Problemas con IE - HijackThis

Solo te he señalado algunos, pero creo que tienes cantidad
que pudieran ser bichos informaticos, pero para que te
rompes la cabeza con el HijackThis, ese es para usuarios
avanzados, instala un programa que lo haga todo por si
mismo... Los programas que mas recomendados son:

Adaware SE Personal Edition
Spybot Search & Destroy
SpywareBlaster
CWShredder
y el HijackThis por supuesto pero ese se usa en casos
donde los demas han fallado y por usuarios con suficientes
conocimientos respecto al sistema.

Instala los programas que te indico, enseguida los actualizas
y escanea tu PC Pero antes que nada, haz esto:
Inicio (boton)>Ejecutar>escribe; msconfig>aceptar>pestaña inicio
y destilda todo menos varios procesos del antivirus que se conocen
por abreviaciones de componentes del mismo, tambien deja el
tilde en el messenger y la barra de accesos didrectos de Office.
Enseguida ve a este sitio y descarga, actualiza y corre los
programas no vas a creer la cantidad de bichos que encontrarás.

Suerte.


"Checho" ()ar> escribió en el mensaje
news:OtJIO%

Estoy teniendo problemas en mi PC con el IE ya que tengo que estar
constantemente actualizado para que cargue las paginas.
Estoy sospechando de algun SPYWARE o VIRUS o algo asi, por eso use el
HIJACKthis para hacer un log de MI PC.
Alguien lo sabe analizar y me puede decir q tengo q sacar?
Mi pc esta con XP 2 edicion y todo el WINUPDATE actualizado.

Logfile of HijackThis v1.99.1
Scan saved at 11:08:02 p.m., on 03/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec

Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AppServ\Apache\Apache.exe ((dudoso))
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\crypserv.exe
D:\AppServ\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirusavapsvc.exe
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32etz.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Photodex\CompuPicPro\ScsiAccess.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec
Shared\CCPD-LC\symlcsvc.exe
D:\AppServ\Apache\Apache.exe ((dudoso))
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe ((muy dudoso))
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\GlobalSCAPE\CuteFTP Professional\cuteftppro.exe
C:\Archivos de programa\GlobalSCAPE\CuteFTP Professional\ftpte.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page > http://www.todoarquitectura.com/v2/...active.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName > Vínculos
((dudoso)) O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -

C:\Archivos

de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\archivos

de programa\google\googletoolbar1.dll
((muy dudoso)) O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de
programa\CA-80U\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de
programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe
/title="CorelDRAW Graphics Suite 12" /date1705

serial=DR12WEX-1504397-KTY

lang=ES
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos

comunes\Symantec

Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor]
C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Opware12] "C:\Archivos de
programa\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN
Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de
programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de
programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página -
res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de
programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de
programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit
(Windowed) ActiveX Control v4.00) -

http://www.inmuebles.gov.ar/imw32o40.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.c...7014854048

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/active...asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/M...loader.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{622ADD24-D366-405B-9D42-59F66AF3645A}:
NameServer = 200.45.191.35 200.45.191.40
(muy dudoso) O23 - Service: Apache - Unknown owner -
((muy dudoso)) D:\AppServ\Apache\Apache.exe" --ntservice (file missing)
((si tienes programa de diseño es normal)) O23 - Service:

C-DillaCdaC11BA - Macrovision -

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec

Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. -
C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos

de

programa\Archivos comunes\Macromedia Shared\Service\Macromedia

Licensing.exe

((dudoso)) O23 - Service: MySql - Unknown owner -

D:/AppServ/mysql/bin/mysqld-nt.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Archivos de programa\Norton

AntiVirusavapsvc.exe

O23 - Service: Netbios Helper Service - Unknown owner -
C:\WINDOWS\system32\altsvc.exe
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner -
C:\WINDOWS\system32\service.exe
O23 - Service: Indexing Provider (nindex) - Unknown owner -
C:\WINDOWS\system32etz.exe" -netsvcs (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) -
Symantec Corporation - C:\Archivos de programa\Norton
AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de
programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de
programa\Photodex\CompuPicPro\ScsiAccess.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec

Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de
programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -

C:\Archivos

de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola lo que me marcaste me parece que esporque tengo el APPSERV para ver
paginas dinamicas en mi pc por eso tengo MySQL y APACHE, y otro es de la
coneccion de ADSL

Voy a probar con los programas que me dijiste

Gracias por tu respuesta.

