las infecciones más comunes asociadas a estas líneas:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Líneas 08: Elementos adicionales en el menú contextual de IE

Análisis: hay que verificar los URL y eliminar los indeseables

mywebsearch:
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZK

Líneas 09: Botones adicionales en la barra de herramientas de IE

Análisis: copia la cadena de caracteres en negrita en la barra de búsqueda de castlecops, también lo podemos hacer directamente verificando la legitimidad de los archivos o programas. Hacer las búsquedas que sean necesarias.

Ejemplo de las infecciones más comunes asociadas a estas líneas:
Adware ShopperReports:
O9 -- Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll

BrowserAid:
O9 - Extra button: (no name) - {07b7f771-1b8e-4b7b-823e-ffac1732aa9e} - (no file)


Líneas 010: Winsock o LSPs (Layered Service Provider) permiten ver todo el tráfico en nuestra conexión a Internet.

Análisis: verificar la legitimidad y la ubicación del archivo con castelcops y a través de tus búsquedas en Internet.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

newdotnet:
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet6_38.dll' missing

Trojan.Spy.Bzub/Trojan:Win32/Mespam.B:
O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing

Líneas 011, 012: Grupos adicionales en las “Opciones avanzadas” de IE y Plugins para IE

Análisis: verificar la legitimidad y la ubicación del archivo.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Estos tipos de infecciones son muy raras!

Líneas 013: Prefijo por defecto de las URLs en IE

Análisis: hay que verificar las URLs y eliminar las indeseables

Ejemplo de las infecciones más comunes asociadas a estas líneas: estos tipos de infección son bastante raros!

Cws:
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=18&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=18&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=18&q=

Líneas 014: Modificación del archivo que contiene la configuración por defecto de las opciones de IE

Análisis: hay que verificar las URLs y eliminar las indeseables

Ejemplo de las infecciones más comunes asociadas a estas líneas: estos tipos de infección son bastante raros!

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Líneas 015: Sitios o direcciones IP indeseables agregados en la zona segura de Internet Explorer

Análisis: hay que verificar las URLs y eliminar las indeseadas! Preguntar al usuario del pc si estos sitios han sido agregados voluntariamente.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Ejemplo de sitios agregados por malwares:
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

Líneas 016: Adición de controles ActiveX

Análisis: hay que verificar las URLs y eliminar las indeseadas! Aquí podemos eliminar todas las 016, incluso las legítimas ya que éstas pueden ser creadas nuevamente si es necesario (para los sitios de escáner en línea por ejemplo)

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Ejemplo de sitios que han sido agregados por malwares:

Instantacces:
O16 - DPF: {11F1D260-129E-4EB7-B37E-57E3D97A3DF1} - hllp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1044_FR_XP.cab

Dialer carpediem divers:
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - hllp://www.megabaise.com/dialers/megabaiseX.exe


Exploit faille chm:
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http:$$63.217.31.72/d1//xxx.chm::/dropper.exe

Lineas 017 Modificación de los servidores DNS para redirigir a sitios maliciosos.

Análisis: hay que verificar las URLs y eliminar las indeseadas con la ayuda de castelcops y el sitio DNSstuffs;
Podremos determinar con el usuario si la dirección IP le pertenece!

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Ejemplo de cómo los malwares redirigen las páginas hacia otras páginas web agregadas por ellos:
VideoAccess/Wareout:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameSeRXToolBarrver = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123

Líneas 018: Modificación del los protocolos por defecto, para tomar el control del envío y recepción de información.

Análisis: verificar la legitimidad y la ubicación del archivo utilizando castelcops y haciendo tus pesquisas en Internet.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

Líneas 019: Modificación de las páginas layout

Análisis: verificar la legitimidad y ubicación de los archivos.

Ejemplo de las infecciones más comunes asociadas a estas líneas: este tipo de infección es bastante raro!

O19 - User stylesheet: C:\WINDOWS\windows.dat

Líneas 020: Modificación de AppInit_DLLs en el registro, en inicio automático que puede permitir a los malwares ejecutarse en el inicio de Windows.

