[Seguridad] Hijackthis y programas de desinfección

A continuación algunos programas que le ayudarán a eliminar posibles infecciones que pasen a través del sistema de seguridad de su equipo.

• 1. HijackThis:
  • ¿Qué significan las líneas del informe?
  • ¿En qué caso utilizarlo?
• 2. SmitfraudFix
• 3. Chaos Shredder
• 4. L2MFix
  • ¿En qué caso utilizarlo?
• 5. Silent Runners
• 6. Pocket KillBox
  • ¿En qué caso utilizar este programa?
• 7. Process XP
  • ¿En qué caso utilizar este programa?
• 8. Registry Tools
• 9. DLLcompare
• 10. Análisis de un archivo en línea
• 11. About Buster
• 12. Kill2Me
• 13. SpHjfix / SpSeHjfix
  • ¿En qué caso utilizar este programa?
• 14. CWShredder
  • ¿En qué caso utilizar este programa?

Nota: Antes de emplear estos programas, verifique que las protecciones del registro tal que el Tea Timer de spybot estén desactivadas (especialmente cuando emplee HijackThis)
Spybot > Modo avanzado > Herramientas > Residente
Desmarque la casilla Residente “Tea Timer”
Cierre Spybot.

1. HijackThis:

HijackThis es una herramienta capaz de perseguir a los programas dañinos (hijackers) presentes en su PC. Las modificaciones no solicitadas que estos producen tienen diferentes efectos como por ejemplo el cambio de la página de Inicio de Internet Explorer, la inserción de un componente en la barra del navegador e incluso el desvío de la dirección IP a través del archivo Hosts. El programa hace una lista de los diferentes lugares donde se pueden ocultar los hijackers y permite eliminar las entradas sospechosas. Sin embargo tenga cuidado de eliminar una entrada que sea útil al correcto funcionamiento del equipo, no se deben eliminar todas las entradas. ¡Programa reservado para conocedores¡ No obstante, vamos a explicarle algunas partes de éste:

¿Dónde descargarlo?
Descargar HijackThis

Descomprímalo en una carpeta prevista para ello.
Por ejemplo C:\hijackthis < c: (esto permite hacer back-up en caso de una eliminación por error)

Ejecútelo y luego en "Do a system scan and save a logfile"
copie y pegue el log completo en el foro.

¿Qué significan las líneas del informe?

R0, R1, R2, R3 - URL de las páginas de Inicio/Búsqueda de Internet Explorer
F0, F1 – Programas cargados automáticamente -archivos .INI
N1, N2, N3, N4 - URL de las páginas de Inicio/Búsqueda de Netscape/Mozilla
O1 – Redirección en el archivo Hosts
O2 - Browser Helper Objects
O3 – Barra de herramientas de Internet Explorer
O4 - Programas cargados automáticamente –Registro del sistema y carpeta de Inicio
O5 – Iconos de opciones de IE ocultas en el Panel de control
O6 – Acceso a las opciones de IE restringidas por el Administrador
O7 – Acceso a Regedit restringido por el Administrador
O8 – Elementos adicionales del menú contextual de IE
O9 – Botones adicionales de la barra de herramientas principal de IE o elementos adicionales del menú “Herramientas” de IE
O10 - Piratas de Winsock
O11 – Grupos adicionales de la ventana “Opciones avanzadas” de las Opciones de IE
O12 - Plugins de IE
O13 – Pirateo de DefaultPrefix de IE (prefijadas por defecto)
O14 - Pirateo de 'Reset Web Settings' (reinicialización de la configuración Web)
O15 – Sitios web no deseados de la Zona de confianza
O16 – Objetos ActiveX (alias Downloaded Program Files – Archivos de programa descargables)
O17 - Piratas del dominio Lop.com
O18 - Piratas de protocolo y protocolos adicionales
O19 – Pirateo de la hoja de estilo del usuario
O20 – Valor de Registro AppInit_DLLs en inicio automático
O21 – Clave de Registro ShellServiceObjectDelayLoad en inicio automático
O22 - Clave de Registro SharedTaskScheduler en inicio automático
O23 - Services NT
HijackThis es un Centro de Control alrededor del cual gravitan una gran cantidad de utilitarios:
Las herramientas normales de mantenimiento y scans deben ser lanzadas previamente…
Algunas herramientas integradas a HijackThis:
Startup List muestra los elementos cuando Windows arranca
Process Manager abre un pequeño Administrador de procesos que funciona casi como el Administrador de tareas
Hosts File Manager abre un pequeño editor de archivos Hosts
Delete a file on reboot – Si un archivo no puede ser eliminado, Windows puede ser configurado para eliminarlo cuando se reinicie el sistema.
NT service elimina un servicio NT (023); utilícelo con precaución (WinNT4/2k/XP únicamente)
ADS Spy abre el utilitario de espiones ADS para buscar las cadenas de datos ocultos
Uninstall Manager abre un utilitario para tratar los elementos en la lista Agregar / quitar programas. Merjin tiende a integrar pequeños utilitarios preparados por los desarrolladores de los sitio anti-spyware.

