Junio 20, 2018, 07:14:54 am

Autor Tema: Leyendo un Log de HijackThis -->CHR0N05  (Leído 26117 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Leyendo un Log de HijackThis -->CHR0N05
« en: Enero 09, 2008, 04:29:14 pm »
Leyendo un Log de HijackThis
by vVegeta


INDICE

    1.- INTRODUCCION
    2.- HijackThis Descripcion Profundizada
    2.1.- Internet Explorer
    2.2.- IniFiles
    2.3.- Netscape y Mozilla
    2.4.- Otros
    2.5.- Comandos
    3.- Riesgos
    4.- Conclusion



1.- INTRODUCCION

En este Tutorial solo busco que los usuarios, se mantengan un poco más informados de que es lo que pasa dentro de su ordenador, computadora, o como quieran decirle.

HijackThis es una herramienta encargada de analizar los plugins, add-ons, entre otras particularidades que pueden ser dañinas para nuestro sistema, aunque hay que tener en cuenta que puede -como cualquier otro programa- lanzar falsos positivos, por ello cuenta con una opcion de realizar un back up.

Antes de comenzar deseo con ansias que primero que todo sepan bien lo que es un Virus, Trojan, Spyware, Backdoor entre otros, para ello insisto que lean

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login




2.- HijackThis Descripcion Profundizada
Con ejemplos incluidos

PRINCIPAL

Creo que los Items estan bien explicados, ni siquiera hace falta tener un poco de Inglés para comprenderlos... aún así, les haré mención:

Do a system scan and save a logfile



Escane el sistema y graba un Log en un documento *.txt



Do a system scan only



Solo Escanea el sistema y no guarda un log.



view the list of backups



Ve los Backups que se tienen guardados



Open the Misc Tools section



En esta sección te muesta las herramientas extras que trae HijackThis, deben verlas... :P



Open online HijackThis QuickStart



Una pequeña Guía rápida en Inglés.



None of the above, just start the program



Sale del programa (EXIT).



Antes del Analisis



Esta imagen es la que aparece antes que de comienzo al respectivo analisis.

El menu





Veamos lo que realmente es de interés para saber si nuestro sistema esta comprometido bajo algun malware

2.1.- Internet Explorer --> Grupo R

R0, R1, R2, R3 = Especificamente muestras las URL de búsqueda sobre el Internet Explorer.

Tener en cuenta que si no llegamos a conocer estas URL´s, deberiamos darle Fix Checked

Código: You are not allowed to view links. Register or Login
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://foro.portalhacker.net/index.php

Código: You are not allowed to view links. Register or Login
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar =
 res://C:\WINDOWS\TEMP\se.dll/sp.html

En estos dos ejemplos utilizemos un poco la lógica...

Con respecto a R2, al parecer ya no se utiliza, desafortunadamente no tengo la menor idea del porque.

R3 Hace referencia total a URLSearchHook, en el caso de que tengamos una direccion tal como foro.portalhacker.net, como nuestro index, sin que salga los protocolos http o ftp segun corresponda. Un ejemplo comcreto de R3 y de buena forma es el mensaje:

Código: You are not allowed to view links. Register or Login
R3 - Default URLSearchHook is missing

De lo contrario saldria algo similar a esto:

Código: You are not allowed to view links. Register or Login
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)



2.2.- IniFiles --> Grupo F

F0, F1, F2, F3 = Aqui se muestran todos los programas cargados desde los ficheros *ini (win.ini, system.ini, entre otros)

F0, segun los creadores de HijackThis (Marijin.org), lo recomendable es que cualquier código que este con F0, sea marcado inmediatamente y Fix Checked

F1, este mismo corresponde a todos los programas codeados bajo Win3x y 9x, se deberia buscar informacion del programa que este bajo esta linea para saber si es malicioso o no lo es.

F2 y F3, bajo los nucleos de WinNT

Código: You are not allowed to view links. Register or Login
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping

Código: You are not allowed to view links. Register or Login
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
=[**]\system32\userinit.exe,[**]\morralla.exe

Vean la diferencia.



2.3.- Netscape y Mozilla --> Grupo N

Es lo mismo que el Grupo R (Internet Explorer), solo con la diferencia que esta vez utiliza Netscape y Mozilla.

