Recuperar contraseñas en Sistemas Windows (Ophcrack live CD)

Ophcrack Live CD 2.3.1 es una distribución linux, basada en la Ubuntu 7.04, en formato Live CD que está preparado para acceder a las particiones de Windows, copiar temporalmente en el sistema y analizar el archivo SAM, el que gestiona las contraseñas de Windows, para luego descomprimirlo y descifrarlo.

Con ello podremos obtener la contraseña de nuestro sistema Windows y permitirnos acceder a él.

Enlaces para descargas de iso, las cuales puedes grabar en un CD:

Para windows XP: http://downloads.sourceforge.net/ophcrack/ophcrack-xp-livecd-2.3.1.iso

Para WIndows Vista: http://downloads.sourceforge.net/ophcrack/ophcrack-xp-livecd-2.3.1.iso

codigo de error -5003

Cuando instalamos algo, que esta diseñado para el windows instaler, y por cosas del destino sale un error.

Es un error producido por una instalación anterior de InstallShield no terminada (5003) que deriva en una denegación de acceso (0×5).

Hay dos posibles soluciones:

Solución A:
1.- Abre la carpeta C:\Archivos de Programa\Archivos Comunes (o en inglés C:\Program Files\Common Files)
2.- Localiza la carpeta Installshield
3.- Botón derecho en dicha carpeta y presiona “Renombrar”
4.- Renombralo como “Installshield_old” o similar
5.- Trata de reinstalar el programa

Solución B (Solo en caso de que la A no funcione)
1.- Click en inicio, Ejecutar, teclea “msconfig.exe” y pulsa enter.
2.- En la ventana que aparece, marca “inicio selectivo”, y debajo, desmarca las opciones “Procesar archivo config.sys”, “Procesar archivo Autoexec.bat” y “Cargar elementos de inicio”.
3.- Aplica y reinicia el PC.
4.- Una vez reiniciado, trata de instalar el programa.

Saludos y suerte.

MultiBoot Emergency CD: Diagnostico y Reparación de PCs (Julio 2009)


MultiBoot EmergencyCD: Diagnostico y Reparación
ISO Booteable | 619 MB | Actualizado al: 24-07-2009 | Autores: DigiWiz & PlaNed | Inglés

MultiBoot EmergencyCD es la solución para la mayoría de problemas que puede presentar nuestra PC, su funcionalidad es muy parecida a Pilitos, HawkPE y otros LiveCD conocidos. Esta ISO tiene integrada la opción de arranque acompañada de múltiples opciones fácilmente accesibles desde un menú. Entre las Herramientas que incluye podemos destacar a MiniPE v2k5.09.09 (24 Julio 2009) y Hirens BootCD 9.9 dos utilidades que ya brillan con luz propia en el mundo de la informática.

Boot Menu
•DigiWiz miniPE v2k5.o9.o3 ( 24 July 2oo9 )
•Hiren’s BootCD 9.9
•QuickTech Pro
•CheckIt 7.1 Pro - test, benchmark hardware
•SpinRite 6.0 HD Maintenance & Recovery Tool
•OnTrack Data Advizor 5.00
•OnTrack EasyRecovery 6.10
•Acronis Disk Director Server 10.0.2169
•Acronis True Image Echo Server with UR 9.7.8344
•Active BootDisk 2.10
•HDD Regenerator 1.71
•EuroSoft PC-Check 6.05
•Memtest86+ 2.11

Descargar aqui:
http://rapidshare.com/files/265160837/EMERGENCY_Jesusbo.part1.rar
http://rapidshare.com/files/265160845/EMERGENCY_Jesusbo.part2.rar
http://rapidshare.com/files/265162157/EMERGENCY_Jesusbo.part3.rar
http://rapidshare.com/files/265162163/EMERGENCY_Jesusbo.part4.rar
http://rapidshare.com/files/265163545/EMERGENCY_Jesusbo.part5.rar

Luego de descargados, unir con la aplicacion winrar.

El misterioso archivo SVCHOST.exe



El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Los grupos Svchost.exe están identificados en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.

Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio

Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion.

Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos:

  1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
  2. En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
  3. Ahora en la ventana de la consola de comandos, escriba:

    Tasklist /SVC

    ... y a continuación, presione Enter.
Te aparecerá un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible).

Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:

  1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
  2. En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
  3. Ahora en la ventana de la consola de comandos, escriba:

    tasklist /svc /fi "imagename eq svchost.exe"

    ... y a continuación, presione Enter.
En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado.

Uso de recursos del sistema

Uso de memoria:

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.

Uso de procesador:

El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, si no es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC. (más abajo)

SVCHOST, los puertos que abre y su configuracion con Firewalls

Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.

"SVCHOST.exe no solo es el responsable de cargar varios servicios,
tambien abre numerosos puertos de conexion a nuestro sistema."


En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos:

Con protocolo TCP: 135 y 2869

Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031

Cuando estes en busca de procesos maliciosos como Adware, software espía, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call—RPC—attacks" en contra del puerto 135) no se pueden descartar.

En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].

La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:

Si el protocolo es TCP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Si el protocolo es UDP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendría definir esta regla:

Si el protocolo es TCP
Si la conexion es de tipo SALIDA
BLOQUEAR

Ataques a tu sistema mediante RPC

El Proceso ó Archivo SVCHOST consume 100% CPU

Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC.

Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bichos que aprovechan este agujero para insertarse en tu sistema y empezar a hacer todo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion.

Si crees estar siendo víctima del MS Blaster o alguna de sus miles de mutaciones:

Inmediatamente ve descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM

Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y notas que continua igual que antes, entonces publica el registro detallado de las aplicaciones de tu sistema usando la aplicacion, HIJACKTHIS que puedes descargar desde aquí.

Una vez instales Hijackthis, publica tu LOG en este foro y allí con gusto te ayudaremos.

IMPORTANTE:

Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque existen infinidad de bichos que aprovechan ese agujero pero que utilizan otro nombre, por lo que si el Antivirus no es tan potente, desconocerá las nuevas mutaciones.

Para tener claro...
  • El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.
  • Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.
  • Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
  • No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.
  • SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.
fuente: http://www.wilkinsonpc.com.co/free/articulos/archivo-svchost-exe.html

Microsoft dará aplicaciones gratis del Office por Internet

La multinacional entierra oficialmente Windows Vista y anuncia que venderá 177 millones de su nuevo sistema operativo Windows 7

Microsoft ha enterrado este lunes oficialmente Windows Vista, el sistema operativo que más quebraderos de cabeza ha dado a la multinacional y que ha supuesto el mayor desencuentro de Windows con sus clientes, que lo consideraban lento, de difícil uso y poco fiable. Microsoft ha elegido el Memorial Center de Nueva Orleans para pasar página y presentar, ante más de 9.200 empresarios, su nuevo sistema operativo y dar la bienvenida al Windows 7, el nuevo sistema operativo con el que espera recuperar la confianza de sus usuarios.

Al igual que la capital de Louissiana se reconstruye a marchas forzadas tras el desastre que supuso el huracán Katrina, Microsoft quiere recuperar su imagen tras tres años de Windows Vista, y ha utilizado su Worldwide Partner Conference (conferencia mundial de socios) para presentar en sociedad su Windows 7, del que espera vender 177 millones de unidades preinstaladas en los ordenadores hasta finales de 2010 (40 millones en 2009), según ha indicado el vicepresidente de la división comercial de Windows, Bill Vegthe. La compañía estima que, en un año, el 75% de los clientes que tienen un sistema operativo de Microsoft (Vista o su antecesor XP) migren a Windows 7.

De Google, y su anuncio de la pasada semana de que sacará el próximo año su propio sistema operativo -Chrome OS para netbooks (ultraportátiles)- no se ha dicho una palabra en esta primera jornada del congreso, aunque se espera que este martes el presidente de Microsoft, Steve Ballmer, plante cara al rey emergente de Internet y defina una estrategia para pararle los pies.

Pero Microsoft ha contraatacado anunciando que ofrecerá aplicaciones sencillas de su programa Office a través de Internet completamente gratis. Fuentes de la empresa han puntualizado que no se trata de dar gratis el programa Office 2010, que vale más de cien euros, sino de un nuevo servicio -Office Web Applications- que permite usar desde Internet versiones sencillas de los programas más usados como el procesador de textos (Word), la hoija de cálculo (Excel), las presentaciones (Power Point) y el reconocimiento de texto (OneNote).

Para tener acceso a estas aplicaciones, habrá que ser usuario de Windows Live, la plataforma on line de Microsoft, que cuenta con 400 millones de usuarios, o tener un contrato de empresa con la multinacional, del que disponen alrededor de 90 millones. Esta versión on line estará disponible para el público a lo largo de 2010 y se financiará con la publicidad que recibirán los usuarios que hagan uso de ella a través de la web.