CHECHO
www.masvendido.com.ar


"Juan" escribió en el mensaje
news:%

Solo te he señalado algunos, pero creo que tienes cantidad
que pudieran ser bichos informaticos, pero para que te
rompes la cabeza con el HijackThis, ese es para usuarios
avanzados, instala un programa que lo haga todo por si
mismo... Los programas que mas recomendados son:

Adaware SE Personal Edition
Spybot Search & Destroy
SpywareBlaster
CWShredder
y el HijackThis por supuesto pero ese se usa en casos
donde los demas han fallado y por usuarios con suficientes
conocimientos respecto al sistema.

Instala los programas que te indico, enseguida los actualizas
y escanea tu PC Pero antes que nada, haz esto:
Inicio (boton)>Ejecutar>escribe; msconfig>aceptar>pestaña inicio
y destilda todo menos varios procesos del antivirus que se conocen
por abreviaciones de componentes del mismo, tambien deja el
tilde en el messenger y la barra de accesos didrectos de Office.
Enseguida ve a este sitio y descarga, actualiza y corre los
programas no vas a creer la cantidad de bichos que encontrarás.

Suerte.


"Checho" ()ar> escribió en el mensaje
news:OtJIO%

Estoy teniendo problemas en mi PC con el IE ya que tengo que estar
constantemente actualizado para que cargue las paginas.
Estoy sospechando de algun SPYWARE o VIRUS o algo asi, por eso use el
HIJACKthis para hacer un log de MI PC.
Alguien lo sabe analizar y me puede decir q tengo q sacar?
Mi pc esta con XP 2 edicion y todo el WINUPDATE actualizado.

Logfile of HijackThis v1.99.1
Scan saved at 11:08:02 p.m., on 03/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec

Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AppServ\Apache\Apache.exe ((dudoso))
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\crypserv.exe
D:\AppServ\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirusavapsvc.exe
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32etz.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Photodex\CompuPicPro\ScsiAccess.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec
Shared\CCPD-LC\symlcsvc.exe
D:\AppServ\Apache\Apache.exe ((dudoso))
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe ((muy dudoso))
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\GlobalSCAPE\CuteFTP Professional\cuteftppro.exe
C:\Archivos de programa\GlobalSCAPE\CuteFTP Professional\ftpte.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page >> http://www.todoarquitectura.com/v2/...active.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName >> Vínculos
((dudoso)) O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -

C:\Archivos

de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\archivos

de programa\google\googletoolbar1.dll
((muy dudoso)) O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de
programa\CA-80U\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de
programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe
/title="CorelDRAW Graphics Suite 12" /date1705

serial=DR12WEX-1504397-KTY

lang=ES
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos

comunes\Symantec

Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor]
C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Opware12] "C:\Archivos de
programa\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN
Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de
programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de
programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página -
res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de
programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de
programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit
(Windowed) ActiveX Control v4.00) -

http://www.inmuebles.gov.ar/imw32o40.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.c...7014854048

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/active...asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/M...loader.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{622ADD24-D366-405B-9D42-59F66AF3645A}:
NameServer = 200.45.191.35 200.45.191.40
(muy dudoso) O23 - Service: Apache - Unknown owner -
((muy dudoso)) D:\AppServ\Apache\Apache.exe" --ntservice (file missing)
((si tienes programa de diseño es normal)) O23 - Service:

C-DillaCdaC11BA - Macrovision -

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec

Corporation -

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. -
C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos

de

programa\Archivos comunes\Macromedia Shared\Service\Macromedia

Licensing.exe

((dudoso)) O23 - Service: MySql - Unknown owner -

D:/AppServ/mysql/bin/mysqld-nt.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Archivos de programa\Norton