N0, N1, N2 =Son los motores de búsqueda para los casos de Netscape 4x, 6, 7, segun correponda (N0=4x; N1=6; N2=7)

N3 = Corresponda a Mozilla Firefox



2.4.- Otros --> Grupo O

O1= En esta ocasión tomaré prestado el Tutorial de WaesWaes You are not allowed to view links. Register or Login (espero no te moleste), deberan leer y ver este pequeño tutorial para entender cual es su funcionalidad, contra que o contra quien nos defiende.



O2 = Browser Helper Object (BHO), puede deberse a dos cosas:

  • Puede ser un plugins que se ha instalado apropósito para que nuestro navegador sea más rápido y otra cosilla por ahí
  • Puede ser un Spyware que tenga nuestro Browser

Código: You are not allowed to view links. Register or Login
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de
programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

Código: You are not allowed to view links. Register or Login
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

You are not allowed to view links. Register or Login



O3 = Estas enrtadas son más que todo toolbars para el Internet Explorer, esta entrada podemos incluso modificarla desde HKLM\Software\Microsoft\Internet Explorer\Toolbar, veemos todas las toolbars que tenemos instalas en el Browser IE, si son correctas las dejamos si no lo son, Fix checked, ya que pueden ser BHO maliciosas o falsas.



O4 = Esta entrada nos deja cuales son los programas y todo lo que carga inmediatamente conjunto con Windows, en este caso debemos fijarnos bien en el Log, ya que en cualquiera de estas entradas es en donde se cargar los archivos de Inicio:

Código: You are not allowed to view links. Register or Login
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\...\Windows\CurrentVersion\RunServicesOnce
HKLM\...\Windows\CurrentVersion\RunServices
HKCU\...\Windows\CurrentVersion\RunServices
HKLM\...\CurrentVersion\Run
HKCU\...\CurrentVersion\Run
HKLM\...\CurrentVersion\RunOnce
HKCU\...\CurrentVersion\RunOnce
HKLM\...\CurrentVersion\RunOnceEx
HKLM\...\CurrentVersion\Policies\Explorer\Run
HKCU\...\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Debemos tener en cuenta que tambien pueden haber lineas que hagan mencion a Global Startup, esto significa que son los programas que se inician en todos los usuarios del equipo, de lo contrario, si hay programas que solamente se inician en x usuario se llamara Startup.

Otro punto de tener en cuenta es que con dar Fix Checked, no elimina los programas, deberemos eliminarlos manualmente.



O5 = En esta línea vemos las Opciones de Internet Explorer que no visibles desde el Panel de Control, para ver si esto es verdad deberia aparecer un código como este:

Código: You are not allowed to view links. Register or Login
O5 - control.ini: inetcpl.cpl=no

De lo contrario es que podemos ver las Opciones de nuestro IE, desde el Panel de Control (Inicio --> Ejecutar --> control)

Aquí ustedes verán que es lo mejor, si son los Administradores del Equipo es recomendable que se deje tal cual, de lo contrario puede ser que el mismo Admin haya hecho esta modificación, si no es así puede ser producto de un malware.



O6 = Aquí vemos si estamos restringidos por el Administrador a las Opciones de nuestro Browser, en este caso IE.

Basta con ver en la descripcion del Registro si sale Restrictions, es porque estamos restringidos de lo contrario no lo estamos.



O7 = El acceso totalmente restringido a nuestro preciado Registro de Windows (Regedit):

Código: You are not allowed to view links. Register or Login
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

El Nº 1 es aquel que nos esta restringiendo, aplicamos Fix Checked, siempre y cuando seamos nosotros los administradores del equipo.



O8 = son las MIME que se encuentran en nuestro IE.

Las MIMEs se encuentran en HKCU\Software\Microsoft\Internet Explorer\MenuExt, pero obviamente que si no llegasemos a reconocer la ruta o la supuesta MIME, deberiamos buscar y luego de estar seguro realizar el Fix Checked



O9 = Son todas las herramientas extras que contienen nuestro menu del IE.

En el Registro se guardan en HKLM\...\Internet Explorer\Extensiones, en el caso de que los deseasemos desaparecer basta tan solo con Fix Checked



O10 = Winsock hijackers, esta entrada debemos de tener cuidado, ya que puede dañar nuestra preciada conexión a intener, cosa que no queremos que suceda, asi que para observar bien que es lo que sucede con esta entrada, recomiendo utilizar el LordPE.

