lincoln.aguirre
15-01-2006, 01:38:05
O8: Items extra en el menú contextual de IE
El menú contextual en IE es el que se obtiene al pulsar el
botón derecho sobre la web que estáis viendo. Nos muestra
diferentes ítems o líneas de selección y pueden deberse a
aplicaciones normales, pero también a spyware. Las diferentes
opciones en ese menú se albergan en la sgte. cadena del
registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo normal: O8 - Extra context menu item: Exportar a
Microsoft Excel -
res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Pero si no reconocemos la aplicación responsable del ítem
extra en el menú contextual y sospechas que sea un spyware,
hay que aplicar 'Fix Checked'.
O9: Botones extra en la barra de herramientas de IE / Items
extra en el apartado Herramientas de IE (no incluidas en la
instalación por defecto)
Si tienes botones extra en la barra de herramientas principal
de IE o bien ítems extra en el menú Herramientas de IE (que no
sean los incluidos en la instalación por defecto) y quieres
eliminarlos por sospechar que provengan de spyware, hay que
mirar en este
ítem O9 del log de HJT, que obtiene los datos de la sgte.
cadena del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones
Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
En los normales no es preciso hacer nada, pero ante casos
indeseables que se quiera hacerlos desaparecer, el 'Fix
Checked' debería poder con ellos sin problemas.
O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podrían
dañar la conexión a Internet. Desde la propia Merijn.org
recomiendan, en caso de necesitar resolver reseñas mostradas
en este ítem O10, emplear el LSPFix.exe.
No hay problema si las referencias a algún módulo del
antivirus. Puede ser normal en aquellos que actúan a nivel del
Winsock.
La entrada 010 es tomada por el conocido spyware New.net si
encuentra esto en su log:
O10 - Hijacked Internet access by New.Net
O11: Adición de un grupo extra en las Opciones Avanzadas de IE
(no por defecto)
Estamos hablando de IE > Herramientas > Opciones > pestaña
Opciones Avanzadas. Si ahí apareciera algún grupo extra, no
perteneciente a los que trae por defecto, vendría reflejado
(como los originales) en la sgte. cadena del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Desde Merijn.org comentan que, de momento, sólo el hijacker
CommonName añade sus propias opciones en la pestaña de
avanzadas. En ese caso el ítem mostrado (Spyware) sería como
siguiente:
O11 - Options group: [CommonName] CommonName
Si se encuentra ese caso aplicarle 'Fix Checked' . Si es
diferente es recomendable buscar mas informacion para estar
seguros.
O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de
aplicaciones legítimas y están ahí para ampliar
funcionalidades de IE.
Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet
Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet
Explorer\Plugins\nppdf32.dll
Generalmente son normales, pero ante la duda, conviene buscar
en Google su procedencia.
No obstante, se tiene reportado algún caso claro de spyware en
este apartado como es el plugin de OnFlow, que se detecta
fácil por su extensión *.ofb; si se encuentra, conviene
marcarlo y aplicar 'Fix Checked'.
O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace
referencia a cómo son manejadas las URLs que introducimos en
el casillero de direcciones del navegador IE, cuando no
especificamos el protocolo (http://, ftp://, etc.). Por
defecto IE tratará de emplear http://, pero es posible
modificar este valor en el registro mediante la sgte. cadena:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix\
De hecho, existen aplicaciones spywares que lo llevan a cabo,
obligando al navegante incauto a llegar hacia donde no desea.
Una de ellas, muy conocida, es el hijacker CoolWebSearch
(CWS), que sustituye el DefaulPrefix por "http://ehttp.cc/?",
de manera que cuando el usuario introduce "www.google.com",
automáticamente es derivado a
"http://ehttp.cc/?www.google.com", que es un site
perteneciente a CWS.
Ejemplo nocivo de CWS:
O13 - WWW. Prefix: http://ehttp.cc/?