Ejemplo de un HijackThis bien infectado (reconstitución de varios logs (informes) para poner varias infecciones en un mismo log:

Logfile of HijackThis v1.99.1
Scan saved at 14:43:05, on 16/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\spootty.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\HbTools\Bin\4.7.0.0\HbtWeatherOnTray.exe
C:\Program Files\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HbTools\Bin\4.7.0.0\HbtSrv.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\Documents and Settings\DELPHINE\Local Settings\Temporary Internet Files\Content.IE5\TY2NLKJY\hijackthis_199[1]\HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ydejubblknmjnxxyxofg.com/BIU_ZGcox8S49jFKG/l8Pu3JI7ExPT/ttN8s0gaXGcXZv...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fcsbmaeplhitvrxsnkqrxqfbl.info/BIU_ZGcox8R15NYhIEBwXaylaMND0G/KxLz2y3Z...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp800D.tmp
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.0.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [qexfueva] C:\WINDOWS\system32\dolxpnvm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O15 - Trusted Zone: *.coolwebsearch
O15 - Trusted Zone: *. searchmeup.com
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGD_Access/EGD_ACCESS_1064_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2E_Client/EGA_UTH_1043_FR_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sys_netsv_c32_FR_XP.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/Web_Install.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGD_Acc_ess/EGD_ACCESS_1068_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} - http://scripts.downloadv3.com/binaries/EGD_Acc_ess/EGD_ACCESS_1069_XP.cab
O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - http://scripts.downloadv3.com/binaries/EGD_Access/EGD_ACCESS_1066_XP.cab
O16 - DPF: {E19AB99F-AEC4-4B40-A5CA-F69D22522D77} - http://scripts.downloadv3.com/binaries/EGD_Access/EGD_ACCESS_1065_ASPIV4_XP.cab
O16 - DPF: {E24E8472-89B7-479F-8AD8-BBD7206A6A02} - http://scripts.downloadv3.com/binaries/EGD_Access/EGD_ACCESS_1067_XP.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUpload.ocx
O16 - DPF: {EF4DCD99-D26B-44A4-BA77-CFDCC97E7291} - http://akamai.downloadv3.com/binaries/EGD_Access/EGD_ACCESS
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1A47A93-C109-4F8A-BAE1-DF2CF68FD9FB}: NameServer = 80.10.246.134 80.10.246.7
O17 -HKLM\System\CCS\Services\Tcpip\..\{65CBFF2F-7BC7-441D-A277-92A0278E3552}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe

Ejemplo de un log sano:

Logfile of HijackThis v1.99.1
Scan saved at 16:16:19, on 02/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton Internet Security\ISSVC.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\lexpps.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Inventel\Gateway\WLANCFG.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Gestionnaire de liaison sans fil.lnk = C:\Program Files\Inventel\Gateway\WLANCFG.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

¿En qué caso utilizarlo?

