faustoceron.files.wordpress.com€¦ · web viewtabla de contenido. contenido tabla de contenido...
TRANSCRIPT
Tabla de contenido
Contenido
1Tabla de contenido
3TUTORIAL TREND MICRO HIJACKTHIS (USO BASICO)
13Manual Avanzado de Cómo usar HijackThis para remover hijackers, spywares y adwares. (HijackThis Tutorial in Spanish)
66MANUAL DEL REGISTRO DE WINDOWS BASICO.
75Manual avanzado de Como modificar las claves y valores del Registro de Windows
75¿Qué es el Registro de Windows y Regedit?
76¿Cómo abrir REGEDIT el Editor del Registro?
76¿Cómo editar las claves y valores del Registro?
79Reglas a seguir para crear los scripts o archivos REG
80Permisos para editar el registro
80Ubicación de las claves mas editadas del Registro
83Consejos antes de efectuar algún cambio en el Registro
85Manual del Registro de Windows, estructura y funciones elementales
86Ubicación de los archivos del Registro
87Cómo podemos modificar el contenido del Registro de Windows
91Estructura del Registro de Windows
93Algunas claves importantes del Registro de Windows
94HKEY_LOCAL_MACHINE (HKLM)
95Métodos prácticos de editar el Registro
96Ejemplos prácticos de algunas modificaciones al sistema
97Otras modificaciones en el Registro de Windows
98Manual del MSCONFIG
104Scanner
105¿Qué es la desfragmentación de discos?
105¿Para qué sirve el desfragmentador?
113Clúster (sistema de archivos)
113Tamaño de unidad de asignación
114Formatos
114Cómo reparar un clúster dañado en un disco duro
114Usando CHKDSK para reparar los problemas de tu disco duro
116Como Arrancar en modo seguro o a prueba de fallos
124Para que sirve reiniciar la pc en Modo a prueba de Fallos
TUTORIAL TREND MICRO HIJACKTHIS (USO BASICO)
Introducción: El Trend Micro™ HijackThis™ es un programa muy utilizado por profesionales de la informática para detectar y en su caso ayudar a eliminar algunas infecciones. Sin embargo, éste programa es muy avanzado para el usuario medio, por lo que se recomienda su uso sólo bajo la supervisión de un experto en el uso del programa, ya que su mal uso puede dejar inservible el sistema, incluso siendo necesario formatear para solucionarlo. Éste tutorial estará conformado por 2 secciones. El primero (éste que estamos leyendo) va dirigido a esos usuarios novatos que desean aprender el uso de éste programa. El segundo irá dirigido a esos usuarios avanzados que ya se dan una idea del funcionamiento de un sistema, y que se sienten capaces de aprender a interpretar el reporte que entrega. Pero una advertencia importante: Si no sabemos qué es lo que estamos moviendo, mejor no hay que mover nada y preguntar en el foro para que uno de los moderadores autorizados analice el log, así estaremos seguros de lo que se puede o no eliminar. Nota: Aunque el nombre oficial del programa esTrend Micro™ HijackThis™, nos referiremos a él simplemente por sus siglas HJT
Descripción del programa: Dejemos algo bien claro: el HJT NO es un antivirus, ni un antispyware, ni siquiera un limpiador de registro, ni mucho menos es (como muchos piensan) una varita mágica que va a eliminar cualquier virus o spyware. Es más, ni siquiera debe ser la primera herramienta a usar para eliminar o detectar malware. Si tuviera que describirlo, diría que es simplemente un manipulador del registro. El registro es fundamental para el sistema, ya que en él se tiene documentado todo lo que ocurre en el sistema (programas que hemos instalado, si se puede o no cambiar la página de inicio de internet Explorer, etc.), por lo que la mayoría de los malware utilizan el registro para meterse en el sistema, ejecutarse cada que reiniciamos, impedir cambios en la página de inicio, etc. Aquí es donde entra el HijackThis. Analiza el registro en las zonas más comunes donde puede encontrarse algún malware, así que nos dirá que sucede en el sistema. Sin embargo, el programa sólo analiza esas partes del registro, pero no elimina absolutamente nada. Somos nosotros como usuarios los que debemos eliminar lo que no debería estar en el registro. Es más, el HJT sólo debe usarse como último recurso y para confirmar resultados. Antes de usar el HJT, deberemos hacer una limpieza profunda.
Antes de usar el HJT Los moderadores del foro recomiendan formas distintas para eliminar bichos del sistema y cualquiera de ellas funciona, pero esta es la que yo recomiendo:
Paso 1: Descargar e instalar los siguientes programas: Spybot (Manual de uso aquí) Superantispyware (Manual de uso aquí) Ccleaner (Manual de uso aquí) Unlocker (Para desbloquear archivos que no se pueden eliminar. Manual de uso aquí) RegSeeker. (Este último no requiere instalación. Sólo hay que descomprimirlo y mover la carpeta a archivos de programa. Luego hay que crear un acceso directo del ejecutable en el escritorio) Paso 2: Iniciar en modo seguro con funciones de red Paso 3: Hacer una limpieza de archivos temporales con el Ccleaner Paso 4: Actualizar el Superantispyware, y el Spybot Paso 5: Escanear el equipo con el ad Superantispyware, y después con el Spybot y limpiar lo que te encuentren. Paso 6: Escanear el equipo con algún antivirus en línea. Yo recomiendo alguno de estos: * Panda antivirus on-line Computer associates on-line Trend micro on-line (Para usar éste, hay que tener instalado el Java) Bit defender on-line Nod32 on-line Paso 7: Reiniciar nuevamente en modo seguro y escanear nuevamente con el Spybot y limpiar lo que encuentre Paso 8: Hacer una limpieza de registro con el Regseeker Paso 9: Reiniciar en modo normal y usar el HJT, que es lo que aprenderemos a hacer.
*Nota 1: Con excepción del Trend Micro on-line, el escaneo debe hacerse desde el Internet Explorer 6 o superior. No funciona en Firefox, Opera ni ningún otro navegador. *Nota 2: Hasta donde tengo entendido, una función integrada en Windows vista (llamada sandbox), el escaneo on-line puede detectar los virus, pero no puede eliminarlos. Hay que eliminarlos manualmente cuando detecten algo.
Descarga. El programa lo podemos encontrar en la página oficial: http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download O también lo encontraremos en nuestra sección de programas: http://www.configurarequipos.com/descargar-trend-micro-hijackthis-204-final.html
Si lo bajamos de la página oficial, veremos que tenemos 3 opciones: el ejecutable, el archivo comprimido y el instalador.
Recomiendo el instalador, ya que al hacer cambios en el registro, crea una copia de seguridad de los cambios, y si algo nos falla podemos recuperar lo que hemos eliminado. Sin embargo, si usamos el ejecutable, también creará una copia de seguridad, pero en el lugar donde lo estemos ejecutando (como en el escritorio o en la carpeta de documentos, por lo que podríamos eliminarlo por accidente.
Instalación Al ejecutar el instalador nos preguntará dónde deseamos que guarde los archivos del programa. Dejemos eso como está y le damos en install.
Después nos saldrá la licencia de uso tras lo cual la aceptamos dando clic en I Accept.
Después de eso, nos saldrá la pantalla principal del programa.
Pantalla principal En la pantalla principal del programa, aparecen las siguientes opciones: Do a system scan and save a log file (Escanear el sistema y guardar el reporte) Do a system scan only (Sólo escanear el sistema) View the list of backups (Ver la lista de respaldos) Open the Misc Tools secction (Abrir la sección de herramientas) Open online HijackThis quick start (Abrir el inicio rápido on-line) None of the above, just start the program (Nada de lo anterior, solo iniciar el programa)
La realidad es que este programa requiere pocas configuraciones. De hecho, la gran mayoría funcionarán bien con la configuración que viene preinstalada. En la segunda parte del tutorial (la de usuarios avanzados) sí veremos algunas de estas configuraciones.
