Muchos técnicos, abocados a la dura tarea de perseguir troyanos y spyware en una máquina infecta, nos hemos encontrado con foros (en inglés), en los que sendos gurus daban información a sus usuarios a cambio de que estos manden sus logs de HJT. Hasta hace poco yo pensaba que se trataba solo de otra forma de comprar drogas via web, y que esos kilométricos posts llenos de caracteres sin sentido aparente, formaban parte de algun sistema de cifrado. Pero parece que no, y aqui veremos qué.
El HijackThis es una herramienta que (similal al anterior Autoruns), nos muestra las cosas que se cargan con el sistema, incluyendo programas, complementos del windows explorer y del internet explorer, barras de herramientas y demás. Es muy útil a la hora de eliminar a mano ciertos tipos de spyware que se cargan como plugin del internet explorer, como los que nos impiden cambiar la página de inicio.
Adentrémonos en uno de sus logs:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:34 p.m., on 22/09/06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGCC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\ARCHIVOS DE PROGRAMA\CCPROXY\CCPROXY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
E:\UTIL\OPERA851USB\OPERA.EXE
E:\UTIL\HIJACKTHIS\HIJACKTHIS.EXE
Hasta acá todo bien, son los procesos que estan corriendo: el sistema, el antivirus, un proxy, el navegador y el propio HHT. Ddhelp dice ser DirectDraw helper (parte de directx), y winoa386.mod es para la compatibilidad con aplicaciones viejas (sera porque corro el navegador con un .bat).
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.ar/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
Las páginas de inicio y búsqueda predeterminadas
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
Complementos del explorer: el plugin de acrobat, el de spybot y la google toolbar
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [CCProxy] C:\ARCHIVOS DE PROGRAMA\CCPROXY\CCPROXY.EXE
O4 - HKLM\..\RunServices: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\PERAV\PAV.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
Las aplicaciones que corren al inicio de la máquina desde el registro. Aca vemos que el usuario de la máquina es un spyware-paranoid, es decir un tipo que instala todo lo que le suene a antivirus. Por eso la máquina está tan lenta...
O8 - Extra context menu item: &Búsqueda en Google - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
Los items del menú contextual de google toolbar...
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx
O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - http://pointa.autodesk.com/portal/lang/esp/InstBanr.Ocx
O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - http://pointa.autodesk.com/portal/lang/esp/InstFred.Ocx
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - http://pointa.autodesk.com/portal/lang/neutral/SysVerChk.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
Controles personalizados de autocad y cosas de symantec (y van...)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
Lo que parece ser el programita que hace el upgrade del messenger, mas... otro control de un antispyware.
Bueno, en este caso la máquina estaba bastante limpia, y el unico sospechoso es el usuario paranoico (en este caso no corre lo de que "lo que abunda no daña". Sumado a que muchos antispyware son peores para la performance del equipo que algunos virus). Para eliminar algun proceso/toolbar/plugin sospechoso solo hay que chequearlo y poner "fix checked", y nuestro amigo el HJT se encargara de borrar todo (y además de hacer un backup, como para volver atrás).
Aparte de ser muy útil con los troyanos, me ha servido para revivir el explorer cuando empieza a mostrar lo de "iexplore.exe ha realizado una operación no valida etc", porque la mayor parte de las veces el fallo se debe a un plugin corrupto (es decir que el archivo esta roto, no que recibe dinero de terceros para violar las leyes).
Espero les sea de utilidad.
Link de descarga
No hay comentarios.:
Publicar un comentario