Esta entrada generalmente si es que tubiese un malware (Spyware -->New.net) seria de la siguiente forma:

Código: You are not allowed to view links. Register or Login
O10 - Hijacked Internet access by New.Net



O11 = Son las Opciones Avanzadas denuestro querido IE MSIE (Extras), la entrada del Registro para verificar (curiosidad) seria HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Los creadores de Hijack This creen que no hay malware que pueda hacer aparicion en esta pestaña excepto el hijacker CommonName, que seria una entrada similar a esta

Código: You are not allowed to view links. Register or Login
O11 - Options group: [CommonName] CommonName



O12 = Son todos los Plugins de IE, creo que no hay que realizar tanto desmero por describir esta linea, solo se ha reportado un solo caso de Spyware en esta linea, que es detectado por su extensión *.ofb



O13 = Hijack del prefijo por defecto en IE.

Debemos tener cuidado con hijacker CoolWebSearch (CWS)... Este modifica el DefaultPrefix por lo siguiente:

Código: You are not allowed to view links. Register or Login
http:\\ehttp.cc/?

Para que hace esto ???... lo hace para redireccionar al usuario a la página correspondiente, un ejemplo es:

Código: You are not allowed to view links. Register or Login
http:\\ehttp.cc/www.google.cl

En Hijack This nos mostrará una linea similar a esta:

Código: You are not allowed to view links. Register or Login
O13 - WWW. Prefix: http://ehttp.cc/?

Para esto, utilizaremos mejor el You are not allowed to view links. Register or Login, que se especializa con este tipo de temas... y si no es suficiente utilizaremos Hijack This.



O14 = Hijack de la configuración por defecto de IE ubicado en el fichero iereset.inf, preferible pasar el Fix Checked, ya que cada vez que reseteasemos a la Configuración por defecto lo tendriamos de nuevo, sobre nuestro Browser.

Código: You are not allowed to view links. Register or Login
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Claro esta que antes de pasar el Fix Checked, debemos fijarnos bien en la URL



O15 = La Seguridad en Intener Explorer es basada bajo zonas, es totalmete posible añadir sitios de confianza o sitios restringidos, estos datos se almacenan en:

Código: You are not allowed to view links. Register or Login
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

En el caso que agregésemos a You are not allowed to view links. Register or Login como sitio de confianza deberia salir una línea similar a esta:

Código: You are not allowed to view links. Register or Login
O15 - Trusted Zone:  www.portalhacker.net

De lo contrario CWS puede ingresar sus dominios, los cuales pueden observarse de la siguiente forma:

Código: You are not allowed to view links. Register or Login
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)

Lo mejor es eliminarlos (Fix Checked)



O16 = Aquí se muestasn los programas que son descargados desde alguna Web y guardados en el Pc ...\Download Programs Files)

Código: You are not allowed to view links. Register or Login
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Este por ejemplo es algo no fuera de lo normal, en cambio:

Código: You are not allowed to view links. Register or Login
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) -
http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

Que hay de diferente entre estos dos ejemplos ???... que el segundo se muestran nobres pornográficos.

Para estar más seguro podremos utilizar otra herramienta valiosa al defendernos de estos tipos Activex, como es el caso de You are not allowed to view links. Register or Login



O17 = En esta forma se puede observar, que los DNS son cambiados por el nuestro, para que de esta forma se utilice el DNS de atacante y redireccionarnos a donde necesiten.

Código: You are not allowed to view links. Register or Login
HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37

Aquí, debiesemos observar los DNS que nos proporciona nuestro ISP.

Para asegurarnos de una mejor forma es recomendable realizar un Whois.



O18 =

Cita de: inforspyware.com
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocolos estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos "extra" o "no estándar") que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.

HJT primero busca protocolos "no estándar" en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLM\SOFTWARE\Classes\CLSID

Ejemplo spyware:
O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida spyware como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el item O18  aplicarles 'Fix Checked'.



O19 = En el caso de que aparezca este enunciado lo recomendable es realizar un inmediato Fix Checked, o lo otro recomendable es pasar el CWSShreadder.