Análisis: verificar la legitimidad y ubicación del archivo utilizando castelcops y a través de tus pesquisas.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Los archivos (en negrita) infectados indican la presencia de malwares:

Vundo & co:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\<gras>rpcc.dll

O20 - Winlogon Notify: awtqq - C:\WINDOWS\system32\awtqq.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00E0622.dat

Líneas 021: archivos cargados por la clave de registro ShellServiceObjectDelayLoad en inicio automático

Análisis: verificar la legitimidad y ubicación del archivo con castelcops y a través de tus pesquisas.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

IRCBot, infection msn:
O21 - SSODL: rdshost - {4926ABFC-2FBE-4962-9FF8-EB69334DEFD7} - rdshost.dll

Líneas 022: archivos cargados por la clave de registro SharedTaskScheduler en inicio automatico

Análisis: verificar la legitimidad y ubicación del archivo con castelcops y a través de tus pesquisas.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Aquí los archivos (en negrita) infectados indicaran la presencia de malwares:

Smitfraud:
O22 - SharedTaskScheduler: inoperable - {1b40d2ad-d237-4544-b1e1-0bf75bf8fcc0} - C:\WINDOWS\system32\jdxah.dll

Líneas 023: Los servicios de Windows

Análisis: verificar la legitimidad y ubicación del archivo con castelcops y a través de tus pesquisas.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

Los archivos (en negrita) infectados indicaran la presencia de malwares:

Diversos gusanos:
O23 - Service: Microsoft Logitech WLAN - Unknown owner - C:\WINDOWS\system32\dllcache\mslw.exe
O23 - Service: Googles Onlines Search Services - Unknown owner - C:\WINDOWS\system32\wnslogan.exe

Infección china:
O23 - Service: Yahoo Service (YahooSvr) - Unknown owner - C:\WINDOWS\system32\98FEE\svchost.exe (file missing)

Líneas 024: componentes de escritorio Windows Active Desktop.

Análisis: verificar la legitimidad y ubicación del archivo con castelcops y a través de tus pesquisas.

Ejemplo de las infecciones más comunes asociadas a estas líneas:

O24 - Desktop Component 1: (no name) - %Windir%\warnhp.html

Observación: Por lo general las infecciones más comunes encontradas en un reporte hijackthis se concentran entre las líneas: 02/03, 04, 20 y 23. Por lo tanto habrá que hacer un análisis minucioso de estas entradas.

Esta lista no es exhaustiva y solo da una idea de las infecciones más comunes encontradas en el foro.

5) ¿Cómo saber si un archivo es peligroso?

Como lo habrás podido notar en la parte análisis de un reporte hijackthis, saber reconocer la legitimidad de un archivo es primordial en el análisis de cualquier tipo de reporte. Necesitarás un poco de tiempo para familiarizarte con los nombres de los archivos de Windows más comunes y poder identificar rápidamente los archivos infecciosos.


Ver este artículo: Cómo saber si un archivo o proceso es legítimo

Nota: eliminar una línea con HijackThis no eliminará el archivo infeccioso asociado.

6) ¿Cómo restaurar una línea eliminada por error?

Si HijackThis fue instalado correctamente, es decir instalado en una carpeta creada especialmente, entonces un archivo backup será creado automáticamente cuando una línea sea eliminada, lo que nos permitirá restaurar una entrada en el caso de que haya sido eliminada por error.

Para ello, sigue estos pasos:
  • Ejecuta HijackThis
  • En el menú principal, seleccionar: view the list of backups
  • Marcar las líneas que se desean restaurar, luego hacer clic en restore (Restaurar)



Nota: Es posible recuperar el archivo buckup así no hayas instalado correctamente HijackThis, es decir si lo dejaste en los archivos temporales, con la condición de que antes no hayas eliminado los archivos temp.
Un atajo para acceder más fácilmente a esta carpeta:
  • Ir al menú Inicio / Ejecutar y escribir %temp% luego aceptar
  • Luego mover el archivo buckup al escritorio


En caso de que se eliminen los archivos temporales, las copias de respaldo serán perdidas y volver hacia atrás será IMPOSIBLE.

