Tienes la máquina muy infectada y tu antivirus aparece desactivado. Desinstala todas las tolbars que tengas y luego sigue estas intrucciones:

Paso 1: Descarga e instala los siguientes programas:

Spybot Ccleaner (Manual de uso aquí) Unlocker. SUPERAntispyware (Manual de uso aquí) RegSeeker. (Este último no requiere instalación. Sólo descomprímelo y mueve la carpeta a archivos de programa. Luego puedes crear un acceso directo del ejecutable en el escritorio)

Paso 2: Inicia en modo seguro con funciones de red

Paso 3: Haz una limpieza de archivos temporales con el Ccleaner

Paso 4: Actualiza el Spybot y el SUPERAntispyware

Paso 5: Escanea tu equipo con el Spybot, luego con el SUPERAntispyware, y limpia lo que te encuentren.

Paso 6: Escanea tu equipo con algún antivirus on-line.

Te recomiendo alguno de estos:

Panda antivirus Computer associates Trend micro (Para usar éste, necesitas tener instalado el Java) Bit defender Nod32

Paso 7: Reinicia nuevamente en modo seguro y escanea nuevamente con el Spybot y limpia lo que encuentre

Paso 8: Haz una limpieza de registro con el Regseeker (Escanea varias veces hasta que ya no quede nada por limpiar)

Paso 9: Reinicia en modo normal.

Paso 10: Pega otro log.

Cómo usar HijackThis para remover hijackers, spywares y adwares. Introducción

HijackThis es una utilidad que produce un listado de ciertas configuraciones halladas en tu computadora. HijackThis escaneará tu registro y varios otros archivos de entrada que son similares a los que un programa spyware o hijacker dejan huella. Interpretar esos resultados podría ser engañoso, ya que hay muchos programas legítimos que están instalados en su sistema operativo de una manera similar a como lo hacen los hijackers. Así que debes ser extremadamente cuidadoso arreglando cualquier problema con el HijackThis. No puedo dejar de presionar en lo importante que es la advertencia.

Como usar HijackThis

El primer paso es descargar el HijackThis a la computadora en un lugar donde sepas

que lo encontrarás. No necesita instalarse, así que recuerda donde lo dejas para usarlo en el futuro.

Puedes descargar el HijackThis aquí:

http://www.merijn.org/files/HiJackThis_v2.exe

Crea una carpeta en donde poner el HijackThis. Es importante que tenga su propia carpeta para que pueda usarla para crear copias de respaldo. Si lo ejecutas desde un archivo comprimido, no se podrán crear respaldos.

Una vez descargado, da doble click en el icono del HijackThis.exe. Aparecerá una ventana como la siguiente:

Primero da click en el botón "Config", y aparecerán las opciones como lo muestra la captura. Confirma las 4 últimas opciones y desmarca la primera. Por defecto vienen así.

Cuando hayas seleccionado esas opciones, presiona "Back" y continúa con el resto del tutorial.

Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa como se muestra a continuación.

En este punto ya debes de tener una lista de todos los elementos encontrados por HijackThis.

Si lo ves muy confuso y difícil para ti, entonces clickea en el botón "Save Log", y salva el log en tu computadora, de preferencia en la misma carpeta.

Para abrir un log y pegarlo en un foro, sigue estos pasos:

1. Abre el Notepad (o Block de Notas). 2. Click en "Archivo" >> "Abrir" y busca el directoriodonde tienes guardado el log. 3. Cuando llegues elije el log y ábrelo. 4. Presiona en "Edición" >> "Seleccionar todo" 5. Presiona "Edición" >> "Copiar" 6. Ve a algún foro y pega el log, describiendo la situación y los métodos que ya has intentado.