Análisis. Después de hacer una limpieza profunda y si aún tenemos problemas con algún malware. Abrimos el HJT y le damos donde en el primer botón, es decir, donde dice Do a system scan and save a log file Esto generará un archivo de texto con el nombre hijackthis.log Este es el reporte que entregará. Si somos usuarios novatos, tenemos que hacer lo siguiente: 1: Abrir un post en el foro. 2: En el título del post, le ponemos alguna descripción de lo que hace (o no hace, según el caso) nuestro equipo 3: En el cuerpo del post, escribimos lo que ya hemos hecho (esto es muy importante) 4: Copiar y pegar el reporte que nos entregó el programa.
Eliminación de entradas Cuando el moderador nos indique que hacer, normalmente nos dirá que marquemos algunas entradas y le demos en fix checked. Esto no es complicado pero veremos cómo se hace:
Abrimos nuevamente el programa, pero ésta vez le damos al segundo botón: Do a system scan only. En el lado izquierdo aparecerán unos cuadritos para marcarlos. PERO SÓLO SE DEBEN MARCAR LO QUE LOS MODERADORES NOS INDIQUEN. De lo contrario, puede dejar inservible el sistema. Finalmente, en la parte de abajo le damos en donde dice fix checked.
Nos saldrá una advertencia de cuántas entradas eliminará, así que lo aceptamos.
Finalmente seguiremos las instrucciones que nos haya dado el moderador, que normalmente incluye (entre otras cosas) pegar un reporte nuevo.
Recuperación de entradas
En algunos casos (muy raros de hecho) es necesario restaurar algunas entradas que habíamos eliminado. (Esto también se hará bajo supervisión de un moderador)
Para recuperar una entrada, abrimos el HJT y le damos en el tercer botón, es decir, donde dice View the list of backups Seleccionamos la entrada que nos haya dicho el moderador y luego le damos en donde dice Restore
Nos preguntará si realmente deseamos recuperar esa entrada y le ponemos que sí.
Pues bien, esto es todo lo que necesitamos saber del uso del programa. Pero si nos sentimos capaces de analizar el reporte, veamos el segundo Tutorial HijackThis (Análisis del log).
Manual Avanzado de Cómo usar HijackThis para remover hijackers, spywares y adwares. (HijackThis Tutorial in Spanish)
Tabla de contenidos
1. Advertencia
2. Introducción
3. Cómo usar HijackThis
4. Cómo restaurar los elementos borrados por error
5. Cómo generar un inicio Listing
6. Cómo utilizar el Administrador de procesos
7. Cómo utilizar el Administrador de archivos Hosts
8. Cómo usar el botón Eliminar en la herramienta de reinicio
9. Cómo utilizar ADS Spy
10. Cómo utilizar el Administrador de desinstalación
11. Cómo interpretar las listas de exploración
12. R0, R1, R2, R3 Secciones
13. F0, F1, F2, F3 Secciones
14. N1, N2, N3, N4 Secciones
15. O1 Sección
16. O2 Sección
17. Sección O3
18. O4 Sección
19. O5 Sección
20. O6 Sección
21. O7 Sección
22. O8 Sección
23. O9 Sección
24. O10 Sección
25. O11 Sección
26. O12 Sección
27. O13 Sección
28. O14 Sección
29. O15 Sección
30. O16 Sección
31. O17 Sección
32. O18 Sección
33. O19 Sección
34. O20 Sección
35. O21 Sección
36. O22 Sección
37. O23 Sección
38. O24 Sección
39. Conclusión
Advertencia
HijackThis sólo debe utilizarse si su navegador o la computadora sigue teniendo problemas después de ejecutar Spybot u otro spyware / secuestrador removedor. HijackThis es una herramienta avanzada, y por lo tanto requiere un conocimiento avanzado sobre sistemas operativos Windows y en general. Si elimina elementos que aparecen, sin saber lo que son, que puede conducir a otros problemas tales como la Internet ya no está trabajando o problemas al ejecutar el propio Windows. Usted también debe tratar de limpiar el spyware / secuestrador / troyano con todos los otros métodos antes de usar HijackThis. Si permite HijackThis para eliminar las entradas antes de que otra herramienta de eliminación analiza el equipo, los archivos del secuestrador / spyware todavía se quedarán en el equipo y herramientas de eliminación de futuro no será capaz de encontrarlos.
Si usted no tiene conocimientos avanzados de informática que NO debe arreglar las entradas con HijackThis sin consultar a un experto en el uso de este programa. Si ya ha ejecutado Spybot - S & D y Ad-Aware y aún tiene problemas, por favor continuar con este tutorial y publicar un registro de HijackThis en nuestro Foro de HijackThis , incluyendo detalles acerca de su problema, y le aconsejará sobre qué se debe corregir.
Introducción
HijackThis es una utilidad que genera una lista de algunos ajustes que se encuentran en su ordenador. HijackThis escaneará su registro y otros archivos para las entradas que son similares a lo que un programa de software espía o secuestrador dejaría atrás. La interpretación de estos resultados puede ser difícil ya que hay muchos programas legítimos que están instalados en el sistema operativo de una manera similar que los secuestradores se instalan. Por lo tanto, usted debe tener mucho cuidado al tener HijackThis solucionar cualquier problema. No puedo enfatizar lo importante que es seguir la advertencia anterior.
Hay dos clases particulares prevalecientes sobre HijackThis en Internet en la actualidad, pero ninguno de ellos se explica lo que cada una de las secciones en realidad quiere decir de una manera que un laico puede entender. En este tutorial, además, que muestra cómo utilizar HijackThis, también entrar en detalles sobre cada una de las secciones y lo que realmente significan. No hay ninguna razón por qué no debe entender qué es lo que está reparando, cuando las personas a examinar sus registros y le dicen qué hacer.
Si usted desea leer primero un tutorial sobre cómo utilizar Spybot, puede hacer clic aquí: Cómo utilizar Spybot - Search and Destroy Tutorial
Dicho esto, pasemos al tutorial sobre cómo usarlo. Si quieres ver tamaños normales de las capturas de pantalla puede hacer clic en ellos. Tenga en cuenta, que una nueva ventana se abrirá cuando lo hace, así que si tienes bloqueadores de pop-up que puede detener la ventana de la imagen de la apertura.
Cómo usar HijackThis
HijackThis puede ser descargado como un archivo ejecutable independiente o como un instalador. La aplicación independiente le permite guardar y ejecutar HijackThis.exe desde cualquier carpeta que desee, mientras que el instalador instalará HijackThis en un lugar específico y crear accesos directos del escritorio para que ejecutable. Al utilizar la versión independiente no se debe ejecutar desde la carpeta de archivos temporales de Internet, no se guardará en la carpeta de copia de seguridad después de cerrar el programa. Con el fin de evitar la supresión de las copias de seguridad, por favor, guarde el archivo ejecutable en una carpeta específica antes de ejecutarlo. Le sugerimos que utilice el instalador HijackThis como que se ha convertido en la forma estándar de utilizar el programa y proporciona un lugar seguro para los respaldos HijackThis.
El primer paso es descargar HijackThis a su computadora en un lugar que usted sabe dónde encontrarlo de nuevo. HijackThis se puede descargar desde el siguiente enlace:
HijackThis Download Link
Si ha descargado la aplicación independiente, y luego haga doble clic en el archivo HijackThis.exe y luego haz clic aquí para pasar a la parte en la que se ha iniciado el programa.
De lo contrario, si ha descargado el instalador, vaya a la ubicación donde se guardó y haga doble clic en el HiJackThis.msi archivo para iniciar la instalación de HijackThis. Cuando se inicia la instalación, haga clic en la instalación de botón para que HijackThis instalado en el C: \ Archivos de programa \ Trend Micro \ HijackThis carpeta, cree un acceso directo del escritorio que se puede utilizar para ejecutar el programa cuando se necesita, y para poner en marcha automáticamente HijackThis por primera vez.