Al contrario, las Funciones delete y delete all permiten eliminar la o las copias de respaldo que ya no son útiles.

7) Otras funciones del programa HijackThis

Opciones avanzadas que encontraras en la sección open misc tools section del menú principal.

Generar la lista de aplicaciones que se inician en el arranque del PC

HijackThis integra una herramienta que permite hacer una lista de todas las aplicaciones que se inician automáticamente cuando el PC arranca. Esta función es similar a la que existe en Windows a través del comando msconfig.

Para generar la lista, en el menú principal:
  • Selecciona la sección open misc tools section
  • Haz clic en Generate startuplist log
  • HijackThis abrirá casi instantáneamente una ventana Notepad (bloc de notas) con los elementos de inicio del PC.


Generar la lista de los procesos activos en el PC

Al igual que el Administrador de tareas de Windows, HijackThis integra una herramienta que permite listar los procesos activos en el PC: opción open process manager. Por ejemplo, esta función puede ser útil si el Administrador de tareas no es accesible en un PC infectado para terminar o iniciar un proceso.

Generar y modificar el archivos Host

La opción open hosts file meneger permite administrar el archivo Hosts.

Opción eliminar un archivo

Esta opción permite eliminar una lista de archivos infectados para completar el proceso de desinfección.
En el bloc de notas debemos crear un archivo con la ruta de los archivos que deseamos eliminar, luego hacemos clic en delete a file on reboot. Seleccionamos el archivo a eliminar y hacemos clic en Abrir:


Luego, elegir si se desea eliminar el archivo ahora o posteriormente:

Opción eliminar un servicio

La opción delete an NT service permite eliminar los servicios visibles en las líneas 023 del reporte HjackThis, después de haber sido [ detenidos o deshabilitados anteriormente con una línea de comandos] por ejemplo. Luego debemos ingresar el nombre exacto del servicio a eliminar. Atención: Si el servicio es eliminado no podrá ser restaurado. Deberemos estar seguros de que el servicio es peligroso antes de eliminarlo, sino con sólo deshabilitarlo será suficiente.

Generar y eliminar la lista de archivos ADS

El sistema de archivos NTFS (NT FileSystem) permite agregar nuevos atributos que por lo general están ocultos para el usuario como por ejemplo, los datos en relación a los permisos de un archivo que son accesibles únicamente utilizando ciertas herramientas que vienen con el sistema, contrariamente al contenido del archivo que está visible cuando hacemos doble clic encima. De este modo, es posible agregar a un archivo un flujop de datos adicionales. Este tipo e atributo es un ADS Alternate Data Stream). Algunos malwares emplean este sistema para agregar y disimular datos para infectar un PC permaneciendo invisibles al usuario.

La opción open ADS spy permite listar los archivos que pueden haber sido infectados por este sistema de infección:

Administrar la lista de programas instalados

A menudo, será necesario eliminar programas que se han instalado por descuido o desconocimiento, o también instalados por los malwares cuando navegamos por páginas dudosas.
HijackThis ofrece la posibilidad de eliminar estos bichos desde su interfaz haciendo clic en open uninstall manager, como se hace habitualmente a través del servicio agregar o quitar programas de Windows.

8) En resumen

Este artículo ha presentado brevemente las principales funciones de Hijackthis.
El dominio completo de esta herramienta demandará un poco de paciencia y un cierto tiempo de aprendizaje, así como una capacidad de búsqueda utilizando todos los recursos disponibles, como los motores de búsqueda.

PD: El artículo original fue escrito por green day, contribuidor de CommentCaMarche

Consulta también

Publicado por Carlos-vialfa. Última actualización: 10 de octubre de 2016 a las 11:11 por Carlos-vialfa.
El documento «Cómo analizar un reporte HijackThis» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.