Si deseas ver más información acerca de los objetos listados, da click en alguno de ellos y presiona el botón "Info on selected ítem". Te aparecerá una pantalla semejante a esta:

Cuando hayas buscado información de los objetos listados, y sientas que tu conocimiento sea suficiente para continuar, mira la lista y selecciona los objetos que desees remover marcando las casillas correspondientes, como lo muestra la siguiente captura. Al final del documento hemos incluído algunas formas básicas de interpretar la información en esos archivos logs. Lo que no significa que esta información sea suficiente para todas las decisiones , pero debería ayudarte a determinar qué es legítimo y que no.

Una vez que hayas seleccionado los objetos que quieras remover, presiona el botón "Fix Checked". HijackThis te preguntará si confirmas remover esos objetos. Presiona "Yes" o "No" dependiendo de tu elección.

Cómo restaurar objetos borrados accidentalmente:

HijackThis viene con un herramienta de respaldo y un procedimiento de restauración en caso de que erróneamente hayas borrado una entrada que es legal. Si has configurado el HijackThis como muestra este tutorial, entonces serás capaz de restaurar las entradas que hayas borrado anteriormente. Si has ejecutado HijackThis desde una carpeta temporal, entonces los procedimientos de restauración no trabajarán.

Si la opción de configuración "Make backups before fixing items" esta marcada, HijackThis hará una copia de respaldo de cada entrada que arregles en un directorio llamado "Backups", en la misma localización del HijackThis.exe

Si ejecutas HijackThis y clickeas en "Config", y después en el botón "Backup", como en la imagen siguiente. Obtendrás un listado de todos los objetos que han sido arreglados anteriormente y con la opción de restaurarlos. Una vez que restaures un objeto mostrado en esta lista, si vuelves a escanear con el HijackThis, la entrada volverá a aparecer.

Una vez que acabes la restauración de aquellos objetos que fueron arreglados equivocadamente, puedes cerrar el programa.

Cómo interpretar los resultados del escaneo

Esta sección te ayudará a diagnosticar los resultados del escaneo del HijackThis.

Cada línea de la lista de resultados del HijackThis empieza con un nombre de sección. A continuación se presenta un lista de los nombres de sección y su descripción, tomados del sitio de Merijn's (el creador de HijackThis).

R0, R1, R2, R3 URL's de páginas de inicio y búsqueda del Internet Explorer F0, F1, F2, F3 Programas autoejecutables N1, N2, N3, N4 URL's de páginas de inicio y búsqueda de Netscape y Mozilla O1 Archivo redireccionador de hosts O2 BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador) O3 Barras de Herramientas del Internet Explorer O4 Programa autoejecutables desde el registro O5 Iconos no visibles de IE en el Panel de Control O6 Opciones del IE con acceso restringido por el administrador O7 Acceso restringido al Regedit por el administrador O8 Objetos extras del IE O9 Botones extras en el botón principal de la barra de herramientas del IE o objetos extra en el menú "Herramientas" O10 Hijacker del Winsock O11 Grupo extra en la ventana de Opciones Avanzadas del IE O12 Plug-ins para el IE O13 Hijacker del prefijo por defecto de IE O14 Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web) O15 Sitio no deseado en la Zona de Sitios de Confianza O16 Objetos ActiveX (Archivos de Programa Descargados) O17 Hijacker Lop.com O18 Protocolos extras y protocolo de Hijackers O19 Hijacker de Hojas de Estilo O20 Valores de Registro autoejecutables AppInit_DLLs O21 Llaves de Registro autoejecutables ShellServiceObjectDelayLoad O22 Llaves de Registro autoejecutables SharedTaskScheduler

Secciones R0, R1, R2, R3

Esta sección abarca la página de inicio y búsqueda del Internet Explorer.

R0 es para las páginas de inicio y el asistente de búsqueda del IE.

R1 es para las funciones de búsqueda de IE y otras características.

R2 no es usado actualmente.

R3 es para un Buscador de URL's.

Mostrará algo parecido a esto:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ R2 - (this type is not used by HijackThis yet) R3 - Default URLSearchHook is missing

Secciones F0, F1, F2, F3

Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini o sus equivalentes en el registro.