Windows 7, que ahora está en su última fase de prueba, estará disponible para las empresas que trabajan con contrato de licencia con Microsoft el próximo 1 de septiembre y para el consumidor de a pie el 22 de octubre. Su precio será de 119,99 euros para particulares (en caja) y 285 para la versión profesional, el mismo precio del Vista o por debajo del mismo, aunque casi todas los programas vendrán preinstalados en los ordenadores. Aunque los precios eran ya conocidos, Microsoft ha anunciado en Nueva Orleans que, rompiendo su costumbre, realizará descuentos de entre el 15% y el 35% a los clientes profesionales y a empresas que tengan instalado el Vista y contraten Windows 7.

En la demostración de Windows 7, los ejecutivos de Microsoft han hecho hincapié en la mayor facilidad de uso, que se ejemplifica en una barra de tareas interactiva, desde la que se puede acceder a cualquier aplicación sin necesidad de abrir y cerrar ventanas como hasta ahora, enviar correos electrónicos o arrancar vídeos. Preparado para usarse con ordenadores de pantalla táctil, las imágenes se pueden agrandar y rotar, y se puede pasar página, como sucede con los móviles táctiles. Para los que dispongan de un PC o un portátil tradicional, la aplicación que más les llamará la atención será la de que, agitando el ratón, aparecen y desaparecen de un golpe todas las ventanas desplegadas.

Para evitar cometer los mismos errores que con Vista, que se lanzó sin que estuvieran disponibles las aplicaciones, en este momento 16.000 compañías de hardware y software están construyendo aplicaciones sobre Windows 7. En esta línea de compatibilidad, Microsoft ha aclarado que 246 millones de ordenadores en todo el mundo ya podrían instalar Windows 7 sin necesidad de realizar ningún cambio. Y ha asegurado que Windows 7 generará un negocio a su alrededor de 320.000 millones de dólares y que las empresas que lo usen generarán tres millones de puestos de trabajo.

También se ha presentado Microsoft Office 2010, que incorporará nuevas aplicaciones web y estará disponible en el primer semestre de 2010.

En el evento mundial de Microsoft se ha hecho hincapié hasta la saciedad en que las empresas se renueven tecnológicamentre. La vicepresidenta mundial de negocios, Allison Watson, ha presentado Microsoft Partner Network, el nuevo programa que la compañía ha diseñado específicamente para que sus socios compartan las experiencias y el conocimiento necesario que les permita crecer en sus negocios los próximos años.

Fuente: www.elpais.com

Tomado el: 13-julio-2009

Cambiador de Mac y Rdesc (especial descargas)

Para realizar descargas en al Web, se han popularizado programas P2P (como ares o emule) para la descarga asíncrona de archivos, y depedendiendo de la velocidad, números de usuarios, archivos compartidos, podremos descargarlos a velocidades considerables infinidad de archivos (música, vídeo, documentos, entre otros), en los últimos años, se ha popularizado las descarga desde servidores como Rapidshare o Megaupload, por mencionar algunos. Estos permiten descargar archivos y múltiples partes, que luego de descargadas, pueden ser reensambladas como único archivo original (múltiples partes, comprimidas en formato rar, para ser armadas con el programa WinRar). Estos servidores permiten que los archivos sean descargados a la máxima velocidad que permita nuestro plan ADSL por nuestro proveedor ISP (entiéndase plan ABA, por proveedor CANTV, por un ejemplo de Venezuela).

Estos servidores, para evitar la congestión y también promocionar la afiliación a sus servicios, pone límites para las descargas, por minutos, por día, etc a través de la identificación del numero MAC de nuestra PC. La dirección MAC, es la dirección lógica de la tarjeta física NIC, conocida como la tarjeta de Ethernet. Obviamente, los servidores al obtener este número hexadecimal, limitan las descargas. Pero existe software que simula cambiar este numero MAC, con el cual obtendríamos descargas ilimitadas sin tiempos de espera. Además,existen programas que con solo copiar y pegar los links en ellos, permiten la gestión automatizada de descargas a la carpeta de nuestra preferencia, sin asistencia de nuestra parte.

