TRM: $2,297.14

Quitar Virus about blank

Tema en 'Seguridad' iniciado por carlosgp015, 27 Enero 2008.

  1. carlosgp015

    carlosgp015 Lanero novato

    Registrado:
    10 Septiembre 2006
    Mensajes:
    1,121
    Me Gusta recibidos:
    30
    como a muchos nos a pasado, se nos entra el virus about blank, lo que hace este virus es cambiar la pagina de inicio cambiando configuraciones del sistema, hay les dejo un programa para que se quiten ese molesto problema, espero les sirva

    1. ¿Qué es Hijackthis y para qué nos sirve?
    2. Instalación de Hijackthis y otras herramientas a utilizar.
    3. Sacando nuestro Log.
    4. Analizando logs.
    5. Solucionando problemas.
    1. ¿Qué es Hijackthis?
    Es una pequeña herramienta que nos permite detectar y, eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como: "Toolbars, Páginas de Inicio, Páginas de búsqueda,capturadores de IE,etc.".
    Cabe aclarar que no todo lo que nos muestra(Hijackthis) en el log es malo, por lo tanto hay que tener mucho cuidado con lo que borramos del log de Hijackthis.

    2. Instalación y ejecución de Hijackthis.
    Lo primero que debemos hacer, es bajarnos la nueva versión: HijackThis 2.0.2(u otra versión, funciona igual) lo podéis descargar de: Descargar.
    Una vez descargado y con todos los programas cerrados procedemos a ejecutar la nueva instalación automatizada que no traían versiones anteriores.
    Elegimos la ruta de instalación y aceptamos el contrato. Automáticamente se abrirá Hijackthis y se añadirá un icono de acceso directo en nuestro escritorio.
    Después de esta secuencia de pasos, se verá una imagen así:
    [​IMG][​IMG]
    3. Sacando nuestro log de Hijackthis.
    Como vemos en la imagen de más arriba, sólo nos queda hacer un paso más:
    Hacer click en el botón: Do a system scan and save a logfile(que más o menos, significa: Escanear el sistema y guardar un archivo de log, que puede servir para publicarlo en algún foro o como copia de seguridad en otra situación).
    Bueno, esperamos que se realice el escaneo del sistema y el hijackthis mostrará algo como esto:
    [​IMG][​IMG]

    A continuación analizaremos su salida.
    4. Analizando el log de Hijackthis.
    Procederé a detallar las componentes que conforman el log de Hijackthis y luego los explicaré brevemente.
    Estos son:
    R0, R1, R2, R3: las URL de paginas de inicio/búsqueda en el Internet Explorer.

    F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini)

    N1, N2, N3, N4: las URL de paginas de inicio/búsqueda de Netscape o Firefox.

    O1: Redirecciones mediante aviso del fichero HOSTS.

    O2: BHO (Browser Help Object); Son plugins para aumentar la funcionalidad de Internet, pero también pueden ser spywares.

    O3: Toolbars del IE. (Internet Explorer).

    O4: Aplicaciones que cargan en el inicio automático de Windows, ya sea desde el registro o desde la carpeta Inicio.

    O5: Son las opciones de IE no visibles desde el panel de control de Windows.

    O6: Acceso restringido por el Administrador a las opciones de IE.

    O7: Acceso restringido por el Administrador al Registro.

    O8: Elementos encontrados en el menú contextual del IE.

    O9: Botones adicionales que se encuentran en la barra de herramientas de IE. Ej. : Flasget, DAP, Encarta, etc.

    O10: Winsock Hijackers.

    O11: Adición de un grupo extra en las opciones avanzadas de IE.

    O12: Plugins para IE.

    O13: Hijack del prefijo en IE.

    O14: Hijack de la configuración por defecto del IE.

    O15: Sitios no autorizados en la zona segura configurada por IE.

    O16: Objetos ActiveX.

    O17: Hijack del Dominio / Lop.com

    O18: Protocolos extra / Hijack de estos.

    O19: Hijack de la hoja de estilo del Usuario

    O20: Valores del registro auto ejecutables AppInit_DLLs.

    O21: Llaves del registro auto ejecutables ShellServiceObjectDelayLoad.

    O22: Llaves del registro auto ejecutables SharedTaskSheduler.

    O23: Servicios.

    Aquí, están detallados cada uno de los componentes. Ahora veremos, como podemos corregir algún problema a raíz de lectura de estos indicadores.

    5. Solucionando problemas del sistema con Hijackthis.

    Anuncio


    Grupo de R0, R1, R2, R3.
    En este caso, si las URL que aparecen aquí han sido configuradas por nosotros no habrá problema y las dejamos como están.
    Pero, si estas no han sido puestas por nosotros, tienen direcciones muy extensas y no las conocemos la marcamos y damos a Fix Checked.

    Ejemplo Bueno:
    Código:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = www.google.com.ar

    Ejemplo Malo:
    Código:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

    NOTA: R2, ya no es utilizado.

    Siguiendo con R3:
    R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http: //, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a URL Search Hook.

    Ejemplo Bueno:
    R3 - Default URLSearchHook is missing

    Ejemplo Malo, marcar y dar a 'Fix Checked'
    Código:
    R3 - URLSearchHook: (no name) - _ {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    Esta sección corresponde a una restricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro.

    Ejemplo :-
    Código:
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

    Estas opciones sólo son bloqueadas si el administrador lo ha hecho o por casualidado o por uso personal se ha activado la función de Bloquear las opciones de IE desde el panel “Inmunizar” del software antispyware SpyBot: Search & Destroy.


    Grupo 07:

    Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.

    Llave del Registro:
    Código:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System

    Ejemplo de Lista O7 -
    Código:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System:
    DisableRegedit=1


    NOTA: En algunos casos, los administradores de determinados lugares, como cyber, empresas u otros sitios, bloquean el acceso al regedit para que no se modifique alguna configuración. Pero al ver esto, en tu sistema y no fue puesto por tí, puedes usar Hijackthis para borrarlo con tranquilidad.

    Grupo 08:
    Este grupo corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.

    Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.
    Código:
    Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

    Ejemplo de Lista O8 -
    Código:
    Extra context menu item: &Google Search -
    res://c:\windows\GoogleToolbar1.dll/cmsearch.html


    El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.

    Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro como en casos anteriores y borres esos archivos y/o carpetas de la toolbar mencionada.
    Grupo 09:
    Este grupo, corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto.

    Código:
    Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

    Ejemplo de la Lista O9 -
    Código:
    Extra Button: AIM (HKLM)

    Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
    Lo mismo que pasa en los grupos anteriores, Hijackthis no podrá borrar los archivos mencionados desde aquí, sino, qué tendrás que reiniciar y entrar en modo seguro para eliminar manualmente las carpetas y/o archivos maliciosos.




    (EL PROGRAMA ESTA ADJUNTO) =)
     

    Adjuntos:

    #1

Compartir esta página