F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado por Windows 9X y anteriores designan qué programa actuará como shell para el sistema operativo. La Shell es el programa que carga el escritorio, controla la administración de ventanas y permite que el usuario interactúe con el sistema. Cualquier programa listado después del shell statement será cargado cuando Windows arranque, y actuará como la shell por defecto. Hay algunos programas que actúan como un reemplazo válido para la shell, pero generalmente no se usa más. Windows 95 y 98 (¿Windows ME?), ambos usan el Explorer.exe como su shell por defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma línea Shell =, como por ejemplo: Shell=explorer.exe programa_maligno.exe. Esta línea hará que ambos programas arranquen cuando Windows cargue.

Los objetos de F0 siempre son malos, así que conviene arreglarlos.

F0 - system.ini: Shell=Explorer.exe Abreme.exe F1 - win.ini: run=hpfsched

F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado después de run= o load= cargará cuando Windows cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas modernos no usan esta característica ini, y si no estás usando un programa antiguo entonces sospecha. El load= era usado para cargar los drivers del hardware.

Los objetos listado en F1 usualmente son programas muy viejos, pero que son seguros, así que puedes encontrar más información del nombre del archivo para saber si es malo o bueno.

Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que están ubicadas en el registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan una función llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini en el registro, con llaves para cada línea encontradas en el .ini. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisará la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leerá las configuraciones desde ahí. Puedes ver que esta llave está refiriendose al registro como si conteniera REG y entonces el archivo .ini al cual se está refiriendo el IniFileMapping.

Otra entrada común encontrada en F2 es la entrada UserInit la cuál corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit la cuál se encuentra en Windows NT, 2000, XP y 2003. Esta llave especifíca qué programa se debe cargar después que un usuario se loguee en Windows. El programa por defecto para esta llave es: C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes, colores, etc. para tu nombre de usuario. Es posible añadir programas furtivos que inicien desde esta llave separando los programas con una coma. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\

userinit.exe,C:\Windows\programa_maligno.exe. Esto hará que ambos programas se ejecuten cuando te loguees y es un lugar común para ejecutar troyanos, hijackers y spywares.

Llaves del Registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,

Archivos Usados:

c:\windows\system.ini c:\windows\win.ini

Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe Something.exe Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe

En F0 si ves una línea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces definitivamente deberías borrarlo. Generalmente puedes borrar estas entradas, pero recuerda consultar Google.

Para las entradas F1 es recomendable que las busques en Google y así determinar si pertenecen a programas legales.

Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue estando bien, también puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces podría ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves explorer.exe, sólo, entonces está bien, si no, como en el ejemplo de arriba, entonces podría ser troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google primero.

Secciones N1, N2, N3, N4

Estas secciones son para las páginas de inicio y motor de búsqueda por defecto de los navegadores Netscape y Mozilla.

Estas entradas están guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 están guardadas en el archivo prefs.js en el directorio de programa el cuál por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs.js.

N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4.

N2 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 6.

N3 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 7.

N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla.

Archivos usados: prefs.js

Sección O1

Esta sección corresponde al archivo de redirección Hosts.

El archivo hosts contiene la relación de IP's con hostnames. Por ejemplo:

127.0.0.1 www.arwinianos.net

Si tratas de ir a www.arwinianos.net, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1 a pesar de la dirección correcta.

Algunos hijackers usan el archivo de redirección hosts para redirigirte a ciertos sitios en lugar de otros. Así, si alguien inserta una entrada como esta:

127.0.0.1 www.google.com

y tratas de ir a www.google.com, serás redirigido a 127.0.0.1 la cuál es tu propia computadora.

Ejemplo del escaneo:

O1 - Hosts: 192.168.1.1 www.google.com

Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y está guardado por defecto en los siguientes lugares dependiendo del Sistema operativo, a menos que elijas instalarlo en un ruta diferente.

Operating System Location Windows 3.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

La localización del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.

Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo, entonces usa HijackThis para arreglar esto que lo más probable es que haya sido causado por un infección.