En estos casos, antes de emplear HJT, conviene utilizar
herramientas específicas contra CWS como CWShredder. Pasar
tras reiniciar el scan de HJT y comprobar si ha sido
suficiente con eso, aplicando finalmente el 'Fix Checked' en
caso necesario.
CWS tiene muchas variantes y es un listado en continua
expansión.
Otros ejemplos Spyware a los que podéis aplicar 'Fix Checked':
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O14: Hijack de la configuración por defecto de IE
Hay una opción entre las muchas del IE, que es resetear los
valores presentes y volver a la configuración por defecto. Los
valores de esta última, se guardan en el fichero iereset.inf,
ubicado en [**]\inf y el problema puede aparecer si un
hijacker modifica la información de dicho fichero porque, de
esa manera, al resetear a la configuración por defecto, lo
tendríamos presente de nuevo. En estos casos es conveniente
aplicar 'Fix Checked'.
Ejemplo spyware: O14 - IERESET.INF:
START_PAGE_URL=http://www.searchalot.com
No obstante, tener cuidado porque no todo lo que aparece en
este ítem tiene que ser nocivo. A veces puede deberse a
manipulaciones legítimas del Administrador de Sistemas,
manufactura de equipos de ciertas marcas, corporativos, etc.
En estos casos seguramente reconocerán la URL mostrada y no
será necesario ningún procedimiento.
O15: Sitios indeseados en la zona segura de IE
En IE la seguridad se establece por medio de zonas o y según
éstas, la permisividad en términos de seguridad es mayor o
menor. En niveles bajos de seguridad, es posible ejecutar
scripts o determinadas aplicaciones que no están permitidos en
niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de
confianza/sitios restringidos), según nuestro grado de
confianza en ellos y esto se recoge en la sgte. cadena del
registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings\ZoneMap\Domains
Si por ejemplo hemos añadido www.infospyware.com a los sitios
de confianza, nos aparecería reflejado de esta manera en el
ítem correspondiente de HJT:
O15 - Trusted Zone: www.infospyware.com
De igual manera puede aparecer, por ejemplo, el dominio de
empresa de nuestro puesto de trabajo o cualquier otro que
hayamos añadido conscientemente.
Pero puede darse el caso de que un spyware como CWS,
introduzcan silenciosamente sus dominios dentro de los sitios
de confianza, lo que podría verse reflejado de la sgte.
manera:
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
En el caso de CWS o en el de cualquier otro que no deseemos
tener como sitio de confianza, y para eliminarlo de manera
rápida y segura podemos utilizar la herramienta TZ-Kill.inf
O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y
guardados en nuestro ordenador; por ello también se les
denominan Downloaded Program Files. La ubicación de
almacenamiento es [**]\Downloaded Program Files
Podemos encontrar ítems normales como el del sgte. ejemplo:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Y otros típicos de spyware que, con suerte, serán fácilmente
identificables si muestran nombres sospechosos relacionados
con porno, dialers, Toolbars indeseadas o palabras claves como
casino, sex, adult, etc. Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer
Class) -
http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
En casos de spyware, podemos emplear tranquilamente el 'Fix
Checked' pero si tras volver a escánear viéramos casos
rebeldes que siguen presentes, sería necesario reiniciar en
modo seguro (pulsando F8...) para proceder con su eliminación.
SpywareBlaster de JavaCool cuenta en su base de datos con un
numeroso listado de ActiveX maliciosos. Volvemos a recomendar
su utilización preventiva.
O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un
site en el navegador en lugar de su dirección IP, nuestro PC
contacta con un servidor DNS para que resuelva correctamente
el nombre del dominio. Sin embargo, puede darse el caso de que
un hijacker cambie las DNS para que empleemos su propio
servidor en lugar del servidor DNS habitual. Si lo llevan a
cabo podrán redireccionarnos a donde quieran, apuntando
nuestras peticiones hacia los dominios de su elección (no la
nuestra).