El grupo O19, corresponde a:

Código: You are not allowed to view links. Register or Login
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Las hojas de Estilo

Ejemplo maligno

Código: You are not allowed to view links. Register or Login
O19: User style sheet: c:\WINDOWS\Java\my.css



O20 = Se basa especificamente en las AppInit_DLLs

Podemos observar este valor en la siguiente llave del registro:

Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Todas las dll´s que se encuentran bajo esta Hives o llave, son cargadas durante el inicio del Sistema, entonces... como podemos atacarlas o detectarlas si se cargan durante el inicio del sistema ???, permitiendose a si mismas escondiendose y protegiendose ???

Código: You are not allowed to view links. Register or Login
O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll



O21 = Similar al Item anterior (O20), con la diferencia que esta señala al InProcServer del CLSID (información de las Dll que se estan usando).

Este se carga en conjunto con Explorer.exe, como Explorer.exe es una shell, debe cargarse, entonces todas las llaves (Hides) deberán cargarse en conjunto con Explorer.exe al inicio del sistema (antes que intervengamos en el mismo).

Para ver en forma manual que se carga en esta llave debemos observar la siguiente hide:

Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Para estar seguro de los procesos que se cargan podemos ver lo siguiente:


Otra forma seria ejecutando msconfig



O22 = Este señala la sección del Registro

Código: You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Es recomendable antes de eliminar alguna de estas opciones revisar lo siguiente




O23 = Trata de los sistemas NT que corren bajo la computadora.



O24 = Son los componentes ActiveX que estan en el Escritorio.





2.5.- Comandos

Para ejecutar los comandos, nos situaremos en la consola (cmd)
Buscaremos nuestro HijackThis y ejecutaremos lo siguiente (depende lo que queramos).

  • .../autolog - Escanea, Graba y abre el Log
  • .../ihatewhitelists - Muestra la pantalla principal de HijackThis
  • .../uninstall - Desinstala HijackThis y remueve todos los Backups que tomo antes
  • .../silentautuolog - es como el /autolog, solo que no requiere la intervencion del usuario



3.- Riesgos

Como pueden ver, los riesgos de utilizar de mala forma este programa podría causar inclusive la inutilización del sistema, recomiendo saber que es lo que hacen, si no estan seguros, el Foro esta abierto a preguntas




4.- conclusión

Tener en cuenta que con no solo con utilizar este programa, significa que estas sanos y salvos de todo tipo de Malware, como dijo una vez Sun Tzu

Cita de: Sun Tzu
Si ignoras todo acerca de tu enemigo y de ti,
ciertamente en cada batalla estarás en peligro – Sun Tzu




Espero sea de su agrado este material que he preparado para el Foro CPH, algo dejo en claro, hay citas de donde he sacado un poco de información, no quiere decir que se haya realizado un copy&paste (quiero dejar bien en claro esto).

Saludos.



Ps. Este manual tambien se encontrará en las FAQs de Windows.
« Última modificación: Marzo 07, 2009, 01:32:48 am por wanm28 »
SOLO LOS QUE DEJAN DE INTENTAR, FRACASARÁN...

Si no fuera por C, existiría Obol, Pasal, ++, #...

WinJaNet, abre sus puertas, para todos los programadores e interesados en programación!!


Desconectado WaesWaes

  • Actualmente es
  • Colaborador
  • ****
  • Mensajes: 4402
  • You are not prepared!
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #1 en: Enero 09, 2008, 04:44:53 pm »
hi

que buen manual vVegeta generalmente estos logs son como chino para algunas personas

que bueno que hayas puesto algunos ejemplos de malwares

y que buena la conclusion

saludos

Desconectado huron74

  • CPH
  • *
  • Mensajes: 1514
  • Sexo: Masculino
  • nunca habia logrado algo sin entusiamo
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #2 en: Enero 10, 2008, 12:18:42 am »
Gracias por la info vVegeta  ;) como dice WaesWaes nos suena a chino aunque es una herramienta muy util y avanzada, saludos  ;)
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado wanm28

  • TEAM CPH ANTIMALWARE
  • Moderador Global
  • *****
  • Mensajes: 4348
  • PUXA ASTURIEs
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #3 en: Enero 10, 2008, 07:55:57 am »
wenassssssssssss




 muy buen aporte vegeta ,le pondremos una chincheta al menos durante algun tiempo  ;)


 te saliste  ;)
You are not allowed to view links. Register or Login[/img]


Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #4 en: Enero 12, 2008, 04:50:50 pm »
Wenas!!