También puedes descargar el programa Hoster, el cuál te permite restaurar el archivo hosts por defecto en tu máquina. Para hace eso, descarga el programa Hoster y ejecútalo. Cuando abra, has click en el botón "Restore Original Hosts" y luego cierra el programa Hoster.

Sección O2

Esta sección corresponde con los Browser Helper Objects (o BHO, en español algo así como: "Objetos que Ayudan al Navegador" ) . Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por spywares así como programas legítimos como Google Toolbar y Adobe Acrobat Reader. Investige cuando esté decidiendo qué quitar y qué no quitar, pues algunos de ellos podrían ser legítimos.

Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Sección O3

Esta sección corresponde a las barras de herramientas del Internet Explorer.

Estas son las barras de herramientas (toolbars) debajo de su barra de navegación y menú del IE.

Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar

Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll

Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org para buscar la entrada o el nombre de esta barra de herramientas. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO. Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo.

Cuando arregles este tipo de entradas, HijackThis no borrará los objetos presentados en la lista. Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo listado.

Sección O4

Esta sección corresponde a las aplicaciones que están presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automáticamente cuando Windows inicia. Las llaves del registro mostradas aquí son válidas para Windows XP, NT y 2000 (otros sistemas operativos ¿?).

Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves del registro.

Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular.

Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario.

Llaves del Registro del Arranque:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER.

Una completa guía de ubicaciones de arranque y para qué son usadas puede verla aquí: http://www.bleepingcomputer.com/tutorials/tutorial44.html

Directorios usados:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo a prueba de fallos. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.

Sección O5

Esta sección corresponde a no poder acceder a las opciones de IE en el Panel de Control.

Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.ini la cuál está guardada (al menos para Windows XP) en C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles.

Archivos de usuario: control.ini

Ejemplo de la lista O5 - control.ini: inetcpl.cpl=no

Si ves una línea parecida como la de arriba quizá sea señal de que un software está tratando de dificultar el cambio de las configuraciones. A menos que se conozca una razón específica, como que el administrador configuró la política o SpyBot S&D colocó una restricción, puedes usar HijackThis para arreglarlo.

Sección O6

Esta sección corresponde a una rstricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro.

Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Estas opciones sólo aparecen si su administrador las configuró a propósito o si usted usó la opción "SpyBot Home Page and Option Lock" de la sección Inmunizar del SpyBot.

Sección O7

Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.

Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ejemplo de Lista O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1

Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propósito, por lo que arreglarlo con HijackThis puede romper normas corporativas. Si eres el administrador y esta opción ha sido activada sin tu permiso, entonces usa HijackThis para arreglarlo.

Sección O8

Esta sección corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.

Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo de Lista O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html

El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Sección O9

Esta sección corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto.

Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplo de la Lista O9 - Extra Button: AIM (HKLM)

Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Sección O10

Esta sección corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.

Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet.

Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing

Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.

SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).

Sección O11

Esta sección corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.

Si buscas en el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Ejemplo de la Lista O11 - Options group: [CommonName] CommonName

De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco.

Sección O12

Esta sección corresponde a los Plug-ins para Internet Explorer. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos disponibles como por ejemplo el visor de archivos PDF.

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Muchos de los plug-ins son legítimos, así que deberías buscar en Google aquél que no reconoces antes de borrarlo. Un conocido plug-in que deberías borrar es el Onflow plug-in que tiene la extensión de .OFB.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis, es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.

Sección O13

Esta sección corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irás a http://ehttp.cc/?www.google.com.mx, el cuál es en realidad el sitio web para CoolWebSearch.

Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?

Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.

Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.

Sección O14

Esta sección corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venían por defecto. Ese fichero está guardado en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas. Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del fichero iereset.inf.

Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Por favor esté al tanto de este fichero (en dado caso de que aparezca en el log), que es posible que el cambio sea legítimo, que lo haya modificado la manufacturera de computadoras o el administrador de la máquina. Si no reconoces la dirección entonces deberías arreglarlo.