AntiVirusavapsvc.exe

O23 - Service: Netbios Helper Service - Unknown owner -
C:\WINDOWS\system32\altsvc.exe
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner -
C:\WINDOWS\system32\service.exe
O23 - Service: Indexing Provider (nindex) - Unknown owner -
C:\WINDOWS\system32etz.exe" -netsvcs (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) -
Symantec Corporation - C:\Archivos de programa\Norton
AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de
programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec
Corporation -
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de
programa\Photodex\CompuPicPro\ScsiAccess.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec

Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de
programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -

C:\Archivos

de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Que es el HijackThis

Es una pequeña herramienta (Para usuarios avanzados) que nos permite
detectar y eventualmente, eliminar las modificaciones hechas por Browsers
hijackers tales como: "Toolbars, Paginas de Inicio, Paginas de búsqueda,
etc". Ay que aclarar que no todo los que nos muestra en su log es spyware y
hay que tener mucho cuidado con lo que borramos de nuestro registro.
Recomendamos hacer una copia de seguridad del mismo.

Iniciando el HijackThis

Una vez que lo bajemos desde el sector de "Anti-Hijackers" Le damos doble
click y se nos presentara la pantalla principal, ahí empezamos presionando
el botón de 'Scan" obteniendo un resultado visible en su propia ventana
(log)

Analizando los resultados del log.
Cada línea o ítem comienza con una letra o un numero, con las siguientes
referencias:

R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet
Explorer.

F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini,
win.ini...).

N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

O1: Redirecciones mediante modificación del fichero HOSTS.

O2: BHO (Browser Helper Object); Son plugins para aumentar las
funcionalidades del Internet Explorer, pero también pueden ser spywares
secuestradores..

O3: Toolbars para IE.

O4: Aplicaciones que se cargan automáticamente en el inicio de Windows,
desde el llaves en el registro o por estar en la carpeta de Inicio.

O5: Opciones de IE no visibles desde Panel de Control.

O6: Acceso restringido -por el Administrador- a las Opciones de IE.

O7: Acceso restringido -por el Administrador- al Regedit.

O8: Items extra encontrados en el menú contextual de IE.

O9: Botones extra en la barra de herramientas de IE, así como ítems extra en
el apartado Herramientas de IE (no incluidas en la instalación por defecto).

O10: Winsock hijackers.

O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por
defecto).

O12: Plugins para IE.

O13: Hijack del prefijo por defecto en IE.

O14: Hijack de la configuración por defecto de IE.

O15: Sitios indeseados en la zona segura de IE.

O16: Objetos ActiveX

O17: Hijack de dominio / Lop.com

O18: Protocolos extra / Hijack de protocolos

O19: Hijack de la hoja de estilo del usuario.



Grupo R0, R1, R2, R3:


URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).


Si las URLs que comienzan con R0 o R1 (R2 ya no es utilizado) fueron puestas
por nosotros mismos no hay problema, y la dejamos como están, pero si no las
reconocemos o tienen nombres muy extensos y sospechosos por lo gral terminan
con la sigla "(obfuscated)" la seleccionamos y aplicamos 'Fix Checked'

Ejemplo Valido:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL http://www.google.com/

Ejemplo de Spyware, marcar y 'Fix Checked':
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page http://ie-search.com/home.html (obfuscated)

R3 es la referencia usada por Search Hook. Si introducimos manualmente una
URL como pagina de inicio sin especificar un protocolo (http://, ftp://) el
navegador tratara de encontrar uno automático y en caso de que no lo logre,
acudirá a Url Search Hook.

Ejemplo Valido:
R3 - Default URLSearchHook is missing

Ejemplo Spyware, marcar y 'Fix Checked'
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} -
(no file)


Grupo F0, F1, F2, F3
Programas cargados a partir de ficheros *.ini (win.ini, system.ini, etc..).