Les dejo un link, para q puedan descargar los programas Rdesc 2.0 (gestor de descargas) y un programa para cambiar mac (en español, difícil de conseguir en la web) aquí


Por favor dejen sus comentarios. :-)

Proyecto Windows Mini PE-XT


Muchas veces, por innumerables causas, el sistema operativo de las PC's falla, y por mas que intentemos repararlo, no existe otro vía que la del "formateo" y la reinstalación de Windows, en sus diversas versiones. Claro, pero primero antes de formatear, deseamos respaldar nuestra información, y quizás, no contemos con otro disco duro con un S.O. instalado o de otra PC donde coloquemos, nuestro disco duro como esclavo (entiéndase, como disco secundario) y copiar nuestra información. Además también podríamos necesitar con urgencia acceder a nuestros archivos, para su extracción, impresión así como navegar por la web, o la reparación, desinfección de virus, etc.

Afortunadamente, existen los llamados "Live CD" que no es mas que versiones de Sistemas Operativos que no requieren ser instaladas, sino que se "cargan" desde el CD en memoria RAM, inclusive, sin poseer un disco duro. Una gran herramienta se conoce como Windows MiniPE-XT, un Live CD del kernel del S.O. de Windows XP (en ingles) el cual dispone de cientos de herramientas para la desinfección de virus, malware, respaldo de información, reparación de disco duro, creación de particiones de disco,navegadores Web, programas para quemar CD's, etc.

La herramienta en cuestión, carga en RAM aproximadamente unos 50mb y posteriormente inicia poniendonos a nuestro servicio cientos de programas para todo tipo de tareas, también tengo que decir que hay bastante software ilegal, léase Nero Burning Rom, NOD32 VirusCleaner, WinRAR y un buen grupo de aplicaciones comerciales no gratuitas y que no son precisamente demos, sino software crackeado completamente funcional. La ventaja, es que es funcional con casi todos los pendrives del mercado, así que podremos respaldar nuestros datos, antes de formatear, extraer algún documento de suma importancia (como lo es una tesis). Es una herramienta fundamental para aquellos que se dedican a la reparación y mantenimiento de PC's.

para descargar, has clic aquí

Nota: Archivo comprimido en formato rar, protegido por contraseña, tamaño 548MB, Password: thecavern

Por favor, dejen sus comentarios

Identificación de Drivers para PC’s y Laptops

A veces, por mucho que queramos desinfectar nuestras maquinas de virus,  debemos formatear las PC’s o laptops (en muchos casos muy recomendable) para garantizar un correcto funcionamiento, y obtener un registro de Windows limpio y estable. Además, para aquellas personas que no les gusta la versión de Windows Vista (incluyéndome) a veces deseamos instalar una versión, de Windows XP, pero nos topamos con la problemática de no contar, con los drivers compatibles para esas maquinas.

Una manera tradicional de conseguir los drivers, y dado que muchas personas hacen “downgradable” sus Windows, (entiéndase, bajar a una versión anterior de un software) los fabricantes de computadoras, han ido puesto a disposición, drivers para Windows XP, de maquinas que inicialmente se diseñaron bajo compatibilidad Vista. A veces, es fácil, con solo colocar el nombre del equipo o modelo de tarjeta madre en la pagina del fabricante, en su sección de descargas o downloads y después de escoger lo q buscamos, ejemplo, drivers de audio, video, etc, podemos descargarlos, e instalarlos. Pero a veces, es muy difícil, porque hay que instalar drivers de otros modelos del mismo fabricante, que son “compatibles” y que sus métodos de instalación no son precisamente lo mas cómodos, ya que se procede a la instalación manual de los mismos, es decir, sin asistentes, que solo debes pulsar un botón de siguiente o next.

Una manera de identificar los drivers necesarios, es obteniendo el modelo de la tarjeta madre, y con solo ingresarlo en www.google.com probablemente nos envié resultados satisfactorios, tanto drivers del fabricante, o algún “blogero” que haya decidido subir drivers. Peroooooooo resulta que no siempre es fácil identificar de manera visual la motherboard, a veces se requiere de software especializado. Tal es el caso del Programa Everest, el cual realiza un extenso y detallado análisis del sistema, mostrando prácticamente todos los aspectos del sistema referentes a hardware, software, configuración de red y más.

Everest nos permite obtener detalles sobre el procesador, placa base, memoria, sistema operativo, procesos activos, DLL en uso, servicios en ejecución, carpetas compartidas y usuarios, configuración de audio y vídeo, configuración de red local e Internet, software instalado, elementos de hardware instalados y mucho, mucho más.