Sección O15

Esta sección corresponde con los sitios indeseados en la Zona de Sitios de Confianza. La seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden correr mientras se está usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten scripts, algunos potencialmente peligrosos, de algún sitio web.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net

Entonces, si alguna vez ves algo aquí generalmente debes removerlo a menos que reconozcas la URL como una que tu compañía use. La entrada más común que encontrarás aquí será free.aol.com, el cuál puedes arreglar cuando quieras.

Sección O16

Esta sección corresponde a los objetos ActiveX, también conocidos como Downloaded Program Files (Archivos de Programa Descargados).

Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. Estos objetos están guardados en C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de compañías que usan objetos ActiveX así que ten cuidado. Siempre borra las entradas O16 que tengan palabras como sex,

porn, dialer, free, casino, adult, etc.

Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar a través de su base de datos para localizar objetos ActiveX peligrosos.

Usa SpywareBlaster para proteger tu computadora de spyware, hijackers y malware.

Cuando arregles entradas O16, HijackThis intentará borrarlas del disco duro. Normalmente esto no será problema, pero hay ocasiones en que HijackThis no será capaz de borrar el archivo. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces bórralo.

Sección O17

Esta sección corresponde al dominio Lop.com.

Cuando tu vas a un sitio web usando un dominio, como www.arwinianos.net, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para que apunten a sus propios servidores, donde pueden dirigirte a cualquier sitio que ellos quieran. Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te redirijan al sitio de su elección.

Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qué compañía le pertecen.

Sección O18

Esta sección corresponde a los protocolos extra y protocolos de hijackers.

Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.

Llaves del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis.

Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.

Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a éste. Deberías de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente.

Sección O19

Esta sección corresponde al hijacker de las hojas de estilo del usuario.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial.

Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css

Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.

Sección O20

Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.

Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aquí. Usa Google para investigar si los archivos son legítimos. También puedes usar las listas para

ayudarte a verificar los archivos:

Bleeping Computer Startup Database Castlecop's O20 List

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.

Sección O21

Esta sección corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad.

Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.

Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.

Un hijacker que usa el método puede reconocerse por las siguientes entradas:

Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estándar y deberías considerarlo como sospechoso. Como siempre has una búsqueda en Google de cualquier DLL listada en estas llaves. También puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O21 List

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.

Sección O22

Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.

Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.

Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\

mtwirl32.dll

EJEMPLO

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 08:57:41 p.m., on 24/03/2010Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Boot mode: Normal

Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Archivos de programa\Application Updater\ApplicationUpdater.exeC:\WINDOWS\system32\Ati2evxx.exeC:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exeC:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exeC:\Archivos de programa\Java\jre6\bin\jqs.exeC:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exeC:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exeC:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exeC:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exeC:\WINDOWS\RTHDCPL.EXEC:\WINDOWS\system32\ctfmon.exeC:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exeC:\Archivos de programa\Realtek\RTL8187 Wireless LAN Utility\RtWLan.exeC:\Archivos de programa\Windows Live\Messenger\msnmsgr.exeC:\Archivos de programa\Windows Live\Contacts\wlcomm.exeC:\Archivos de programa\Mozilla Firefox\firefox.exeC:\Archivos de programa\Internet Explorer\IEXPLORE.EXEC:\Archivos de programa\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\system32\msiexec.exeC:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2102301R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspxR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = VínculosR3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