Ahora debería ver una pantalla similar a la siguiente figura:
Figura 1. HijackThis pantalla de inicio cuando se ejecuta por primera vez
Le sugerimos que ponga una marca en la casilla de verificación No mostrar esta ventana cuando empiezo HijackThis, indicada por la flecha azul arriba, como la mayoría de las instrucciones dadas no se darán cuenta de esta pantalla. Después de haber puesto una marca en que casilla de verificación, haga clic en la Nada de lo anterior, acaba de empezar el programa de botón, designado por la flecha roja en la figura anterior. A continuación, se presentará la pantalla principal HijackThis como se ve en la figura 2.
Figura 2. A partir de la pantalla de este secuestro
Primero debe hacer clic en el Config botón, que es designado por la flecha azul en la Figura 2, y confirmar que sus valores coincidan con los que se encuentran en la Figura 3. Las opciones que deben revisarse son designados por la flecha roja.
Figura 3. Opciones de configuración HijackThis
Cuando haya terminado de establecer las opciones, pulse el regreso de claves y continuar con el resto del tutorial.
Tener HijackThis escanear su ordenador de posibles secuestradores, haga clic en el Scan botón designado por la flecha roja en la Figura 2. A continuación se le presentará una pantalla una lista de todos los elementos encontrados por el programa, como se ve en la figura 4.
La Figura 4. Resultados de escaneo
En este punto, usted tendrá una lista de todos los elementos encontrados por HijackThis.
Si lo que ves parece confuso y desalentador para usted, a continuación, haga clic en Iniciar sesión Guardar botón, designado por la flecha roja, y guardar el registro en el equipo en algún lugar que pueda recordar más tarde.
Para abrir el registro y pegarlo en un foro, como la nuestra , debe seguir estos pasos:
1. Haga clic en Inicio y luego en Ejecutar y escriba Bloc de notas y pulse Aceptar. Bloc de notas ahora estarán abiertos en el equipo.
2. Haga clic en Archivo y Abrir y vaya al directorio donde guardó el archivo de registro.
3. Cuando vea el archivo, haga doble clic en él. El archivo de registro ahora debe abrirse en el Bloc de notas.
4. Haga clic en Editar y luego en Seleccionar todo . Todo el texto debe ser seleccionado.
5. Haga clic en Editar y luego Copiar, que copiará todo el texto seleccionado en el portapapeles.
6. Ir al foro de mensajes y crear un nuevo mensaje.
7. Título del mensaje: HijackThis Log: Por favor, ayudar a diagnosticar
8. Haga clic derecho en el área de mensajes donde normalmente se escribe el mensaje y haga clic en la pasta opción. El texto previamente seleccionado debería estar ahora en el mensaje.
9. Pulse Enviar
Si desea ver la información acerca de cualquiera de los objetos de la lista, puede hacer clic una vez en una lista, y luego presione el botón " Info sobre el tema seleccionado ... " botón. Con ello se abre una ventana similar a la Figura 5 a continuación:
Figura 5. Información sobre el objeto
Cuando haya terminado de mirar la información de las distintas listas, y usted siente que usted está bien informado lo suficiente para continuar, mira a través de las listas y seleccionar los elementos que desea eliminar mediante la colocación de marcas de verificación en las casillas de verificación junto a cada lista, como se muestra en la Figura 6. Al final del documento se han incluido algunas formas básicas para interpretar la información de estos archivos de registro. De ninguna manera esta información lo suficientemente amplia para cubrir todas las decisiones, sino que debe ayudarle a determinar lo que es legítimo o no.
La Figura 6. Seleccione un elemento para quitar
Una vez que haya seleccionado los artículos que le gustaría eliminar, pulse el Fix Checked botón, designado por la flecha azul, en la Figura 6. HijackThis entonces pedirá que confirme si desea eliminar los elementos. Pulse Sí o No en función de su elección.
Cómo restaurar los elementos borrados por error
HijackThis viene con una copia de seguridad y restaurar el procedimiento en el caso de que por error eliminar una entrada que es realmente legítimo. Si ha configurado HijackThis como se muestra en este tutorial, entonces usted debería ser capaz de restaurar las entradas que ha eliminado previamente.Si usted ha tenido el programa HijackThis corriendo de un directorio, entonces el procedimiento de restauración no funcionará.
Si la opción de configuración Haga copias de seguridad antes de fijar los elementos se comprueba, HijackThis hará una copia de seguridad de las entradas que se fije en un directorio llamado backups que se encuentra en la misma ubicación que hijackthis.exe.
Si usted comienza HijackThis y haga clic en Config , y luego el Backup botón se le presentará una pantalla como la Figura 7. Usted tendrá una lista de todos los elementos que se habían fijado con anterioridad y tener la opción de restaurarlos. Una vez que se restaura un elemento que se muestra en esta pantalla, al escanear de nuevo con HijackThis, las entradas aparecerán de nuevo.
Figura 7. Restauración de una entrada eliminado por error
Una vez que haya terminado la restauración de los elementos que se han solucionado por error, puede cerrar el programa.
Cómo generar un inicio Listing
A veces, cuando usted fija su registro en un foro de mensajes pidiendo ayuda, las personas que ayudan pueden pedirle que genere una lista de todos los programas que se inician automáticamente en su ordenador. HijackThis ha construido en herramientas que le permitirá hacer esto.
Para ello, accede a la configuración opción al iniciar HijackThis, que es designado por la flecha azul en la figura 2, y luego haga clic en el Misc Herramientas botón en la parte superior. Usted debe ver una pantalla similar a la Figura 8.
Figura 8. Generación de un StartupList Log.
A continuación, haga clic en el botón etiquetado Generar StartupList Log que se designa con la flecha roja en la Figura 8. Al hacer clic en ese botón, el programa se abrirá automáticamente una libreta llena de los elementos de inicio de su ordenador. Copia y pega estas entradas en un mensaje y enviarlo.
Esperemos que sea con su conocimiento o ayuda de otras personas que le han limpiado su computadora. Si desea obtener información más detallada acerca de lo que cada sección en un medio de registro de exploración, continúa leyendo.
Cómo utilizar el Administrador de procesos
HijackThis ha construido en un gestor de procesos que se pueden utilizar para poner fin a los procesos, así como ver qué archivos DLL se cargan en ese proceso. Para acceder al gestor de procesos, debe hacer clic en la Config botón y luego haga clic en el Misc Herramientas botón. Ahora debería ver una nueva pantalla con uno de los botones que son Process Manager abierta . Si hace clic en ese botón, verá una pantalla similar a la Figura 9.
La Figura 9. Process Manager HijackThis
Esta ventana aparecerá una lista de todos los procesos abiertos que se ejecutan en su máquina. A continuación, puede hacer clic una vez sobre un proceso para seleccionarlo y, a continuación, haga clic en el Proceso de muertes del botón designado por la flecha roja en la Figura 9. Este tratará de terminar el proceso de ejecución en el equipo.
Si usted desea cancelar varios procesos al mismo tiempo, presione y mantenga presionado el control de tecla de su teclado. Mientras se presiona esta tecla, haga clic una vez en cada proceso que desea ser terminado. Mientras mantiene pulsado el control de botón mientras selecciona los procesos adicionales, usted será capaz de seleccionar varios procesos a la vez. Cuando haya seleccionado todos los procesos que le gustaría terminar usted pulse el Kill Process botón.
Si a usted le gustaría ver qué archivos DLL se cargan en un proceso seleccionado, usted puede poner una marca en la casilla de verificación Mostrar archivos DLL, designado por la flecha azul en la figura anterior. Esto dividirá la pantalla de proceso en dos secciones. La primera sección se enumerarán los procesos como antes, pero ahora cuando se hace clic en un proceso en particular, la sección inferior aparecerá una lista de los archivos DLL cargados en ese proceso.
Para salir del administrador de procesos es necesario hacer clic en el nuevo botón doble de la que se colocará en la pantalla principal.
Cómo utilizar el Administrador de archivos Hosts
HijackThis también tiene un administrador de archivos Hosts rudimentaria. Con este gestor se puede ver el archivo hosts y elimine las líneas en el archivo o líneas de activar o desactivar. Para acceder al administrador de archivos hosts, debe hacer clic en el botón Configuración y luego haga clic en el botón Misc Tools. Ahora debería ver una nueva pantalla con uno de los botones que son Hosts File Manager. Si hace clic en ese botón, verá una pantalla similar a la Figura 10 a continuación.