He subido este programa de fácil uso, en una versión portátil (para pendrives) y en español :D aquí

Algunas imágenes de Mi PC computador con el Everest:

(Clic en cada imagen para ampliar)


Por favor, dejen sus comentarios.

Virus en el directorio System Volume Information de Windows XP

Sumario:

Cuando ejecuta un análisis con un antivirus, se puede recibir un informe indicando que uno o más archivos en las carpetas System Volume Information contienen un virus o están infectados con un virus. También es posible que el antivirus indique que no es capaz de eliminar el virus del archivo o archivos.


Descripción detallada:

Es necesario eliminar manualmente los archivos infectados encontrados en la carpeta C:\System Volume Information_Restore, que son parte de la copia de seguridad de Windows XP backup (estas copias de seguridad fueron creadas cuando el sistema estaba infectado).
El directorio System Volume Information es un directorio de sistema oculto que el servicio de Restaurar Sistema utiliza para almacenar información y puntos de restauración.
Existe un directorio de System Volume Information en cada partición de su ordenador. Ninguna aplicación excepto el servicio Restaurar Sistema tiene permiso para acceder a este directorio.
Para poder eliminar el contenido infectado de este directorio es necesario seguir estos pasos:

  1. Clic derecho en el icono Mi PC del Escritorio y clic en Propiedades;
  2. Clic en la pestaña Restaurar Sistema;
  3. Seleccionar cada partición y:


a) clic en Configuración;
b) Mover el desplazador hasta el mínimo;
c) Hacer clic en Aceptar y aceptar la confirmación eventual;

  1. Marcar la casilla Desactivar Restaurar Sistema en todas las particiones;
  2. Hacer clic en el botón Aceptar;
  3. Se le solicitará reiniciar el equipo. Haga clic en .


Cuando se desactiva Restaurar Sistema el contenido del directorio es automáticamente eliminado, incluyendo los archivos infectados. Después de reiniciar puede volver a activar el servicio Restaurar Sistema en caso de que lo desee.

Detectar virus en procesos activos de Windows


Otra de las maneras para limpiar nuestras maquinas, y detectar infecciones, virus, etc. aparte de usar un programa antivirus y programas anti espías, es la posibilidad de inspeccionar los procesos activos del sistema operativo.


 

La utilidad MSconfig

MSconfig es una utilidad que viene con Windows y que nos permite modificar muchas cosas del arranque de nuestro ordenador. Para acceder a ella hacemos click en el botón de Inicio y luego en Ejecutar. En la ventana de Ejecutar escribimos msconfig y pulsamos en aceptar.

Ejecutar msconfig (click para ampliar)

Veremos una ventana con distintas pestañas, nos dirigimos a la que pone Inicio

msconfig/inicio
Msconfig/Inicio (click para ampliar)

En esa pestaña están (marcados con visto ) todos los elementos que Windows carga al iniciarse.

Hay tres columnas con información sobre cada archivo de las cuales nos interesarán por ahora las dos primeras: el nombre del elemento de inicio y el comando.

En elemento de inicio es el nombre con el que se identifica ese elemento. Muchos virus se apropian de nombres de elementos conocidos para hacerse pasar por ellos cuando en realidad hacen labores muy distintas. Por eso es importante observar la columna de comando que nos informa del archivo o archivos que se ejecutan al arrancar Windows y en ocasiones de su ubicación. Esto lo veremos más detenidamente en la siguiente parte, con un ejemplo práctico.

Si queremos que Windows no cargue un elemento en concreto hacemos click en su casilla y lo dejamos sin marcar. Si posteriormente queremos que ese mismo elemento se cargue de nuevo volveríamos a abrir msconfig y lo marcaríamos otra vez.

Cada vez que hagamos cambios en msconfig tendremos que reiniciar el ordenador para que tengan efecto. De hecho al hacer cambios y click en aceptar nos saldrá el siguiente mensaje:

msg reinicia

mensaje reiniciar (click para ampliar)

La siguiente vez que arranquemos Windows, nos saldrá un mensaje avisándonos de que hemos realizado cambios en el sistema.

Estos procesos, son programas que se cargan de manera secundaria al inicio de Windows XP. (ejemplo: cargan los controladores de video, sonido, ejecutar nuestro antivirus, el Windows live Messenger, etc).