Pues mi buen amigo muchísimas Gracias... ;)


Vale... ;)


Más que una chincheta, me gustaria saber si hay dudas con respecto a la lectura de los log´s... ya que por ello hice este tuto.... Gracias wanm28... ;)

Saludos

Desconectado wanm28

  • TEAM CPH ANTIMALWARE
  • Moderador Global
  • *****
  • Mensajes: 4348
  • PUXA ASTURIEs
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #5 en: Enero 12, 2008, 08:27:23 pm »


que ai vVegeta  ;)


 no,no,no gracias a ti vVegeta  ;),estos aportes hacen que el foro engrandezca y los usarios lo agradecen  ;)


 puse la chincheta por que aparte que el HijackThis me parece un programa espectacular ,lo as explicado muy bien ............


 y normalmente cuando pongo una chincheta blokeo el tema , en este caso no lo ize asi precisamente por eso para que la gente que no sepa usar el HijackThis ,postee cualquier duda hacerca de el programa o cosas que no pueda entender de el manual


 asi que venga postear dudas por muy tontas que os parezcan ,HijackThis es una gran herramienta pero hay que saber usarla bien .......



 wenas olassssssssss

Desconectado huron74

  • CPH
  • *
  • Mensajes: 1514
  • Sexo: Masculino
  • nunca habia logrado algo sin entusiamo
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #6 en: Enero 12, 2008, 11:22:37 pm »
Sin duda alguna vVegeta es un buen post  te lo  agradecemos mucho

gracias nuevamente un saludo  ;) ;)
« Última modificación: Enero 12, 2008, 11:27:06 pm por huron74 »

Desconectado Jirusonu

  • Me das tu IP?
  • *
  • Mensajes: 43
  • Sexo: Masculino
  • ((¯¨¤» JïRû§óÑû «¤¨¯))
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #7 en: Marzo 07, 2008, 09:57:30 pm »
Muy bien esta de 10 puntos y seria bueno que para cada Grupo pusieras una lista para identificar los tipos de malware..

Salud2!!!!


« Última modificación: Marzo 07, 2008, 10:14:29 pm por Jirusonu »
El DestinO No Es UnA CuestioN, Es UnA CuestioN  De eleccióN.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #8 en: Marzo 18, 2008, 12:03:33 pm »
Wenas!!!

Uff...  al parecer se me ha olvidado deciros algo con respecto al análisis de este tipo de Logs, que es sumamente importante... tanto para los que leen el Logs como los que tratan de entender este mismo.

1.- Siempre cerrar todas las aplicaciones que se encuentren ejecutando en nuestro sistema, me refiero a los exploradores, reproductores, Ofirmática todo ello... o sea dejar netamente los programas base.

2.- No matar procesos

3.- Leer antes de postear el código, si tenes alguna duda con respecto hacia algun tipo de proceso: You are not allowed to view links. Register or Login es nuestro Dios y no muerde.

4.- Me iré acordando durante el dia... :P...

Saludos...



Ps. Hago esto especificamente porque comienzo a leer Logs, los cuales no vale la pena leer... por todos los procesos que tienen corriendo en el momento de realizar el análisis.

Desconectado Sknight

  • Yo vivo en CPH
  • ***
  • Mensajes: 792
  • Sexo: Masculino
    • Ver Perfil
    • Arrival Security
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #9 en: Abril 07, 2008, 11:10:37 am »
WTF?  :comoo: y esto no está fijo :comoo: si es de lo mejor que he visto en esta sección....

Ps: vVegeta yo hice un taller del HJT estaría bien que dieras algunos links al CLSID List de CastleCops
« Última modificación: Mayo 24, 2008, 05:00:43 am por N.O.X. »

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #10 en: Abril 07, 2008, 11:15:30 am »
Fijate bien..

Para qué ???... Yo solo doy las bases, para que aprendan a gatear... caminar es más con el tiempo, y se aprende con alguien al lado... pero primero tienes que dominar bien una parte... en este caso el gateo...

Y no sé porque no esta pegado, estubo pegado un tiempo, pero luego desaparecio... xD...