F0: Según la gente de Merijn.org (creadores del HijackThis) cualquier código
que comience con F0 hay que marcarla y 'Fix Checked'

F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual su
información viene del win.ini en "Run= o Load=". Es conveniente buscar
información del programa especifico antes de marcar y 'Fix Checked'"

F2 y F3 Son equivalente a los anteriores pero en Windows de núcleo NT (Win
NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo
tradicional.
Por ejemplo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
=[**]\system32\userinit.exe,[**]\morralla.exe

Esto se ve en la información del valor userinit, picando dos veces sobre él
desde Regedit; estaría de la sgte.manera, separado simplemente por una coma
(resaltada en ):

Userinit = [**]\system32\userinit.exe [**]\morralla.exe

No preocuparos si bajo Win NT encontráis el valor por defecto:
userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro
ejecutable es altamente probable que se trate de spyware y/o troyano.

Grupo N1, N2, N3, N4
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda
de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero
prefs.js, habitualmente localizado en el directorio del navegador.

Al igual que en R0 o R1 si las reconocemos las paginas no hay problema, si
no marcar y 'Fix Checked'


O1: Redireccionamientos por modificación del fichero HOSTS
El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el
Windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en
[**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios. En
condiciones normales, puede ser empleado si queremos evitar el acceso a
determinados dominios que sabemos problemáticos, simplemente editando a mano
el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el
dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com ...al
hacerlo, si introducimos esa dirección en el navegador, nuestro equipo
primero la buscará en el fichero HOSTS y al encontrarla, se evitará
resolverla externamente mediante DNS. De esta manera evitamos que se pueda
acceder a dicho dominio indeseable.

Sin embargo, puede ser empleado con fines maliciosos por los spywares que
tratamos de combatir en este artículo, sencillamente dándole la vuelta a la
tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla
IP spyware) para direcciones de uso habitual, por ejemplo www.google.com,
cada vez que introduzcamos la dirección de google en nuestra barra de
direcciones, seremos llevados a la página de la IP spyware. Esto
redireccionamiento suele ser frecuente de ver por parte de los hijackers.

Si el ítem O1 nos muestra una IP que no se corresponde con la dirección,
podemos marcarla y aplicarle el 'Fix Checked'.

Si nos muestra O1 - Hosts file is located at C:\Windows\Help\hosts ...casi
con toda probabilidad estamos delante de una infección por CoolWebSearch
(CWS), en cuyo caso conviene aplicarle el 'Fix Checked', aunque mejor si
previamente lo intentamos con herramientas específicas contra CWS como
pueden ser CWShredder.


O2: BHO (Browser Helper Object)
Pueden ser plugins para aumentar las funcionalidades de nuestro navegador,
perfectamente normales, pero también pueden deberse a aplicaciones spywares.
Es preciso por tanto que el usuario investigue para comprobar el grado de
sospecha.
En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar
referenciadas numerosas CLSID (class ID, el número entre llaves: {número
class ID}).
Las señaladas en Status como "X" son catalogadas de spyware, las "L" como
normales o limpias.

Ejemplo normal:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos
de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
...si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el
buscador del listado, lo mostrará catalogado como "L", es decir, normal, ya
que está originado por Adobe Acrobat Reader.

Si por el contrario el resultado de vuestra búsqueda os lo mostrara como
"X", es que se trata de spyware y conviene aplicarle el 'Fix Checked'. Es
preciso que en ese momento no este abierta ninguna ventana del navegador e
incluso así, a veces hay casos rebeldes. Si después de aplicar el 'Fix
Checked' vuelve a salir en el listado, será necesario reiniciar en modo a
prueba de fallos para erradicarlo.



O3: Toolbars para IE
Recordamos la definición de Toolbar: suelen ser un grupo de botones situados
generalmente bajo la barra de herramientas del navegador, que pueden deberse
a aplicaciones normales que tengamos instaladas, al integrarse de esa manera
en nuestro navegador, aunque en ocasiones pueden ser producto de la
presencia de BHO maliciosos.
Su ubicación en el registro depende de esta cadena:
HKLM\Software\Microsoft\Internet Explorer\Toolbar

Ejemplo normal:
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:\Archivos de programa\Archivos comunes\Symantec
Shared\AdBlocking\NISShExt.dll

Como se ve en el ejemplo, esa toolbar está originada por el Norton Internet
Security de Symantec. Sin embargo, en caso de no reconocer el nombre
mostrado, se puede acudir al mismo listado reseñado para los ítems O2 para
tratar de salir de dudas respecto a su identidad. El procedimiento es el
mismo: buscar en función del CLSID y comprobar si está referenciado como "X"
(spyware) o "L" (limpio). En caso de ser spyware, conviene marcar el ítem y
aplicar el 'Fix Checked'.