Para acceder a ellos, y visualizar o desactivarlos, haremos clic en el botón inicio, luego en ejecutar… también podemos presionar la tecla (obvio en el teclado) con el logotipo de Windows de nuestro teclado, + la tecla R (Run/ejecutar). Cuando se abra la ventana, escriben msconfig y presionan Enter, en la nueva ventana, introducen en la pestana inicio, y podrán visualizar los procesos activos. No es fácil saber cuál es el proceso activo propio del sistema, o cual es un virus, por tal motivo anexo un link del servidor de descarga, Rapidshare, donde pueden descargar una lista de programas propios de Windows XP y Vista. Tip: Los programas pueden ser archivos .exe cargados en la carpeta C:\Windows\system 32. También procesos activos que no tienen nombre, es decir, son invisibles. Otros suelen intercambiar letras de procesos conocidos de Windows como csrss.exe, son muchos ejemplos, solo la experiencia y probar, les garantizará un sistema óptimo.

Además, anexo un manual, para utilizar una herramienta muy poderosa, como lo es combofix, una iniciativa propia de la gente de www.bleepingcomputer.com quienes diseñaron un pack, con rutinas para eliminar virus que normalmente nuestro antivirus no eliminaría. Tal es el caso de los troyanos. La desventajas del combofix, es que debemos descargarlo cada 7 días (recuerden que sale muchos virus nuevos todos los días), ya que si el combofix, esta desactualizado, solo correrá en modo reducido y no limpiara eficientemente nuestras PC. También, dependiendo del grado de contaminación, podrá reiniciar nuestras PC. Solo estudien el manual, y quizás el combofix que descarguen no esté en español, pero prácticamente lo que deben de hacer al iniciarlo es darle en aceptar o en iniciar. Les enviará advertencias sobre que han detectado un programa antivirus activo, el cual obviamente podrá detectar al combofix como virus, ya que son rutinas de Visual Basic (scripts). Desactiven sus antivirus; la manera más fácil es darle clic derecho en el icono cerca de la hora del sistema, y buscar una opción que diga activar o desactivar, cerrar, etc… sino lo consiguen reinicien su máquina a modo a prueba de fallos, antes de cargan Windows, presionen muchas veces la tecla F8, y seleccionen la opción modo a prueba de fallos.


Pantalla Modo a Prueba de fallos (clic para agrandar)

Luego al reiniciar hacen todo lo del manual del Combofix. se que es algo complejo, pero en realidad pueden cuidar mucho su preciosa PC o Laptop.

- Descargar Manual de Combofix, y lista de procesos hagan clic aqui
- Descargar Combofix hagan clic aquí


Desocultar archivos o carpetas de un pendrive anteriormente infectado

Existen virus de PC, (como el VB.DS, de tipo troyano) que, aparte de cambiar nuestras propiedades de sistema de archivos de Windows (ocultar archivos de sistema, entre otros), ocultan además, archivos y carpetas de un pendrive o de nuestro disco duro, sin poder modificar sus propiedades desde Windows. Ocurre en muchos casos de personas que ven infectados sus pendrives, creen que los virus les borro TODOS los archivos, cuando en realidad, los archivos permanecen en el pendrive, con la propiedad de "oculto". Digamos que, al cambiar las propiedades para ver archivos ocultos y de sistema (tema ya abordado en una entrada de blog anterior) y si la PC esta limpia, podremos ver nuestros documentos. Pero... ¿que pasa si quiere "Desocultarlos"?, es decir, quitarle la propiedad de oculto. A través de un simple clic derecho en el archivo (o carpeta), ingresar a propiedades. Oh, sorpresa, en el extremo inferior, aparece la propiedad oculta, marcada, pero inaccesible (en color gris), no pudiendo obviamente normalizar este. Tu opción más lógica sería, abrir el documento, copiar todo en un nuevo documento y volver a guardar. Pero ¿que sucede si se trata de 100, 500 o muchos mas archivos? ¿harás lo mismo con cada archivo? pues te saldrán raíces amigo (a).
Afortunadamente, no todo esta perdido; puedes echar mano, del antiguo, arcaico, pero útil sistema operativo MS-DOS. Basta con ingresar al botón inicio desde Windows, ingresar en ejecutar, y escribir cmd pulsar Enter, y abriremos la interfaz de comandos de nuestro MS-DOS. De inmediato, montaremos nuestra unidad, es decir, cambiaremos de directorio. Comúnmente, esta en "C:\Document and settings\nombre de usuario\>" ahí escribimos la unidad de pendrive mas dos puntos (por ejemplo, x:) donde equis será la unidad de tu pendrive, puede variar, desde E: a Z:, una vez que la montes, por ejemplo k: escribes attrib -h -r -s seguido del nombre del archivo a desbloquear. por ejemplo, un documento llamado trabajo. doc, lo desbloquearemos así: k:\>attrib -h -r -s trabajo.doc pulsamos Enter, esperamos unos segundos, y listo, tu archivo será "desocultado" puedes verificarlo desde el icono de "Mi PC" en el escritorio de Windows.