Figura 10: Hosts File Manager
Esta ventana mostrará el contenido del archivo HOSTS. Para eliminar una línea en el archivo hosts tendría que hacer clic en una línea como la designada por la flecha azul en la figura 10 anterior. Esto seleccionará esa línea de texto. A continuación, puede eliminar la línea, haciendo clic en el botón Borrar línea (s), o cambiar la línea de encendido o apagado, haciendo clic en el botón de línea Toggle (s). Es posible seleccionar varias líneas a la vez usando las teclas de control de cambio y el o arrastrando el puntero del ratón sobre las líneas que desea interactuar.
Si elimina las líneas, las líneas se eliminarán de su archivo HOSTS. Si activa las líneas, HijackThis agregará un signo # delante de la línea. Esto le comente la línea por lo que no va a ser utilizado por Windows. Si no está seguro de qué hacer, siempre es seguro para alternar la línea para que aparezca un # antes.
Para salir del administrador de archivos Hosts es necesario hacer clic en el nuevo botón doble de la que se colocará en la pantalla principal.
Cómo usar el botón Eliminar en la herramienta de reinicio
A veces usted puede encontrar un archivo que se niega obstinadamente a eliminar por medios convencionales. HijackThis introdujo en la versión 1.98.2, un método para que Windows elimine el archivo como se arranca, antes de que el archivo tiene la oportunidad de cargar. Para ello, siga estos pasos:
1. Inicio Hijackthis
2. Haga clic en la Config botón
3. Haga clic en la Miscelánea Herramientas botón
4. Haga clic en el botón denominado Eliminar un archivo en el reinicio ...
5. Una nueva ventana se abrirá pidiéndole que seleccione el archivo que desea borrar al reiniciar. Navegue hasta el archivo y haga clic en él una vez y, a continuación, haga clic en el Abierto de botón.
6. Ahora se le preguntará si desea reiniciar el equipo para borrar el archivo. Haga clic en el Sí botón si desea reiniciar ahora, de lo contrario haga clic en el botón para reiniciar más tarde.
Cómo utilizar ADS Spy
Hay una infección en particular llamado Home Search Assistant o CWS_NS3 que a veces utilizan un archivo llamado un archivo de secuencia de datos alternativo para infectar su computadora. Estos archivos no se pueden ver o eliminar el uso de los métodos normales. ADS Spy fue diseñado para ayudar en la eliminación de este tipo de archivos. Para aquellos que estén interesados, se puede obtener más información sobre Alternate Data Streams y Home Search Assistant mediante la lectura de los siguientes artículos:
Alternate Data Streams de Windows [Tutorial] Enlace
Inicio Buscar Análisis Asistente [Tutorial Link]
Para usar la utilidad Spy ADS usted comenzaría HijackThis y luego haga clic en la configuración del botón. A continuación, haga clic en el Misc Herramientas botón y, finalmente, haga clic en el Spy ADS botón. Cuando se abra la utilidad Spy ADS verá una pantalla similar a la figura 11 a continuación.
Figura 11: ADS Spy
Pulse el Scan botón y el programa comenzará a escanear la carpeta de Windows para los archivos que son Alternate Data Streams. Si encuentra alguno, se los mostrará similar a la figura 12 a continuación.
Figura 12: Lista de encontrados Alternate Data Streams
Para eliminar uno de los archivos de anuncios que se muestran, sólo tiene que colocar una marca junto a la entrada y hacer clic en Eliminar seleccionado botón. Esto eliminará el archivo de ADS de su equipo. Cuando haya terminado, pulse el Back botón junto al quitar seleccionado hasta que esté en la pantalla principal de HijackThis.
Cómo utilizar el Administrador de desinstalación
El Uninstall Manager le permite gestionar las entradas que se encuentran en su panel de control de Agregar / quitar programas. Al limpiar el malware de un archivo de entradas de la máquina en la opción Agregar / quitar programas siempre se quedan atrás. Muchos usuarios comprensiblemente gustaría tener una lista limpia Agregar / quitar programas y tienen dificultad para eliminar estas entradas erróneas. Uso del Administrador de desinstalación puede eliminar estas entradas de la lista de desinstalación.
Para acceder al Administrador de desinstalación debe hacer lo siguiente:
1. Inicio HijackThis
2. Haga clic en la Config botón
3. Haga clic en la Miscelánea Herramientas botón
4. Haga clic en el Abierto de Uninstall Manager botón.
Ahora se le presentará una pantalla similar a la siguiente:
Figura 13: HijackThis Uninstall Manager
Para borrar una entrada, simplemente haga clic en la entrada que desea eliminar y luego haga clic en la entrada Elimine este botón. Si desea cambiar el programa de esta entrada se asocia con usted puede hacer clic en el comando Editar desinstalación botón e introduzca la ruta al programa que debe ejecutarse si se hace doble clic en la entrada correspondiente en el Agregar / Quitar programas lista. Esta última función se debe utilizar solamente si sabe lo que está haciendo.
Si se le pide para guardar esta lista y publicarla para que alguien pueda examinarlo y le aconsejará sobre lo que se debe eliminar, puede hacer clic en el... Guardar lista botón y especificar dónde desea guardar el archivo. Al pulsar en Guardar botón un bloc de notas se abrirá con el contenido de ese archivo. Simplemente copie y pegue el contenido de ese bloc de notas en una respuesta en el tema que está recibiendo ayuda pulg
Cómo interpretar las listas de exploración
La siguiente sección es ayudar a diagnosticar la salida de una exploración HijackThis. Si usted todavía no está seguro de qué hacer, o si desea solicitar que interpretar el registro, pegar su registro en un mensaje en nuestro foro de Privacidad .
Cada línea de la lista de exploración de HijackThis comienza con un nombre de sección. A continuación se muestra una lista de los nombres de las secciones y sus explicaciones. Puede hacer clic en un nombre de sección para lograr que la sección correspondiente.
Nombre de la Sección
Descripción
R0, R1, R2, R3
URL's de páginas de inicio y búsqueda del Internet Explorer
F0, F1, F2, F3
Programas autoejecutables
N1, N2, N3, N4
URL's de páginas de inicio y búsqueda de Netscape y Mozilla
O1
Archivo redireccionador de hosts
O2
BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador)
O3
Barras de Herramientas del Internet Explorer
O4
Programa autoejecutables desde el registro
O5
Iconos no visibles de IE en el Panel de Control
O6
Opciones del IE con acceso restringido por el administrador
O7
Acceso restringido al Regedit por el administrador
O8
Objetos extras del IE
O9
Botones extras en el botón principal de la barra de herramientas del IE u objetos extra en el menú "Herramientas"
O10
Hacker del Winsock
O11
Grupo extra en la ventana de Opciones Avanzadas del IE
O12
Plug-ins para el IE
O13
Hijacker del prefijo por defecto de IE
O14
Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web)
O15
Sitio no deseado en la Zona de Sitios de Confianza
O16
Objetos ActiveX (Archivos de Programa Descargados)
O17
Hijacker Lop.com
O18
Protocolos extras y protocolo de Hijackers
O19
Hijacker de Hojas de Estilo
O20
Valores de Registro autoejecutables AppInit_DLLs
O21
Llaves de Registro autoejecutables ShellServiceObjectDelayLoad
O22
Llaves de Registro autoejecutables SharedTaskScheduler
Es importante aclarar que ciertas secciones usan una lista blanca interna así que el HijackThis no mostrará archivos legítimos. Para desactivar esta lista blanca, puedes ejecutar HijackThis de esta forma: HijackThis.exe /ihatewhitelists.
Secciones R0, R1, R2, R3
Esta sección abarca la página de inicio y búsqueda del Internet Explorer.
R0 es para las páginas de inicio y el asistente de búsqueda del IE.
R1 es para las funciones de búsqueda de IE y otras características.
R2 no es usado actualmente.
R3 es para un Buscador de URL's.