O4: Aplicaciones de carga automática en inicio de Windows por
Registro
La carga automática de estas aplicaciones viene dada por ciertas claves en
el registro o por aparecer en directorios del grupo Inicio.

Claves del registro implicadas:

HKLM\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce
\RunServices
\Run
\RunOnce
\RunOnceEx
\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce
\RunServices
\Run
\RunOnce
\Policies\Explorer\Run



HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Ejemplo: O4 - HKCU\..\Run: [SystemSafe] C:\Archivos de
programa\SSM\SysSafe.exe

Los directorios del grupo Inicio pueden tener estas ubicaciones:

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
...reflejado en el log de HijackThis como Global Startup; son programas que
se cargan para el perfil de todos los usuarios.

Ejemplo: O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer
Teletext\AVerSA.exe

R:\Documents and Settings\USUARIO\Menú Inicio\Programas\Inicio ...reflejado
en el log de HJT como Startup: programas que se cargan sólo para el perfil
de ese USUARIO.

Ejemplo: O4 - Startup: Microsoft Office.lnk = C:\Archivos de
programa\Microsoft Office\Office10\OSA.EXE

Si se encuentra un ítem indeseable y se le aplica el 'Fix Checked', no será
exitoso mientras el proceso esté activo en memoria. En esos casos, primero
hay que abrir el Administrador de Tareas para cerrar dicho proceso y poder
luego actuar con HijackThis

O5: Opciones de IE no visibles desde Panel de Control
En condiciones normales, las Opciones de Internet de IE son accesibles desde
Panel de Control. Existe la posibilidad de no permitirlo (desaparecer su
icono), añadiendo una entrada en el fichero control .ini ubicado en [**]
(C:\WINNT o C:\WINDOWS, según versión del SO), lo que se reflejaría en el
sgte. ítem del log de HJT:

O5 - control.ini: inetcpl.cpl=no

Pero este hecho, a menos que sea una acción intencionada del Administrador
del Sistema (en cuyo caso lo dejaríamos tal cual), podría deberse a la
acción de alguna aplicación spyware que de esta manera trate de dificultar
que cambiemos las Opciones del IE. Si se trata de esto último, es
conveniente aplicar 'Fix Checked'.


O6: Acceso restringido -por el Administrador- a las Opciones de IE
Si el acceso está restringido por el Administrador o bien porque empleamos
Spybot S&D y aplicamos su protección-bloqueo de las Opciones del IE (en
Herramientas > Modificaciones de IE: Bloquear la configuración de la Pág. de
Inicio...), aparecerá un ítem como el sgte.:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Si por ejemplo en ese mismo apartado de Spybot S&D no hemos marcado el
casillero Bloquear el acceso... , observaríamos este otro:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
present

Si el acceso restringido (primer ítem de ejemplo) aparece y no se debe a
medidas intencionadas por parte del Administrador y/o la acción preventiva
de Spybot, suele ser conveniente aplicar 'Fix Checked'.


O7: Acceso restringido -por el Administrador- a Regedit
Cuando el acceso a Regedit está bloqueado mediante la correspondiente clave
del registro (no es infrecuente en políticas de seguridad corporativas), se
refleja en un ítem como el sgte.:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1

Salvo que lo anterior se deba a medidas tomadas intencionadamente por el
Administrador (en cuyo caso ignoraríamos el ítem), es conveniente aplicar
'Fix Checked'.

O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que se obtiene al pulsar el botón derecho
sobre la web que estáis viendo. Nos muestra diferentes ítems o líneas de
selección y pueden deberse a aplicaciones normales, pero también a spyware.
Las diferentes opciones en ese menú se albergan en la sgte. cadena del
registro:

HKCU\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo normal: O8 - Extra context menu item: Exportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

Pero si no reconocemos la aplicación responsable del ítem extra en el menú
contextual y sospechas que sea un spyware, hay que aplicar 'Fix Checked'.