R3 - URLSearchHook: PHPNukeES Toolbar - {76c9124c-a245-4453-9bf6-ae2c6516600c} - C:\Archivos de programa\PHPNukeES\tbPHPN.dllO2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Archivos de programa\Spyware Doctor\BDT\PCTBrowserDefender.dllO2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dllO2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dllO2 - BHO: PHPNukeES Toolbar - {76c9124c-a245-4453-9bf6-ae2c6516600c} - C:\Archivos de programa\PHPNukeES\tbPHPN.dllO2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dllO2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl lO3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Archivos de programa\Spyware Doctor\BDT\PCTBrowserDefender.dllO3 - Toolbar: PHPNukeES Toolbar - {76c9124c-a245-4453-9bf6-ae2c6516600c} - C:\Archivos de programa\PHPNukeES\tbPHPN.dllO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitserviceO4 - HKLM\..\Run: [RoxWatchTray] "C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorunO4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exeO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [ISUSPM] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -schedulerO4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: Actualizar la licencia de ESET.lnk = C:\Archivos de programa\ESET\MiNODLogin\MiNODLogin.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = C:\Archivos de programa\Realtek\RTL8187 Wireless LAN Utility\RtWLan.exeO8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\

ARCHIV~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLLO9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exeO9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cabO16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UNO1.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1257288328593O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cabO18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dllO20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dllO23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exeO23 - Service: Application Updater - Spigot, Inc. - C:\Archivos de programa\Application Updater\ApplicationUpdater.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exeO23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exeO23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exeO23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 9\RoxioUPnPRenderer9.exeO23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 9\RoxioUpnpService9.exeO23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exeO23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exeO23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exeO23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exeO23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

Unidad 9. Avanzado. El Registro de Windows

Principio del formulario

Como hemos comentado anteriormente el Registro de Windows es un archivo donde encontramos almacenada la información sobre el hardware, software, etc del sistema.

Manipular el Registro de Windows puede afectar al rendimiento del sistema, por lo tanto hay que ser prudente y actuar sólo cuando conozcamos bien lo que hacemos.

En anteriores versiones de Windows podía estar más justificado modificar a mano el Registro de Windows, con WindowsXP lo más apropiado es utilizar las herramientas para restaurar el sistema a partir de los puntos de restauración creados previamente. Todo esto lo veremos en otro tema más adelante. Ahora vamos a dar unas nociones para conocer el Registro de Windows y mostrar algún caso en que puede estar justificado modificarlo.

El Editor de Registro

Para desplegar el editor de Registro pulsa en Inicio y selecciona la opción Ejecutar.En el cuadro de diálogo que se despliega escribe regedit y pulsa Aceptar.

Esta es la ventana del editor de Registro, en la parte izquierda aparecen las claves organizadas, por ejemplo en HKEY_CURRENT_MACHINE podemos encontrar información sobre el software del sistema, en HKEY_USERS podemos ver información sobre los usuarios del sistema.Hay algunos motivos por los cuales puede ser interesante conocer el Registro de Windows XP, vamos a citar dos a modo de ejemplo.

Cuando desinstalamos un programa pueden quedar residuos sin borrar en el registro, por algun fallo en el proceso de desinstalación. Esto puede causar que al arrancar el ordenador, el sistema intente arrancar algun proceso asociado al programa eliminado y dicho proceso ya no exista, en estos casos podemos intentar eliminar a mano del registro las anotaciones que hacen que se intenten ejecutar dichos procesos inexistentes.

Otro caso en el que puede ser útil modificar el registro es debido a los virus, ya que muchos virus modifican el registro de Windows para infectar el sistema. En estos casos no basta con borrar los archivos del virus, tambien hay que borrar las anotaciones del registro que hacen que el virus se ejecute. A continuación veremos un caso práctico que muestra cómo desinfectar nuestro ordenador del virus Sircam:

Pasos a seguir para desinfectar el sistema del virus Sircam:

 

A. Realizar una copia del registro de Windows Me

1. hacemos una copia del archivo REGEDIT.EXE con el nombre REGEDIT.COM, para ello iremos al botón Inicio y seleccionaremos la opción Programas y dentro de la opción Accesorios seleccionamos la opción MS-DOS.