Mostrará algo parecido a esto:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.google.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL = http://www.google.com/R2 - (this type is not used by HijackThis yet)R3 - Default URLSearchHook is missing
Si reconoces la URL como tu página de inicio o tu motor de búsqueda, entonces todo está bien. Si no la reconoces, revísala y usa HijackThis para arreglarlo. Para los objetos de R3, siempre arréglalos a menos que se mencione un programa que reconozcas, como Copérnico.
Una pregunta común es que qué significa cuando la palabra Obfuscated (Ofuscado) sigue a una de esas entradas. Cuando algo está ofuscado significa que es algo difícil de percibir o entender. En términos de spyware esto sginifica que el spyware o hijacker está escondiendo una entrada hecha por él convirtiendo los valores en otra forma que él entienda fácilmente, pero las personas tengas problemas reconociendolas, como agregando entradas en el registro en hexadecimal. Ésto es solo otro método de esconder su prescencia y de hacer difícil el removerlos.
Si no reconoces la página web que señala tanto el punto R0 como el R1, y deseas cambiarla, entonces puedes usar HijackThis para removerlos de forma segura, no serán perjudiciales para el IE. Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro con HijackThis, HijackThis no borrará ese archivo en particular y usted tendrá que borrarlo manualmente.
Hay cierto tipo de entradas R3 que terminan con un guión bajo, como por ejemplo:
R3 - URLSearchHook: (no name) - _ - (no file)
Note el CLSID, los números entre las llaves, tienen un guión bajo al final y ello a veces dificulta removerlos con el HijackThis. Para arreglar esto necesita borrar manualmente esa entrada en particular, siguiendo esta ruta:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es válido por defecto.
Si no reconoce el software que usa en el UrlSearchHook, búsquelo en Google y dependiendo de los resultados de la búsqueda, permita que HijackThis lo arregle.
Algunas llaves de registro:
HKLM\Software\Microsoft\Internet Explorer\Main,Start PageHKCU\Software\Microsoft\Internet Explorer\Main: Start PageHKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URLHKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URLHKLM\Software\Microsoft\Internet Explorer\Main: Search PageHKCU\Software\Microsoft\Internet Explorer\Main: Search PageHKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)HKCU\Software\Microsoft\Internet Explorer\Main: Window TitleHKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverrideHKCU\Software\Microsoft\Internet Connection Wizard: ShellNextHKCU\Software\Microsoft\Internet Explorer\Main: Search BarHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooksHKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearchHKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Secciones F0, F1, F2, F3
Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini o sus equivalentes en el registro.
F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado por Windows 9X y anteriores designan qué programa actuará como shell para el sistema operativo. La Shell es el programa que carga el escritorio, controla la administración de ventanas y permite que el usuario interactúe con el sistema. Cualquier programa listado después del shell statement será cargado cuando Windows arranque, y actuará como la shell por defecto. Hay algunos programas que actúan como un reemplazo válido para la shell, pero generalmente no se usa más. Windows 95 y 98 (¿Windows ME?), ambos usan el Explorer.exe como su shell por defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma línea Shell =, como por ejemplo: Shell=explorer.exe programa_maligno.exe. Esta línea hará que ambos programas arranquen cuando Windows cargue.
Los objetos de F0 siempre son malos, así que conviene arreglarlos.
F0 - system.ini: Shell=Explorer.exe Abreme.exeF1 - win.ini: run=hpfsched
F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado después de run= o load= cargará cuando Windows cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas modernos no usan esta característica ini, y si no estás usando un programa antiguo entonces sospecha. El load= era usado para cargar los drivers del hardware.
Los objetos en listado en F1 usualmente son programas muy viejos, pero que son seguros, así que puedes encontrar más información del nombre del archivo para saber si es malo o bueno.
Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que están ubicadas en el registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan una función llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini en el registro, con llaves para cada línea encontradas en él .ini. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisará la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curten Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leerá las configuraciones desde ahí. Puedes ver que esta llave está refiriendose al registro como si conteniera REG y entonces el archivo .ini al cual se está refiriendo el IniFileMapping.
Otra entrada común encontrada en F2 es la entrada UserInit la cual corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Bilongo\UserInit la cual se encuentra en Windows NT, 2000, XP y 2003. Esta llave especifica qué programa se debe cargar después que un usuario se logue en Windows. El programa por defecto para esta llave es: C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes, colores, etc. para tu nombre de usuario. Es posible añadir programas furtivos que inicien desde esta llave separando los programas con una coma. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\userinit.exe,C:\Windows\programa_maligno.exe. Esto hará que ambos programas se ejecuten cuando te loguees y es un lugar común para ejecutar troyanos, hijackers y spywares.
Llaves del Registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,
Archivos Usados:
c:\windows\system.inic:\windows\win.ini
Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe Something.exe Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe
En F0 si ves una línea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces definitivamente deberías borrarlo. Generalmente puedes borrar estas entradas, pero recuerda consultar Google.
Para las entradas F1 es recomendable que las busques en Google y así determinar si pertenecen a programas legales.
Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue estando bien, también puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces podría ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves explorer.exe, sólo, entonces está bien, si no, como en el ejemplo de arriba, entonces podría ser troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google primero.
Sitios para consultar:Bleeping Computer Startup Databasehttp://www.answersthatwork.com/Tasklist_pages/tasklist.htmhttp://greatis.com/regrun3appdatabase.htmhttp://www.sysinfo.org/startuplist.phphttp://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMShttp://www.kephyr.com/filedb/index.phphttp://www.liutilities.com/products/wintaskspro/processlibrary/
Secciones N1, N2, N3, N4
Estas secciones son para las páginas de inicio y motor de búsqueda por defecto de los navegadores Netscape y Mozilla.
Estas entradas están guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 están guardadas en el archivo prefs.js en el directorio de programa el cuál por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs.js.
N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4.
N2 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 6.
N3 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 7.
N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla.
Archivos usados: prefs.js
Como la mayoría de los spywares y hijackers están hechos para IE, estos navegadores usualmente están a salvo. Si ves sitios web listados ahí que tú no hayas establecido, puedes usar el HijackThis para arreglarlo. Existe un conocido sitio que hace cambios a esas configuraciones, y ese sitio es Lop.com, el cuál es discutido aquí:http://www.doxdesk.com/parasite/lop.html
Sección O1
Esta sección corresponde al archivo de redirección Hosts.
El archivo hosts contiene la relación de IP's con hostnames. Por ejemplo:
127.0.0.1 www.arwinianos.net
Si tratas de ir a www.arwinianos.net, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1 a pesar de la dirección correcta.
Algunos hijackers usan el archivo de redirección hosts para redirigirte a ciertos sitios en lugar de otros. Así, si alguien inserta una entrada como esta:
127.0.0.1 www.google.com
y tratas de ir a www.google.com, serás redirigido a 127.0.0.1 la cuál es tu propia computadora.
Ejemplo del escaneo:
O1 - Hosts: 192.168.1.1 www.google.com
Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y está guardado por defecto en los siguientes lugares dependiendo del Sistema operativo, a menos que elijas instalarlo en un ruta diferente.
Operating System LocationWindows 3.1 C:\WINDOWS\HOSTSWindows 95 C:\WINDOWS\HOSTSWindows 98 C:\WINDOWS\HOSTSWindows ME C:\WINDOWS\HOSTSWindows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTSWindows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTSWindows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTSWindows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
La localización del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath
Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.
Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo, entonces usa HijackThis para arreglar esto que lo más probable es que haya sido causado por un infección.
También puedes descargar el programa Hoster, el cuál te permite restaurar el archivo hosts por defecto en tu máquina. Para hace eso, descarga el programa Hoster y ejecútalo. Cuando abra, has click en el botón "Restore Original Hosts" y luego cierra el programa Hoster.
Sección O2
Esta sección corresponde con los Browser Helper Objects (o BHO, en español algo así como: "Objetos que Ayudan al Navegador"). Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por spywares así como programas legítimos como Google Toolbar y Adobe Acrobat Reader. Investige cuando esté decidiendo qué quitar y qué no quitar, pues algunos de ellos podrían ser legítimos.
Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll
Existe una excelente lista de conocidos BHO aquí: http://sysinfo.org/bholist.php. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hace referencias a entradas del registro que contienen información acerca de los BHO.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá finalizar el proceso del archivo listado. Hay ocasiones en que el archivo sigue en uso aún después de haber cerrado el IE. Si el archivo aún existe después de arreglarlo con HijackThis, es recomendable que reinicies el sistema en modo seguro y borrar el archivo.
Sección O3
Esta sección corresponde a las barras de herramientas del Internet Explorer.
Estas son las barras de herramientas (toolbars) debajo de su barra de navegación y menú del IE.
Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar
Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll
Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org para buscar la entrada o el nombre de esta barra de herramientas. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO. Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo.
Cuando arregles este tipo de entradas, HijackThis no borrará los objetos presentados en la lista. Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo listado.
Sección O4
Esta sección corresponde a las aplicaciones que están presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automáticamente cuando Windows inicia. Las llaves del registro mostradas aquí son válidas para Windows XP, NT y 2000 (otros sistemas operativos ¿?).
Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves del registro.
Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular.
Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario.
Llaves del Registro del Arranque:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesHKLM\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER.
Una completa guía de ubicaciones de arranque y para qué son usadas puede verla aquí: http://www.bleepingcomputer.com/tutorials/windows-program-automatic-startup-locations/
Directorios usados:
Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\StartupGlobal: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo a prueba de fallos. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.
Muchos programas legítimos arrancan de esas formas, una entrada quizá parezca que les pertenece pero sigue siendo de algún programa malicioso. Consulta los siguientes enlaces para las entradas O4:
Bleeping Computer Startup Databasehttp://www.answersthatwork.com/Tasklist_pages/tasklist.htmhttp://greatis.com/regrun3appdatabase.htmhttp://www.sysinfo.org/startuplist.phphttp://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMShttp://www.kephyr.com/filedb/index.phphttp://www.liutilities.com/products/wintaskspro/processlibrary/
Sección O5
Esta sección corresponde a no poder acceder a las opciones de IE en el Panel de Control.
Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.ini la cual está guardada (al menos para Windows XP) en C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles.
Archivos de usuario: control.ini
Ejemplo de la lista O5 - control.ini: inetcpl.cpl=no
Si ves una línea parecida como la de arriba quizá sea señal de que un software está tratando de dificultar el cambio de las configuraciones. A menos que se conozca una razón específica, como que el administrador configuró la política o SpyBot S&D colocó una restricción, puedes usar HijackThis para arreglarlo.
Sección O6
Esta sección corresponde a una restricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro.
Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Estas opciones sólo aparecen si su administrador las configuró a propósito o si usted usó la opción "SpyBot Home Page and Option Lock" de la sección Inmunizar del SpyBot.
Sección O7
Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.
Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ejemplo de Lista O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:DisableRegedit=1
Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propósito, por lo que arreglarlo con HijackThis puede romper normas corporativas. Si eres el administrador y esta opción ha sido activada sin tu permiso, entonces usa HijackThis para arreglarlo.
Sección O8
Esta sección corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.
Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.
Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
Ejemplo de Lista O8 - Extra context menu item: &Google Search -res://c:\windows\GoogleToolbar1.dll/cmsearch.html
El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).
Sección O9
Esta sección corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto.
Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones
Ejemplo de la Lista O9 - Extra Button: AIM (HKLM)
Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).
Sección O10
Esta sección corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.
Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet.
Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing
Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.
SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).
Sección O11
Esta sección corresponde a un grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.
Si buscas en el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.
LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Ejemplo de la Lista O11 - Options group: [CommonName] CommonName
De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco.
Sección O12
Esta sección corresponde a los Plug-ins para Internet Explorer. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos disponibles como por ejemplo el visor de archivos PDF.
Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Muchos de los plug-ins son legítimos, así que deberías buscar en Google aquél que no reconoces antes de borrarlo. Un conocido plug-in que deberías borrar es el Onflow plug-in que tiene laextensión de .OFB.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis, es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.
Sección O13
Esta sección corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irás a http://ehttp.cc/?www.google.com.mx, el cuál es en realidad el sitio web para CoolWebSearch.
Llave del Registro:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?
Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.
Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.
Sección O14
Esta sección corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venían por defecto. Ese fichero está guardado en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas. Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del fichero iereset.inf.
Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Por favor esté al tanto de este fichero (en dado caso de que aparezca en el log), que es posible que el cambio sea legítimo, que lo haya modificado la manufacturera de computadoras o el administrador de la máquina. Si no reconoces la dirección entonces deberías arreglarlo.
Sección O15
Esta sección corresponde con los sitios indeseados en la Zona de Sitios de Confianza. La seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden correr mientras se está usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten scripts, algunos potencialmente peligrosos, de algún sitio web.
Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net
Entonces, si alguna vez ves algo aquí generalmente debes removerlo a menos que reconozcas la URL como una que tu compañía use. La entrada más común que encontrarás aquí será free.aol.com, el cuál puedes arreglar cuando quieras.
Sección O16
Esta sección corresponde a los objetos ActiveX, también conocidos como Downloaded Program Files (Archivos de Programa Descargados).
Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. Estos objetos están guardados en C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.
Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab
Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de compañías que usan objetos ActiveX así que ten cuidado. Siempre borra las entradas O16 que tengan palabras como sex, porn, dialer, free, casino, adult, etc.
Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar a través de su base de datos para localizar objetos ActiveX peligrosos.
Usa SpywareBlaster para proteger tu computadora de spyware, hijackers y malware.
Cuando arregles entradas O16, HijackThis intentará borrarlas del disco duro. Normalmente esto no será problema, pero hay ocasiones en que HijackThis no será capaz de borrar el archivo. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces bórralo.
Sección O17
Esta sección corresponde al dominio Lop.com.
Cuando tu vas a un sitio web usando un dominio, como www.arwinianos.net, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para que apunten a sus propios servidores, donde pueden dirigirte a cualquier sitio que ellos quieran. Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te redirijan al sitio de su elección.
Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qué compañía le pertecen.
Sección O18
Esta sección corresponde a los protocolos extra y protocolos de hijackers.
Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.
Llaves del Registro:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDHKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\HandlerHKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.
Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis.
Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.
Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a éste. Deberías de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente.
Sección O19
Esta sección corresponde al hijacker de las hojas de estilo del usuario.
Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cual fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial.
Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css
Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo.
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.
Sección O20
Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.
El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tú te loguees. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.
Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aquí. Usa Google para investigar si los archivos son legítimos. También puedes usar las listas para ayudarte a verificar los archivos:
Bleeping Computer Startup DatabaseCastlecop's O20 List
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.
Sección O21
Esta sección corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad.
Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cual contiene la información acerca del DLL en particular que se está usando.
Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.
Un hijacker que usa el método puede reconocerse por las siguientes entradas:
Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll
HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estándar y deberías considerarlo como sospechoso. Como siempre has una búsqueda en Google de cualquier DLL listada en estas llaves. También puedes usar las listas para ayudarte a verificar los archivos:Bleeping Computer Startup DatabaseCastlecop's O21 List
Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.
Sección O22
Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.
Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll
Ten cuidado cuando remuevas los objetos listados en estas llaves ya que algunas son legítimas. Puedes usar Google para intentar determinar si éstas son válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar las listas para ayudarte a verificar los archivos:Bleeping Computer Startup DatabaseCastlecop's O22 List
HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo tanto, debería reiniciar en Modo a Prueba de Fallos y borrar manualmente este archivo.
Conclusión
HijackThis es una poderosa herramienta para descubrir ciertos aspectos específicos de tu navegador. Desafortunadamente, diagnosticar los resultados del escaneo de HijackThis puede ser complicado. Al menos mis recomendaciones y explicaciones facilitarán el trabajo. Este programa debe ser usado con cautela, ya que hacer algo incorrecto al remover algunos objetos puede causar problemas con programas legítimos. Si tienes alguna duda o pregunta siéntete libre de postearla en nuestros foros.