O9: Botones extra en la barra de herramientas de IE / Items extra en el
apartado Herramientas de IE (no incluidas en la instalación por defecto)
Si tienes botones extra en la barra de herramientas principal de IE o bien
ítems extra en el menú Herramientas de IE (que no sean los incluidos en la
instalación por defecto) y quieres eliminarlos por sospechar que provengan
de spyware, hay que mirar en este
ítem O9 del log de HJT, que obtiene los datos de la sgte. cadena del
registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

En los normales no es preciso hacer nada, pero ante casos indeseables que se
quiera hacerlos desaparecer, el 'Fix Checked' debería poder con ellos sin
problemas.


O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podrían dañar la
conexión a Internet. Desde la propia Merijn.org recomiendan, en caso de
necesitar resolver reseñas mostradas en este ítem O10, emplear el Spybot
S&D.
No hay problema si las referencias a algún módulo del antivirus. Puede ser
normal en aquellos que actúan a nivel del Winsock.


O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por
defecto)
Estamos hablando de IE > Herramientas > Opciones > pestaña Opciones
Avanzadas. Si ahí apareciera algún grupo extra, no perteneciente a los que
trae por defecto, vendría reflejado (como los originales) en la sgte. cadena
del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Desde Merijn.org comentan que, de momento, sólo el hijacker CommonName añade
sus propias opciones en la pestaña de avanzadas. En ese caso el ítem
mostrado (Spyware) sería como siguiente:

O11 - Options group: [CommonName] CommonName

Si se encuentra ese caso aplicarle 'Fix Checked' . Si es diferente es
recomendable buscar mas informacion para estar seguros.


O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de aplicaciones legítimas
y están ahí para ampliar funcionalidades de IE.

Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet
Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet
Explorer\Pluginsppdf32.dll

Generalmente son normales, pero ante la duda, conviene buscar en Google su
procedencia.

No obstante, se tiene reportado algún caso claro de spyware en este apartado
como es el plugin de OnFlow, que se detecta fácil por su extensión *.ofb; si
se encuentra, conviene marcarlo y aplicar 'Fix Checked'.


O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace referencia a cómo son
manejadas las URLs que introducimos en el casillero de direcciones del
navegador IE, cuando no especificamos el protocolo (http://, ftp://, etc.).
Por defecto IE tratará de emplear http://, pero es posible modificar este
valor en el registro mediante la sgte. cadena:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

De hecho, existen aplicaciones spywares que lo llevan a cabo, obligando al
navegante incauto a llegar hacia donde no desea. Una de ellas, muy conocida,
es el hijacker CoolWebSearch (CWS), que sustituye el DefaulPrefix por
"http://ehttp.cc/?", de manera que cuando el usuario introduce
"www.google.com", automáticamente es derivado a
"http://ehttp.cc/?www.google.com", que es un site perteneciente a CWS.

Ejemplo nocivo de CWS:
O13 - WWW. Prefix: http://ehttp.cc/?

En estos casos, antes de emplear HJT, conviene utilizar herramientas
específicas contra CWS como CWShredder. Pasar tras reiniciar el scan de HJT
y comprobar si ha sido suficiente con eso, aplicando finalmente el 'Fix
Checked' en caso necesario.

CWS tiene muchas variantes y es un listado en continua expansión.

Otros ejemplos Spyware a los que podéis aplicar 'Fix Checked':
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?urlO13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?


O14: Hijack de la configuración por defecto de IE
Hay una opción entre las muchas del IE, que es resetear los valores
presentes y volver a la configuración por defecto. Los valores de esta
última, se guardan en el fichero iereset.inf, ubicado en [**]\inf y el
problema puede aparecer si un hijacker modifica la información de dicho
fichero porque, de esa manera, al resetear a la configuración por defecto,
lo tendríamos presente de nuevo. En estos casos es conveniente aplicar 'Fix
Checked'.