2. Escribe cd c:\windows

3. Escribe copy regedit.exe regedit.com y pulsa intro

4. Una vez hayamos copiado el archivo regedit escribiremos exit para cerrar la ventana de MS-DOS

B. Ahora pasaremos a modificar el archivo regedit.exe.

1. Pulsar el botón Inicio y después pulsar Ejecutar.

2. Escribe regedit.com y pulsa Aceptar

3. Una vez abierto el editor del Registro de Windows Me desplegaremos la carpeta HKEY_CLASSES_ROOT, a continuación desplegamos la carpeta exefile y dentro de esta desplegamos la carpeta shell y por ultimo open.

4. Selecciona la carpeta command

C. Modificar la carpeta command

1. Despliega el menú Edición y selecciona Modificar

2. Si encuentras el valor "c:\recycled\Sirc32.exe" "%1"%* borralo y escribe en su lugar "%1" %* después pulsa Aceptar.

3. Despliega la carpeta HKEY_LOCAL_MACHINE, despliega SOFWARE y selecciona la carpeta Sircam y con el botón derecho del ratón pulsa eliminar.

4. Despliega la subcarpeta Microsoft y después despliega la carpeta Windows y por último despliega la carpeta CurrentVersion y selecciona la carpeta llamada RunServices.

5. Una vez situado en la carpeta RunServices elimina de la ventana de la derecha el valor Sircam o la referencia Driver32=c:\windows\system\scam32.exe

6. Elimina el archivo REGEDIT.COM escribiendo en la ventana de Interfaz de comandos del regedit.com y pulsa intro.

7. Una vez hemos realizado los pasos comentados anteriormente le indicaremos a Windows Me que deseamos mostrar todos los archivos, para ello desplegaremos el menú Herramientas del Explorador de Windows y de la pestaña opciones de carpeta seleccionamos la opción mostrar todos los archivos.

8. Buscar los ficheros scam32.exe y sirc32.exe y eliminalos

9. Renombra el fichero run32.exe, para ello en la ventana de ms-dos escribe del rundll32.exe

10. Escribe en la pantalla de Ms-dos ren run32.exe rundll32.exe y pulsa intro.

D. Desde la ventana de MS-Dos teclea:

1. cd \

2. cd recycled

3. attrib *.* -H -S -R

4. del *.*

5. cd \

E. Por ultimo edita el archivo autoexec.bat y elimina cualquier referencia a sirc32.exe y guarda los cambios

Capítulo 39:

 El Registro de Windows Ofertas Dell en Perú  Computadoras, Laptops y Notebooks. Colores Intensos y

Tecnología IntelDell.com/peEnlaces patrocinados

¿Qué es?

Es una muy importante base de datos que contiene el registro de miles de configuraciones de Windows. Entre otras cosas contiene: la información de la apariencia del Escritorio, un registro de los periféricos instalados en el sistema y sus controladores y la configuración de la mayoría de los programas de la computadora.

Cualquier error en esta base de datos tendrá serias consecuencias en el funcionamiento del sistema, incluyendo el que Windows sencillamente no arranque. Por ésta razón, Windows hizo difícil de encontrar el Editor del Registro, el cual permite hacer cambios manuales al Registro. En caso de querer hacer algún ajuste al sistema, preferentemente hay que hacerlo en el Panel de control, esa es la manera más segura. El editar el Registro manualmente es solamente para aquellos que están seguros de lo que están haciendo.

Entrando al Registro

Para entrar el Editor del Registro haz clic en Inicio, Ejecutar. En la caja de diálogo Ejecutar, en el campo Abrir, escribe: regedit y haz clic en Aceptar.

Se abrirá la ventana del Editor del Registro que es semejante a la ventana del Explorador de Windows y está dividida en dos ventanas más pequeñas. La ventana de la izquierda muestra el icono de Mi PC, al hacer un doble clic sobre él nos mostrará las carpetas que Windows llama las Claves H (HKEYS), la otra ventana está en blanco, pero se usa para ver el contenido de las claves. Las