Ejemplo normal:
O17 -
HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}:
NameServer = 194.224.52.36,194.224.52.37
Decimos normal porque esas IPs corresponden a servidores DNS
de un conocido ISP español y en estos casos no es preciso
hacer nada. Es la situación más habitual, encontrar las DNS
que nos proporciona nuestro ISP.
Para comprobar si son buenas o no, podéis hacer un whois con
aplicaciones ex profeso o acudir a sites de fiar que ofrezcan
ese servicio, como Google. Ahora bien, si los resultados de
nuestras pesquisas apuntan hacia spywares, les aplicaremos
'Fix Checked'.
O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A
grosso modo, decir que nuestro SO emplea unos protocolos
estándar para enviar/recibir información, pero algunos
hijackers pueden cambiarlos por otros (protocolos "extra" o
"no estándar") que les permitan en cierta manera tomar el
control sobre ese envío/recepción de información.
HJT primero busca protocolos "no estándar" en
HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante
la CLSID trata de obtener la información del path, también
desde el registro: HKLM\SOFTWARE\Classes\CLSID
Ejemplo spyware:
O18 - Protocol:relatedlinks -
{5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll
Esta técnica no es de las más frecuentes de ver, pero puede
ser empleada por conocida spyware como Huntbar -RelatedLinks-
(la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive
CWS. Si encuentra alguno en el item O18 aplicarles 'Fix
Checked'.
O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este
ítem O19, coincidente
con un navegador ralentizado y frecuentes pop-ups, podría ser
conveniente aplicarle
'Fix Checked'. Sin embargo, dado que hasta el momento sólo se
tiene reportado a CWS como responsable, la recomendación es
emplear el CWShredder
Espero que esta información les sirva de algo. Un saludo a todos los foreros. \:D/ \:D/ \:D/
El menú contextual en IE es el que se obtiene al pulsar el
botón derecho sobre la web que estáis viendo. Nos muestra
diferentes ítems o líneas de selección y pueden deberse a
aplicaciones normales, pero también a spyware. Las diferentes
opciones en ese menú se albergan en la sgte. cadena del
registro:
HKCU\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo normal: O8 - Extra context menu item: Exportar a
Microsoft Excel -
res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Pero si no reconocemos la aplicación responsable del ítem
extra en el menú contextual y sospechas que sea un spyware,
hay que aplicar 'Fix Checked'.
O9: Botones extra en la barra de herramientas de IE / Items
extra en el apartado Herramientas de IE (no incluidas en la
instalación por defecto)
Si tienes botones extra en la barra de herramientas principal
de IE o bien ítems extra en el menú Herramientas de IE (que no
sean los incluidos en la instalación por defecto) y quieres
eliminarlos por sospechar que provengan de spyware, hay que
mirar en este
ítem O9 del log de HJT, que obtiene los datos de la sgte.
cadena del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones
Ejemplos normales:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
En los normales no es preciso hacer nada, pero ante casos
indeseables que se quiera hacerlos desaparecer, el 'Fix
Checked' debería poder con ellos sin problemas.
O10: Winsock hijackers
En este apartado hay que ser extremadamente cautos o podrían
dañar la conexión a Internet. Desde la propia Merijn.org
recomiendan, en caso de necesitar resolver reseñas mostradas
en este ítem O10, emplear el LSPFix.exe.
No hay problema si las referencias a algún módulo del
antivirus. Puede ser normal en aquellos que actúan a nivel del
Winsock.
La entrada 010 es tomada por el conocido spyware New.net si
encuentra esto en su log:
O10 - Hijacked Internet access by New.Net
O11: Adición de un grupo extra en las Opciones Avanzadas de IE
(no por defecto)
Estamos hablando de IE > Herramientas > Opciones > pestaña
Opciones Avanzadas. Si ahí apareciera algún grupo extra, no
perteneciente a los que trae por defecto, vendría reflejado
(como los originales) en la sgte. cadena del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Desde Merijn.org comentan que, de momento, sólo el hijacker
CommonName añade sus propias opciones en la pestaña de
avanzadas. En ese caso el ítem mostrado (Spyware) sería como
siguiente:
O11 - Options group: [CommonName] CommonName
Si se encuentra ese caso aplicarle 'Fix Checked' . Si es
diferente es recomendable buscar mas informacion para estar
seguros.