Ejemplo spyware: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

No obstante, tener cuidado porque no todo lo que aparece en este ítem tiene
que ser nocivo. A veces puede deberse a manipulaciones legítimas del
Administrador de Sistemas, manufactura de equipos de ciertas marcas,
corporativos, etc. En estos casos seguramente reconocerán la URL mostrada y
no será necesario ningún procedimiento.


O15: Sitios indeseados en la zona segura de IE
En IE la seguridad se establece por medio de zonas o y según éstas, la
permisividad en términos de seguridad es mayor o menor. En niveles bajos de
seguridad, es posible ejecutar scripts o determinadas aplicaciones que no
están permitidos en niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de confianza/sitios
restringidos), según nuestro grado de confianza en ellos y esto se recoge en
la sgte. cadena del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains

Si por ejemplo hemos añadido http://www.infospyware.com/ a los sitios de
confianza, nos aparecería reflejado de esta manera en el ítem
correspondiente de HJT:

O15 - Trusted Zone: http://www.infospyware.com/

De igual manera puede aparecer, por ejemplo, el dominio de empresa de
nuestro puesto de trabajo o cualquier otro que hayamos añadido
conscientemente.

Pero puede darse el caso de que alguna compañía como AOL o un spyware como
CWS, introduzcan silenciosamente sus dominios dentro de los sitios de
confianza, lo que podría verse reflejado de la siguiente manera:

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com

En el caso de CWS o en el de cualquier otro que no deseemos tener como sitio
de confianza, marcar y aplicar 'Fix Checked'.

O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y guardados en
nuestro ordenador; por ello también se les denominan Downloaded Program
Files. La ubicación de almacenamiento es [**]\Downloaded Program Files

Podemos encontrar ítems normales como el del siguiente ejemplo:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/...wflash.cab

Y otros típicos de spyware que, con suerte, serán fácilmente identificables
si muestran nombres sospechosos relacionados con porno, dialers, Toolbars
indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:

O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) -
http://www.xxxtoolbar.com/ist/softw...egular.cab

En casos de spyware, podemos emplear tranquilamente el 'Fix Checked' pero si
tras volver a escánear viéramos casos rebeldes que siguen presentes, sería
necesario reiniciar en modo seguro (pulsando F8...) para proceder con su
eliminación.

SpywareBlaster de JavaCool cuenta en su base de datos con un numeroso
listado de ActiveX maliciosos. Volvemos a recomendar su utilización
preventiva.


O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un site en el
navegador en lugar de su dirección IP, nuestro PC contacta con un servidor
DNS para que resuelva correctamente el nombre del dominio. Sin embargo,
puede darse el caso de que un hijacker cambie las DNS para que empleemos su
propio servidor en lugar del servidor DNS habitual. Si lo llevan a cabo
podrán redireccionarnos a donde quieran, apuntando nuestras peticiones hacia
los dominios de su elección (no la nuestra).

Ejemplo normal:
O17 -
HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}:
NameServer = 194.224.52.36,194.224.52.37

Decimos normal porque esas IPs corresponden a servidores DNS de un conocido
ISP español y en estos casos no es preciso hacer nada. Es la situación más
habitual, encontrar las DNS que nos proporciona nuestro ISP.

Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex
profeso o acudir a sites de fiar que ofrezcan ese servicio, como Google.
Ahora bien, si los resultados de nuestras pesquisas apuntan hacia spywares,
les aplicaremos 'Fix Checked'.


O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A grosso modo,
decir que nuestro SO emplea unos protocol drivers estándar para
enviar/recibir información, pero algunos hijackers pueden cambiarlos por
otros (protocolos "extra" o "no estándar") que les permitan en cierta manera
tomar el control sobre ese envío/recepción de información.

HJT primero busca protocolos "no estándar" en
HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata
de obtener la información del path, también desde el registro:
HKLM\SOFTWARE\Classes\CLSID

Ejemplo spyware:
O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por
conocida spyware como Huntbar -RelatedLinks- (la del ejemplo),
CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el
item O18 aplicarles 'Fix Checked'.


O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19,
coincidente
con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente
aplicarle
'Fix Checked'. Sin embargo, dado que hasta el momento sólo se tiene
reportado a CWS como responsable, la recomendación es emplear el CWShredder
1.59.1