Cuando encuentre una infección, un troyano, un problema, no dude en emplearlo y utilizar el foro para hacerlo analizar.
Los elementos infecciosos son a veces engañosos por lo que puede ser necesario ejecutar herramientas especiales suplementarias antes o después de HijackThis

2. SmitfraudFix

SmitfraudFix es un utilitario que S!Ri, moe31, Balltrap34 han puesto a punto. Este elimina las infecciones del tipo Desktop Hijack (modificación de la configuración del escritorio) como SpyAxe, PSguard, Spysheriff, Winhound, etc.

Descargar SmitfraudFix (no olvide de estraer todos los archivos de lo contrario éste indicará que el process.exe está uasente)

• • Seleccione 1 para crear un informe y buscar los archivos responsables de la infección.
• Seleecione 2 para eliminar los archivos responsables de la infección. (de preferencia en modo seguro, la eliminación será más fácil, es muy recomendado)

Responder 0 (si) a la pregunta “¿Desea limpiar el registro?”
Para desbloquear el fondo de pantalla y eliminar las claves de inicio automatico de la infección.
El fix determinará si el archivo wininet.dll está infectado, en este caso, responder 0 (si) a la pregunta “¿Corregir el archivo infectado?” para reemplazar el archivo corrompido.

• • Seleccionar 3 para borrar la lista de sitios web de confianza y delicados (líneas O15)
• Seleccionar 4 para actualizar Smitfraudfix

process.exe es detectado por ciertos antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, Comodo Antivirus, Norton) como un RiskTool. Este no es un virus, sino un utilitario destinado a poner fin a los procesos. En las manos de malas personas, este utilitario podría interrumpir programas de seguridad (Antivirus, Firewall...), de aquí la alerta de estos antivirus.

¿En qué caso utilizarlo?

- secure32.html
- C:\WINDOWS\system32\mscornet.exe
- C:\WINDOWS\system32\mssearchnet.exe
- SpyAxe
- PSguard
- Spysheriff

...
Smitrem : = SmitfraudFix pero destinado a Smitrem : = SmitfraudFix (mucho menos completo que SmitfraudFix)
Descargar Smitrem. Este repara también el archivo wininet, si está infectado, excepto si no encuentra uno de respaldo.
Para descomprimirlo, debe hacer doble clic en el archivo smitrem.exe
Se extraerá una carpeta llamada smitrem, que contiene los archivos del dix.
Debe hacer doble clic en el archivo runthis.bat y presionar sobre 1 (no F1) para lanzar la limpieza.

3. Chaos Shredder

¿Hay un archivo, un troyano, un virus que se resiste? Es invisible aun mostrando los archivos ocultos, entonces ¡este programa está hecho para usted!

Descargar Chaos Shredder

4. L2MFix

Este programa es especialmente utilizado para la infección Look To Me (identificable en 020 en HijackThis). Este programa permite eliminar y romper la cadena que regenera la infección. Se deben eliminar las .dll para que la infección desaparezca.

Descargar l2mfix
Haga doble clic en l2mfix.exe para lanzar la extracción
En la carpeta l2mfix, haga doble clic en l2mfix.bat
Presione cualquier tecla luego seleccione la opción #1 (no otra) y presione Enter para validar.
El bloc de notas se abrirá con el resultado del scan.

Luego volver a ejecutar l2mfix.bat
Y seleccionar la opción 2
Se le solicitará presionar una tecla para reiniciar.

¿En qué caso utilizarlo?

Cuando encuentre en el log HijackThis este tipo de infección:

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\j0j60a1sed.dll

5. Silent Runners

Muestra las entradas en el registro, muy útil cuando no se ha podido eliminar una infección. Sirve para ciertas infecciones especiales, a completar con HijackThis.
Para descargarlo, haga clic en el enlace de más abajo.
En cuanto la imagen aparezca en la parte superior de su navegador, seleccione “archivo” y “guardar como” guárdelo en su escritorio (de preferencia).
Haga doble clic en el archivo "SilentRunners.vbs" que se encuentra en su escritorio. Haga clic en “Sí” en la ventana que aparecerá, espere un poco.
Descargar Silent Runners

6. Pocket KillBox

Un súper antídoto contra las aplicaciones malignas desde una simple línea de comando. Puede eliminar archivos en el booteo, detener procesos activos y más.
Descargar Pocket KillBox

¿En qué caso utilizar este programa?