Saludos
« Última modificación: Abril 07, 2008, 11:19:01 am por vVegeta »

Desconectado wanm28

  • TEAM CPH ANTIMALWARE
  • Moderador Global
  • *****
  • Mensajes: 4348
  • PUXA ASTURIEs
    • Ver Perfil
Re: Leyendo un Log de HijackThis --> vVegeta
« Respuesta #11 en: Abril 07, 2008, 01:59:39 pm »


  se le devio caer la chincheta de nuevo puesta  ;)

Desconectado bucanero1973

  • Me das tu IP?
  • *
  • Mensajes: 8
    • Ver Perfil
Re: Leyendo un Log de HijackThis -->CHR0N05
« Respuesta #12 en: Julio 06, 2008, 10:20:48 pm »
nuevamente muchas gracias CHR0N05, excelente informacion

Desconectado adams1

  • Me das tu IP?
  • *
  • Mensajes: 163
  • Sexo: Masculino
  • ..luego de visitar la seccion de virus y troyanos
    • Ver Perfil
    • Juega poker gratis y gana dinero en dolares siendo mi referido
Re: Leyendo un Log de HijackThis -->CHR0N05
« Respuesta #13 en: Agosto 14, 2008, 12:46:00 pm »
olas , weno muy buen manual felicitaciones ;),
una cosa, hay varias paginas donde se analizan los hijackthis, porque una ves use una para hacerlo y me mostraba las k podian ser medias peligrosas, mi problema es que ahora no la encuentro por ningun lado(la pagina), kisiera saber si ustedes no tendran alguna para analizar los datos drectamente, y poder postiarla aki, igual con el manual me kedo super claro pero demash k se me puede ir alguna cosa, uxa si la tienen se los agradeceré

xau!
"You are not allowed to view links. Register or Login"
Juega poker gratis y gana dinero en dolares siendo mi referido

Desconectado poniso2000ar

  • Me das tu IP?
  • *
  • Mensajes: 11
    • Ver Perfil
Re: Leyendo un Log de HijackThis -->CHR0N05
« Respuesta #14 en: Agosto 19, 2008, 08:38:09 pm »

hola loco!!!... desde ya esta buenisimo esta intro del programa. no entendia ni jota pero esto me tira una mano.

me quedo una duda con el icono 020... no lo pude interpretar bien.  me hice un escaneo y me salieron dos items de 020.

020-winlogon notify: dimsntfy- %systemroot%/system32/dimsntfy.dll(filemising)

020 AppInit_DLLs: C:/WINDOWS/system32/guard32.dll

que hago con esto les pongo fix checked? este control que hace? elimina los archivos?


xx
Ingreso de Alumnos en un Curso --> Chr0n05

Iniciado por vVegeta

3 Respuestas
3308 Vistas
Último mensaje Noviembre 12, 2009, 06:34:36 am
por pablofurius
xx
Message Digest Algorithm 5 --> Chr0n05

Iniciado por vVegeta

2 Respuestas
1792 Vistas
Último mensaje Julio 16, 2008, 02:14:40 pm
por vVegeta
resuelto
[Solucionado]Crear carpetas desde batch leyendo de un txt

Iniciado por zoserone

3 Respuestas
1852 Vistas
Último mensaje Febrero 07, 2011, 09:46:42 pm
por JaAViEr
xx
Como crear un dibujo leyendo los datos de las coordenadas desde un txt?

Iniciado por haw01

3 Respuestas
1199 Vistas
Último mensaje Noviembre 06, 2011, 11:29:18 am
por Kreusser
xx
Una musulmana ciega usa un poni como lazarillo (seguir leyendo dentro...)

Iniciado por proton6

5 Respuestas
1307 Vistas
Último mensaje Julio 30, 2009, 05:20:39 pm
por vorak
resuelto
Log de HijackThis

Iniciado por Pepedracula

4 Respuestas
1501 Vistas
Último mensaje Mayo 28, 2010, 06:05:49 am
por TuliodeBree
xx
Manual HiJackThis

Iniciado por Bl@ster25

2 Respuestas
2023 Vistas
Último mensaje Abril 06, 2010, 09:37:43 pm
por vVegeta
xx
Manual HijackThis

Iniciado por M®Xønxy

1 Respuestas
3376 Vistas
Último mensaje Abril 16, 2006, 07:16:01 am
por M®Xønxy
resuelto
HijackThis (Ayuda)

Iniciado por Pepedracula

29 Respuestas
7956 Vistas
Último mensaje Octubre 24, 2009, 05:56:39 pm
por TuliodeBree
resuelto
Ayudita Con Hijackthis!

Iniciado por Kodeinfect

2 Respuestas
972 Vistas
Último mensaje Agosto 03, 2010, 10:24:13 am
por Kodeinfect