Claves son semejantes a directorios ya que contienen otras claves o carpetas y son las siguientes:

a) HKEY_CLASSES_ROOT: contiene configuraciones que afectan a todo el sistema. Si hay múltiples usuarios registrados en el sistema, cualquier cambio en ésta Clave afectaría a cada usuario. Sus configuraciones incluyen información acerca de los tipos de archivos y la extensión de sus archivos. También contiene información acerca de OLE (Object Linking and Embedding). Esto permite crear un objeto en un programa, como una gráfica en Microsoft Excel y colocarla en otro programa como Microsoft Word.

b) HKEY_CURRENT_USER: es más bien un icono que una Clave, tiene que ver con la carpeta de la Clave USERS de quien esté usando la computadora. Contiene información más detallada de la configuración del usuario actual.

c) HKEY_LOCAL_MACHINE: mantiene un registro e información de todo lo que se halla instalado en la computadora. Es una base de datos maestra con la información de cómo usar cada programa o dispositivo y la configuración de cada componente. Contiene la configuración completa de todo el sistema.

d) HKEY_USERS: tiene la información acerca de cómo Windows y cada programa individual del sistema está personalizado para cada usuario. Mantiene un registro de absolutamente todo, desde el fondo de pantalla preferido hasta la página de inicio del Explorador de Internet. La mayoría de la computadoras tienen un solo usuario para lo cual sus configuraciones estarán en la carpeta default. Si por otra parte, hay varios usuarios registrados en la computadora, cada uno de ellos tendrá su propia carpeta. Conteniendo sus propias preferencias de configuración.

e) HKEY_CURRENT_CONFIG: ésta Clave tiene que ver con la información de la Clave MACHINE, en lo que tiene que ver con la configuración de pantalla (resolución, color, etc.), también cuál de las impresoras instaladas es la impresora de inicio. Mantiene el registro de la configuración actual.

f) HKEY_DYN_DATA: quiere decir información dinámica. La información que se halla aquí no es meramente estática, sino que cambia cada vez que el sistema inicia. Almacena información de cada componente de la computadora, su estatus actual y sus controladores, misma que se halla en forma hexadecimal.

Una manera segura de hacer cambios en el Registro es la siguiente:

- Selecciona la carpeta del Registro que quieres modificar.

- Haz clic en Registro, Exportar archivo del registro.

- En Exportar archivo del Registro de configuraciones, Guardar en, selecciona en donde (generalmente Mis documentos) se guardará la copia original de la carpeta del Registro que quieres modificar.

Direccion de Marketing  Impulsa tu Carrera con el Master en Direccion de Marketing.onlinebschool.es/Dir_MarketingEnlaces patrocinados

- En Nombre de archivo, escribe el nombre del archivo con que guardarás la copia original de la carpeta del Registro (que tenga relación con la Rama exportada).

- Asegúrate de activar la casilla Rama seleccionada y haz clic en Guardar.

- Ahora haz los cambios que quieras y re-inicia la computadora.

- Si algo no salió como querías (y puedes volver al Registro) haz clic en Registro, Importar archivo del registro.

- En Importar archivo del Registro de configuraciones, selecciona la copia original del archivo del registro que quieres restaurar y haz clic en Abrir.

Nota: es una buena costumbre hacer una COPIA COMPLETA del Registro ANTES de hacer CUALQUIER cambio.

En caso de no iniciar el sistema (Win 98)

- Inicia el sistema (puede ser necesario usar tu disco de inicio).

- En DOS escribe: scanreg/restore.

- Aparece una pantalla azul con las últimas cinco copias del Registro, selecciona la más actual lista.

- Cuando se indique presiona Enter para re-iniciar.

Recomendaciones para una computadora lenta (falta de memoria)

1.- Cierre las aplicaciones (programas) que no esté utilizando

2.- Divida su trabajo en partes más breves

3.- Desactive la opción Deshacer cuando la aplicación lo permita

4.- Si tiene dos discos duros cambie el archivo de intercambio (Swap) al disco más rápido

5.- Ajuste el tamaño del archivo de intercambio (memoria virtual en disco): Panel de Control/Sistema/Rendimiento/Memoria virtual.