Fuente: http://www.bleepingcomputer.com/tutorials/how-to-use-hijackthis/
Autor: Lawrence Abrams (www.bleepingcomputer.com)
Traducido al español: Arwing
MANUAL DEL REGISTRO DE WINDOWS BASICO.
Nos vamos a inicio y nos situamos en Ejecutar. Tecleamos Regedit y se nos abre un cuadro de dialogo con las siguientes ramas:
HKEY_CLASSES_ROOT: Se registran todas las extensiones, de tipos de archivo.
HKEY_CURRENT_USER: Listado detallado de las configuraciones del usuario actual.
HKEY_LOCAL_MACHINE: Configuraciones que existen en nuestro PC-PC-PC como dónde está nuestro software y dónde están los drivers instalados.
HKEY_USERS: Todas las configuraciones de los usuarios de ese PC-PC-PC (www. visitadas, aplicaciones, etc...).
HKEY_CURRENT_CONFIG: Un ejemplo de LOCAL_MACHINE, con más detalles de la configuración actual.
HKEY_DYNAMIC_DATA: Es la información dinámica, que se deriva al encender el PC-PC-PC y se esfuma al apagarlo.
Si pinchamos en alguna de estas ramas, nos encontraremos todas las hojas llenas de una valiosa información.
DESCRIPCIÓN DE RAMAS:
HKEY_CLASSES_ROOT (HKCR)
En el GUI graphic user interface de Windows todo (cada archivo, directorio, disco, etc.) es considerado como un objeto, cada objeto tiene asociadas unas propiedades, esta rama (Key) del registro contiene un listado de los objetos y de sus propiedades, por ejemplo *.mid, todos sabemos que son archivos de sonido, pues al abrir HKCR y la Subkey .mid veríamos lo siguiente:
Nombre: Datos: (predeterminado) ''midfile''
Content Type ''audio/mid'' Pues tenemos un objeto ''midfile'' con propiedades ''audio/mid'', es decir, midfile está asociado a audio/mid. Las principales funciones de estas claves son:
1º Asociar la extensión de un archivo a un tipo de objeto.
2º Asociar un icono a un tipo de objeto.
3º Asociar una serie de acciones de la línea de comandos a un tipo de objeto.
4º Asociar las opciones de los menús contextuales (desplegables) a un tipo de objeto.
5º Definir lo que aparecerá en la ventana propiedades (right-clickàpropiedades) para cada tipo de objeto.
Dentro de HKCR distinguimos tres tipos de Subkeys:
1- Extensiones de archivos, asocian las extensiones con los tipos de objeto. Estas Subkeys se ocupan de decir qué hace windows con cada tipo de archivo (archivos que llevan asociadas determinadas acciones), qué menús despliega al hacer right-click sobre él y las propiedades que se muestran al acceder a este menú. Son de este tipo Subkeys como .arj, .com, .cab, etc.
2- Tipo de objeto, define un objeto en función de sus menús desplegables, sus propiedades, su icono y sus enlaces CLSID (tratado a continuación).
3- CLSID, nos da información OLE (object linking and enbedding, una aplicación es llamada por otra automáticamente para editar datos) y DDE (dynamic data exchange, intercambio de datos entre dos aplicaciones) sobre tipos de objeto, también puede contener información sobre los menús contextuales, propiedades e icono.
Abriendo el registro por la rama HKRC, nos encontramos que dentro de las muchas Subkeys hay otrasSubkeys tales como:
Shell: Activa acciones como abrir, imprimir, copiar, etc, por ejemplo una Subkey de este tipo determina que reproductor multimedia abre nuestros archivos *.mid. La rama para abrir y ejecutar estos archivos sería:
[HKEY_CLASSES_ROOTmidfileshell]
@=''Play''
[HKEY_CLASSES_ROOTmidfileshellopen]
@=''Abrir''
[HKEY_CLASSES_ROOTmidfileshellopencommand]
@=''C:WINDOWS undll32.exe C:WINDOWSSYSTEMamovie.ocx,RunDll /open %1''
[HKEY_CLASSES_ROOTmidfileshellplay]
@=''Reproducir''
[HKEY_CLASSES_ROOTmidfileshellplaycommand]
@=''C:WINDOWS undll32.exe C:WINDOWSSYSTEMamovie.ocx,RunDll /play /close %1''
Shellex: Contienen Subkeys que determinan las funciones OLE y DDE para cada tipo de objeto, son cadenas numéricas que apuntan por ejemplo a la dll que ejecuta una determinada operación y definen las propiedades de sus menús contextuales.
Shellnew: Contienen el valor de la cadena numérica del comando u orden que determina la apertura de un nuevo objeto. Un ejemplo muy sencillito es la clave *.BMP cuya shellnew nos indica el programa con que editaremos una nueva imagen de este tipo.
Default Icon: Contienen el valor de la cadena numérica que nos indica el icono por defecto de cada tipo de objeto, normalmente apuntarán al shell32.dll, pifmgrd.dll (en windowssystem) o moricons.dll ( en windows) tal que al primer icono de la lista le asigna el 0 al siguiente el uno y así sucesivamente de la siguiente manera: Windowsmoricons.dll,0
HKEY_CURRENT_USER (HKCU)
Las Subkeys de esta Key contienen las configuraciones del actual usuario, en caso de ser una máquina con un único usuario esta clave es casi idéntica al .DEFAULT de HKEY_USERS. Lo que en ella tenemos es todas las preferencias que en algún momento hayamos puesto añadidas a todas las configuraciones por defecto. Contiene toda la información sobre el sistema que no tiene HKEY_LOCAL_MACHINE, esto es, configuraciones del software y preferencias del usuario. Es una parte del registro que podemos cambiar casi sin riesgo de causar un desastre, casi todas las opciones contenidas en esta clave son modificables desde algún peso pesado del Windows, como el panel de control, la barra de tareas, cualquier menú de propiedades...
Dentro de esta Key y con la vista puesta en el cracking la clave Software es la más apetitosa, en ella encontramos desde números de serie hasta que nos imposibilitan registrar la aplicación.
En esta Key nos encontramos con:
1- AppEvents: Nos define los sonidos ( masterCaR-d-19 feo ;P ) con las que windows nos aturde siempre que ejecutamos un programa.
EventLabels nos da el nombre de la operacion SchemesApps la localización de las operaciones y Schemes ames pues el nombre del tema.
2- Control Panel: Contiene las Subkeys que nos definen la apariencia de nuestro windown (el color de las ventanas, su tamaño, etc.), las opciones de accesibilidad como las soundsentry o las stickykeys, los cursores, el escritorio (fondo, tamaño de iconos,etc.). Estas opciones son totalmente configurables desde el panel de control.
3- InstallLocationsMRU: Estas Subkeys contienen la localización del software instalado, contiene por ejemplo todas las localizaciones de programas instalados con ''Wizards'' como InstallShield, etc. M.R.U. à Most-recently-used, self explanatory.
4- Keyboard Layout: Como supongo habrás deducido pues contiene la definición de tu teclado, en función de país, etc.
5- Network: Contiene tus conexiones de red anteriores divididas en dos clases:
Persistent: Define los dispositivos y unidades que defines al dejar marcada la opción de ''reconectar al desconectar'' (valga la redundancia...) las claves contienen información como tu navegador, tu nombre de usuario, etc. Estas claves aparecen como iconos en Mi PC.
Recent: Las últimas conexiones de red que has realizado sin la opción de reconectar chequeada, aparecen en menús desplegables cuando vas a realizar una conexión de red (Path).
6- RemoteAccess: Contiene las configuraciones de los marcadores de conexión en red, se divide en dos ramas:
Addresses: Contiene una definición en binario de cada conexión que tengas montada en Acceso telefónico a redes.
Profile: Que se divide a su vez en una rama para cada conexión, en estas ramas encontramos los valores de IP, dominio, nombre de usuario, etc. De cada conexión.