O12: Plugins para IE
En condiciones normales, la mayoría de plugins son de
aplicaciones legítimas y están ahí para ampliar
funcionalidades de IE.
Ejemplos normales:
O12 - Plugin for .spop: C:\Archivos de programa\Internet
Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Archivos de programa\Internet
Explorer\Plugins\nppdf32.dll
Generalmente son normales, pero ante la duda, conviene buscar
en Google su procedencia.
No obstante, se tiene reportado algún caso claro de spyware en
este apartado como es el plugin de OnFlow, que se detecta
fácil por su extensión *.ofb; si se encuentra, conviene
marcarlo y aplicar 'Fix Checked'.
O13: Hijack del prefijo por defecto en IE
El prefijo por defecto en IE (IE DefaultPrefix), hace
referencia a cómo son manejadas las URLs que introducimos en
el casillero de direcciones del navegador IE, cuando no
especificamos el protocolo (http://, ftp://, etc.). Por
defecto IE tratará de emplear http://, pero es posible
modificar este valor en el registro mediante la sgte. cadena:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix\
De hecho, existen aplicaciones spywares que lo llevan a cabo,
obligando al navegante incauto a llegar hacia donde no desea.
Una de ellas, muy conocida, es el hijacker CoolWebSearch
(CWS), que sustituye el DefaulPrefix por "http://ehttp.cc/?",
de manera que cuando el usuario introduce "www.google.com",
automáticamente es derivado a
"http://ehttp.cc/?www.google.com", que es un site
perteneciente a CWS.
Ejemplo nocivo de CWS:
O13 - WWW. Prefix: http://ehttp.cc/?
En estos casos, antes de emplear HJT, conviene utilizar
herramientas específicas contra CWS como CWShredder. Pasar
tras reiniciar el scan de HJT y comprobar si ha sido
suficiente con eso, aplicando finalmente el 'Fix Checked' en
caso necesario.
CWS tiene muchas variantes y es un listado en continua
expansión.
Otros ejemplos Spyware a los que podéis aplicar 'Fix Checked':
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O14: Hijack de la configuración por defecto de IE
Hay una opción entre las muchas del IE, que es resetear los
valores presentes y volver a la configuración por defecto. Los
valores de esta última, se guardan en el fichero iereset.inf,
ubicado en [**]\inf y el problema puede aparecer si un
hijacker modifica la información de dicho fichero porque, de
esa manera, al resetear a la configuración por defecto, lo
tendríamos presente de nuevo. En estos casos es conveniente
aplicar 'Fix Checked'.
Ejemplo spyware: O14 - IERESET.INF:
START_PAGE_URL=http://www.searchalot.com
No obstante, tener cuidado porque no todo lo que aparece en
este ítem tiene que ser nocivo. A veces puede deberse a
manipulaciones legítimas del Administrador de Sistemas,
manufactura de equipos de ciertas marcas, corporativos, etc.
En estos casos seguramente reconocerán la URL mostrada y no
será necesario ningún procedimiento.
O15: Sitios indeseados en la zona segura de IE
En IE la seguridad se establece por medio de zonas o y según
éstas, la permisividad en términos de seguridad es mayor o
menor. En niveles bajos de seguridad, es posible ejecutar
scripts o determinadas aplicaciones que no están permitidos en
niveles altos.