Lo aconsejo utilizar si su equipo esta infectado con vundo, trojan agent CS1, virtualmonde. (Procedimiento de desinfección detallado en la parte: Desinfección)

7. Process XP

Es un administrador de procesos. Muy eficaz para la infección Trojan agent CS1 y trojan Vundo.
Descargar process XP

¿En qué caso utilizar este programa?

Le aconsejo utilizarlo si su equipo está infectado con vundo, trojan agent CS1, virtualmonde. (Procedimiento de desinfección detallado en la parte: Desinfección)

8. Registry Tools

Es un programa que permite buscar una palabra en el registro. Muy útil para encontrar todas las entradas de una infección.
Descargar Registry Tools

9. DLLcompare

Los sistemas operativos Windows frecuentemente son incapaces de ver las DLL ocultas relacionadas a spywares. DLLcompare ha encontrado el medio de hacer un scan de todas las versiones de estos archivos.

Descargar DLLcompare
Ejecútelo y haga clic en "Run locate.com"
Cuando aparezca "completed the scan, click compare to continue" en azul, pulse el botón COMPARE abajo a la derecha.
Cuando haya terminado el scan haga clic en "make a log of what was found"
Copie y pegue el log en el foro.

10. Análisis de un archivo en línea

Si un archivo le parece sospechoso y se pregunta si está infectado, entonces vaya a este sitio:
www.virustotal.com
Haga clic en “examinar” < busque el archivo < haga clic en send < espere un poco, será generado un informe

-No found = no infectado
-Nombres de “virus” = infectado entonces elimínelo

11. About Buster

Utilitario escrito para luchar contra los casos de cambio de página de inicio de IE del tipo Home Search Assistant y Cool Web Search
- res://random.dll/index.html#randomnumber
- res://random.dll/sp.html#randomnumber
- res://random.dll/random.
- R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\urdkp.dll/sp.html#28129

Descargar AboutBuster

12. Kill2Me

Un antídoto específico para el parasito Look2Me. Esta herramienta elimina las versiones 115, 116, 117 118, 120, 121 aet122 (las más recientes) en el sistema operativo Windows 95,98,98SE y ME.

Descargar Kill2Me

13. SpHjfix / SpSeHjfix

Descargar SpSeHjfix para Windows 95/98/ME < Elección según el sistema operativo
Descargar SpSeHjfix para Windows 2000/XP

¿En qué caso utilizar este programa?

Página de inicio: about:blank - ...\sp.html (obfuscated) - se.dll\sp.html.
La infección muestra típicamente:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
...
O2 - BHO: (no name) - {F8424FC9-8E55-11D9-A27A-70A8B984B8CD} - C:\WINDOWS\SYSTEM\MJBPDB.DLL
...
O18 - Filter: text/html - {C476D621-8E5F-11D9-A27A-70A83233A619} - C:\WINDOWS\SYSTEM\MJBPDB.DLL
O18 - Filter: text/plain - {C476D621-8E5F-11D9-A27A-70A83233A619} - C:\WINDOWS\SYSTEM\MJBPDB.DLL
(nombre de la DLL variable, evidentemente)

En todos los casos conocidos, SpHjfix elimina los R0 y R1 con…\sp.html (obfuscated) y las entradas BHO (Browser Helper Object) correspondientes en los informes HijackThis.

14. CWShredder

Utilitario para eliminar el cambio de las paginas de IE por Cool Web Search. Existen muchas variantes, no dude en utilizar About Buster.
Descargar CWShredder

¿En que caso utilizar este programa?

En página de inicio:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.find-on_line.net/_sp_.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.find-on_line.net/_index_.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.find-on_line.net/_index_.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find-on_line.net/_sp_.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.find-on_line.net/_index_.htm

PD: El artículo original fue escrito por regis59 contribuidor de CommentCaMarche