7- Software: todas las Subkeys que componen esta Subkey (me estoy empezando a cansar de key subkey... ) representan software instalado en tu PC o software que has tenido instalado, las ramas tienen o bien el nombre del programa o bien el nombre del fabricante como distintivo, a veces podemos encontrar claves con el mismo nombre dentro de Local_Machine pero normalmente el contenido será distinto en cada caso.
El contenido de las ramas que podemos encontrar suele ser muy parecido, preferencias del usuario, direcciones de archivos guardados y lo más interesante fechas de instalación, nombres de usuario/números de serie y claves que determinan si el programa está o no registrado.
HKEY_LOCAL_MACHINE (HKLM)
Las diferentes entradas de esta Key definen el estado físico de nuestro PC, incluyendo datos sobre el BUS, la memoria del sistema y las configuraciones de nuestro hardware y software (registrado / no registrado p.ej.).
Contiene 7 Subkeys que son:
1- Config: En esta rama se guardan las configuraciones de tu hardware que defines a través del Panel de Control pulsando en el icono de Sistema. La última configuración antes de apagar el PC se copia a HKCC al iniciar el equipo.
2- Enum: aquí es donde están guardadas la mayoría de las configuraciones de tu hardware, tales como los dispositivos PNP, la BIOS, PCI, ESDI, FLOP, ISAPNP, Monitor, SCSI y los dispositivos de conexión en red.
3- Hardware: está dividida en dos ramas: Description: que contiene la rama SystemFloating Point Processor, que será 0 o 1 dependiendo de su existencia. Devicemap, que contiene la rama serialcommdonde se listan tus puertos.
4- Network: Contiene la rama Logon que a su vez está compuesto de los valores LMLogon (será 1 si la máquina está en ese momento conectada en red y 0 en caso contrario), logonvalidated (1 para estar validado), Policy Handler, Primary Provider, username and UserProfiles.
5- Services: Cada una de estas ramas están llenas de ramitas, la mayoría son de explicación trivial, todo el mundo sabrá o se imaginará qué hace la rama ComputerName o Shutdown o KeyboardLayout, etc. Os puede dar problemas VMM32, que es una lista de los VxD que tenéis trabajando y poco más. ATENCIÓN CON OPERAR CON ESTAS CONFIGURACIONES: PUEDE DAR ALGUN DISGUSTILLO.
HKEY_USERS (HKU)
Se definen las configuraciones de cada usuario y las configuraciones que por defecto se le otorgan a los nuevos usuarios, .Default y nombredeusuario respectivamente.
HKEY_CURRENT_CONFIG (HKCC)
Los contenidos de esta Key se toman al iniciar el PC-PC-PC en las configuraciones alojadas en cada perfil de usuario en Local_MachineConfig.
Aquí nos encontramos con tres Subkeys:
1- Display:Ddividido en Font, que contiene las cadenas de valores que determinan las fuentes que pueden aparecer en la ventana principal y Settings, que contiene las cadenas de valores que determinan: BitsPerPixel, diferentes DPIs, oemfonts, fixedfon, fonts y Resolution.
2- Software: Donde encontramos detalles de las configuraciones de internet como los proxys o el autodial.
3- System: Que sólo contiene una rama CurrentControlSetcontrolPrintPrinters donde tenemos información sobre las impresoras que tenemos definidas a través de Inicio - Configuración - Impresoras.
HKEY_DYN_DATA (HKDD)
En esta Key tenemos la información de nuestro sistema detectada al iniciarlo, esta información como su nombre indica es dinámica y por lo tanto susceptible de cambiar en cualquier momento, lo que hace que parezca que esta clave no se guarda.
Dentro de HKDD nos topamos con:
1- ConfigManager: Con una sola rama de nombre Enum que se abre en un montón de ramitas numeradas que definen el estado, la localización, los problemas detectados y la clave del hardware de los dispositivos PNP detectados al iniciar el PC-PC-PC.
2- PerfStats: Las estadísticas del funcionamiento actual del PC-PC-PC son guardadas en esta Subkey bajo apariencia de Values en binario, se dice que algunas de las ramas definen el sistema de archivos, o el ''management'' de la memoria.
3- Security: Con una sola rama de nombre Provider donde encontramos un ''espejo'' de la ramaHKLMSecurityProvider, mientras la primera va cambiando según cambien las propiedades de la red la segunda se mantiene estática.
Hasta aquí cierro el Manual del Pánico, ahora vamos a aprender cómo se restaura el registro.
RESTAURAR EL REGISTRO:
1.- Haga clic en el botón Inicio y, después, en Apagar el sistema.
2.- Haga clic en Reiniciar el equipo en modo MS-DOS y, después, haga clic en Sí.
3.- Cambie al directorio de Windows. Por ejemplo, si su directorio de Windows es C:Windows, deberá escribir: cd c:windows
4.- Escriba los siguientes comandos y presione ENTRAR después de cada uno. (Observe que System.da0 y User.da0 contienen el número cero).
Attrib -h -r -s system.dat
attrib -h -r -s system.da0
copy system.da0 system.dat
attrib -h -r -s user.dat
attrib -h -r -s user.da0
copy user.da0 user.dat
5.- Reinicie su equipo.
Si logramos teclear bien estos comandos tendremos restaurado nuestro registro.
Manual avanzado de Como modificar las claves y valores del Registro de Windows
Sencillo tutorial para usar REGEDIT el editor del Registro. Como crear, editar y exportar claves y valores, usar los script y archivos REG, precauciones a seguir. Crear respaldos del Registro y restaurarlos. Las claves más editadas por las aplicaciones, usuarios y los virus.
¿Qué es el Registro de Windows y Regedit?
El Registro de Windows es una base de datos centralizada que almacena las configuraciones y toda la información del sistema operativo.Contiene datos referentes a todo el hardware, software, configuraciones de los usuarios, y preferencias guardadas en el equipo. El Editor del Registro, conocido como REGEDIT es una herramienta que incluye Windows para editar manualmente las claves y valores que contiene el Registro.Mediante Regedit es posible crear, editar y exportar claves y valores, es posible también crear y restaurar una copia de seguridad de todo el Registro o guardar solo claves individuales.
¿Cómo abrir REGEDIT el Editor del Registro?
Se puede abrir el Editor del Registro de varias formas:
➔ Escribe en el cuadro de Inicio o en la herramienta Ejecutar: REGEDIT y presiona la tecla Enter.➔ En Windows 8 escribe en la pantalla de inicio: Regedit y presiona Enter.➔ Busca el acceso directo en: Todos los programas.➔ Crea un nuevo acceso directo en el escritorio, con la ruta: "regedit.exe"
No se aconseja la modificación del registro de Windows por quien no esté familiarizado con su manejo, porque los cambios hechos pueden afectar la estabilidad del sistema operativo.En este sitio hay disponibles páginas con multitud de ajustes, modificaciones, hacks útiles para efectuar cambios en el Registro, pero se aconseja su ejecución con mucha precaución.En todos los casos se recomienda previamente hacer una copia de a clave a modificar (Menu -> Exportar).Tampoco hay que tener miedo, la edición de las claves y valores del registro no es nada difícil, ni es solo para expertos, solo hay que tener la adecuada precaución y un poco de sentido común.
¿Cómo editar las claves y valores del Registro?
Se puede hacer modificaciones en el Registro de dos formas: Manualmente mediante Regedit o editando los archivos REG con el Bloc de notas u otro editor de texto y agregándolos posteriormente.
Usar Regedit
Regedit abre una ventana con la estructura de un árbol, algo similar a un explorador con dos paneles.El panel de la izquierda contiene la estructura y se puede navegar por carpetas (claves) y subcarpetas.De forma parecida al explorador se puede usar el menú contextual para crear nuevas claves, eliminarlas, renombrarlas, exportarlas, etc.En la siguiente imagen de ejemplo se exporta la clave: "Services", que contiene todos los valores de los servicios modificados manualmente por el usuario, mediante la herramienta Servicios.
En el panel de la derecha se abre el contenido de las claves y los valores.Cualquier valor se edita dando dos clics encima.En la siguiente imagen se muestra como se cambia el valor de: DisablePagingExecutive en la clave Memory M