Es posible añadir dominios a unas zonas u otras (sitios de
confianza/sitios restringidos), según nuestro grado de
confianza en ellos y esto se recoge en la sgte. cadena del
registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings\ZoneMap\Domains
Si por ejemplo hemos añadido www.infospyware.com a los sitios
de confianza, nos aparecería reflejado de esta manera en el
ítem correspondiente de HJT:
O15 - Trusted Zone: www.infospyware.com
De igual manera puede aparecer, por ejemplo, el dominio de
empresa de nuestro puesto de trabajo o cualquier otro que
hayamos añadido conscientemente.
Pero puede darse el caso de que un spyware como CWS,
introduzcan silenciosamente sus dominios dentro de los sitios
de confianza, lo que podría verse reflejado de la sgte.
manera:
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
En el caso de CWS o en el de cualquier otro que no deseemos
tener como sitio de confianza, y para eliminarlo de manera
rápida y segura podemos utilizar la herramienta TZ-Kill.inf
O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y
guardados en nuestro ordenador; por ello también se les
denominan Downloaded Program Files. La ubicación de
almacenamiento es [**]\Downloaded Program Files
Podemos encontrar ítems normales como el del sgte. ejemplo:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Y otros típicos de spyware que, con suerte, serán fácilmente
identificables si muestran nombres sospechosos relacionados
con porno, dialers, Toolbars indeseadas o palabras claves como
casino, sex, adult, etc. Ejemplo:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer
Class) -
http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
En casos de spyware, podemos emplear tranquilamente el 'Fix
Checked' pero si tras volver a escánear viéramos casos
rebeldes que siguen presentes, sería necesario reiniciar en
modo seguro (pulsando F8...) para proceder con su eliminación.
SpywareBlaster de JavaCool cuenta en su base de datos con un
numeroso listado de ActiveX maliciosos. Volvemos a recomendar
su utilización preventiva.
O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un
site en el navegador en lugar de su dirección IP, nuestro PC
contacta con un servidor DNS para que resuelva correctamente
el nombre del dominio. Sin embargo, puede darse el caso de que
un hijacker cambie las DNS para que empleemos su propio
servidor en lugar del servidor DNS habitual. Si lo llevan a
cabo podrán redireccionarnos a donde quieran, apuntando
nuestras peticiones hacia los dominios de su elección (no la
nuestra).
Ejemplo normal:
O17 -
HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}:
NameServer = 194.224.52.36,194.224.52.37
Decimos normal porque esas IPs corresponden a servidores DNS
de un conocido ISP español y en estos casos no es preciso
hacer nada. Es la situación más habitual, encontrar las DNS
que nos proporciona nuestro ISP.
Para comprobar si son buenas o no, podéis hacer un whois con
aplicaciones ex profeso o acudir a sites de fiar que ofrezcan
ese servicio, como Google. Ahora bien, si los resultados de
nuestras pesquisas apuntan hacia spywares, les aplicaremos
'Fix Checked'.
O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A
grosso modo, decir que nuestro SO emplea unos protocolos
estándar para enviar/recibir información, pero algunos
hijackers pueden cambiarlos por otros (protocolos "extra" o
"no estándar") que les permitan en cierta manera tomar el
control sobre ese envío/recepción de información.
HJT primero busca protocolos "no estándar" en
HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante
la CLSID trata de obtener la información del path, también
desde el registro: HKLM\SOFTWARE\Classes\CLSID
Ejemplo spyware:
O18 - Protocol:relatedlinks -
{5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll
Esta técnica no es de las más frecuentes de ver, pero puede
ser empleada por conocida spyware como Huntbar -RelatedLinks-
(la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive
CWS. Si encuentra alguno en el item O18 aplicarles 'Fix
Checked'.
O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este
ítem O19, coincidente
con un navegador ralentizado y frecuentes pop-ups, podría ser
conveniente aplicarle
'Fix Checked'. Sin embargo, dado que hasta el momento sólo se
tiene reportado a CWS como responsable, la recomendación es
emplear el CWShredder
Espero que esta información les sirva de algo. Un saludo a todos los foreros. \:D/ \:D/ \:D/