Ah, muy bien, excelente, pero la cosa no era para todos mis archivos o carpetas. Si, solo debes modificar el nombre del archivo, por la instrucción "/S" (sin las comillas). Para la misma unidad de ejemplo, quedaría así: k:\>attrib -h -r -s /s .Así en varios minutos, dependiendo del tamaño de tu pendrive, y de la cantidad de archivos, se desocultara, cada archivo del pendrive. También, es valido, para archivos dentro de una carpeta y subcarpetas. solo debemos ingresar a la carpeta, con el comando "cd" ejemplo: k:\> cd mis trabajos, y quedará así: k:\mis trabajos> así que solo ejecutarías de nuevo: k:\mis trabajos>attrib -h -r -s /s (nota: la entrada /s desbloquea carpetas y subcarpetas), Puedes verlo en el siguiente link de mi creación:

http://www.youtube.com/watch?v=o_sDgkgQ2ms

Espero les sea de utilidad.

Primeros pasos para combatir los virus en pendrives

Ante la crisis de los antivirus, incapaces de eliminar el 100% de los virus en PC, laptops y pendrives, hice un pequeño tutorial para desinfectar nuestros pendrives, aplicable a memorias de celulares, discos duros portátiles, ipod, mp4, etc.

Primero, deben cambiar las propiedades por defecto de su sistema operativo, para este caso será Windows XP. (si su maquina esta desinfectada, lo hará, sino, ni modo). Deben hace doble clic en Mi PC, en mis documentos, o en el explorador de Windows, que para el fin, es lo mismo, y entrar en el menú herramientas, luego en opciones de carpeta, y en la pestaña ver, deben cambiar la opción a mostrar todos los archivos y carpetas ocultos, luego mas abajo, desmarquen las opciones, ocultar extensiones no conocidas y ocultar archivos de sistema, tal como se puede apreciar en el video del link:


Posteriormente pueden crear en sus pendrives, algunos archivos con el bloc de notas, haciendo clic derecho en el pendrive, opción "nuevo" y seleccionar "documento de texto". escriben recycler, sin extensión, es decir, quitando la parte de ".txt" saldrá una pantalla que advierte que si cambia la extensión, podría dañarse el archivo, solo denle en sí. Se creará un archivo sin extensión. Posteriormente creen una carpeta nueva, con el nombre de autorun.inf. ver el siguiente enlace:


Con esto evitaran que se creen en su pendrive, archivos como el autorun.inf que ejecutara el virus que se copia en la carpeta recycler. Advertencia, la carpeta Recycler en el disco duro, no es un virus, es parte del S.O. Les recomiendo borrar todos los archivos semitransparentes de un pendrive, luego de pasarles el respectivo antivirus, pero jamás, abran desde el menú del asistente que aparece al insertar el pendrive. Mejor ingresen a mi Pc, o explorador de windows. Un Tip: por cada carpeta de "virus" que se copie en el pendrive, creen un archivo sin extensión como el recycler, es decir, si se copia una carpeta de virus llamada "driver" creen un archivo llamado driver sin extensión, con la opcion nuevo documento de texto. Por otra parte, si se copian archivos traslucidos, como por ejemplo, "Q9.cmd", creen una carpeta con ese nombre exacto sin las comillas claro, (tal cual como el archivo autorun.inf) así evitaran que su pendrive se infecte de al menos una gran cantidad de virus.

Tambien pueden borrar archivos traslucidos de disco local c: o d: etc, pero solo algunos, como autorun.inf, o cualquiera q tenga extensión .exe. no borren archivos ntdlr ni autoexec.bat ya que son del sistema operativo.