Tienes la mquina muy infectada y tu antivirus aparece desactivado.

Desinstala todas las tolbars que tengas y luego sigue estas intrucciones: Paso 1: Descarga e instala los siguientes programas: Spybot Ccleaner (Manual de uso aqu) Unlocker. SUPERAntispyware (Manual de uso aqu) RegSeeker. (Este ltimo no requiere instalacin. Slo descomprmelo y mueve la carpeta a archivos de programa. Luego puedes crear un acceso directo del ejecutable en el escritorio) Paso 2: Inicia en modo seguro con funciones de red Paso 3: Haz una limpieza de archivos temporales con el Ccleaner Paso 4: Actualiza el Spybot y el SUPERAntispyware Paso 5: Escanea tu equipo con el Spybot, luego con el SUPERAntispyware, y limpia lo que te encuentren. Paso 6: Escanea tu equipo con algn antivirus on-line. Te recomiendo alguno de estos: Panda antivirus Computer associates Trend micro (Para usar ste, necesitas tener instalado el Java) Bit defender Nod32 Paso 7: Reinicia nuevamente en modo seguro y escanea nuevamente con el Spybot y limpia lo que encuentre Paso 8: Haz una limpieza de registro con el Regseeker (Escanea varias veces hasta que ya no quede nada por limpiar) Paso 9: Reinicia en modo normal. Paso 10: Pega otro log.

Cmo usar HijackThis para remover hijackers, spywares y adwares.

Introduccin HijackThis es una utilidad que produce un listado de ciertas configuraciones halladas en tu computadora. HijackThis escanear tu registro y varios otros archivos de entrada que son similares a los que un programa spyware o hijacker dejan huella. Interpretar esos resultados podra ser engaoso, ya que hay muchos programas legtimos que estn instalados en su sistema operativo de una manera similar a como lo hacen los hijackers. As que debes ser extremadamente cuidadoso arreglando cualquier problema con el HijackThis. No puedo dejar de presionar en lo importante que es la advertencia. Como usar HijackThis

El primer paso es descargar el HijackThis a la computadora en un lugar donde sepas que lo encontrars. No necesita instalarse, as que recuerda donde lo dejas para usarlo en el futuro. Puedes descargar el HijackThis aqu: http://www.merijn.org/files/HiJackThis_v2.exe Crea una carpeta en donde poner el HijackThis. Es importante que tenga su propia carpeta para que pueda usarla para crear copias de respaldo. Si lo ejecutas desde un archivo comprimido, no se podrn crear respaldos. Una vez descargado, da doble click en el icono del HijackThis.exe. Aparecer una ventana como la siguiente:

Primero da click en el botn "Config", y aparecern las opciones como lo muestra la captura. Confirma las 4 ltimas opciones y desmarca la primera. Por defecto vienen as.

Cuando hayas seleccionado esas opciones, presiona "Back" y contina con el resto del tutorial. Para empezar el escaneo de posibles hijackers, clickea en el botn "Scan". Se te presentar una lista con todos los elementos encontrados por el programa como se muestra a continuacin.

En este punto ya debes de tener una lista de todos los elementos encontrados por HijackThis. Si lo ves muy confuso y difcil para ti, entonces clickea en el botn "Save Log", y salva el log en tu computadora, de preferencia en la misma carpeta. Para abrir un log y pegarlo en un foro, sigue estos pasos: 1. Abre el Notepad (o Block de Notas). 2. Click en "Archivo" >> "Abrir" y busca el directoriodonde tienes guardado el log. 3. Cuando llegues elije el log y brelo. 4. Presiona en "Edicin" >> "Seleccionar todo" 5. Presiona "Edicin" >> "Copiar" 6. Ve a algn foro y pega el log, describiendo la situacin y los mtodos que ya has intentado.

Si deseas ver ms informacin acerca de los objetos listados, da click en alguno de ellos y presiona el botn "Info on selected tem". Te aparecer una pantalla semejante a esta:

Cuando hayas buscado informacin de los objetos listados, y sientas que tu conocimiento sea suficiente para continuar, mira la lista y selecciona los objetos que desees remover marcando las casillas correspondientes, como lo muestra la siguiente captura. Al final del documento hemos includo algunas formas bsicas de interpretar la informacin en esos archivos logs. Lo que no significa que esta informacin sea suficiente para todas las decisiones , pero debera ayudarte a determinar qu es legtimo y que no.

Una vez que hayas seleccionado los objetos que quieras remover, presiona el botn "Fix Checked". HijackThis te preguntar si confirmas remover esos objetos. Presiona "Yes" o "No" dependiendo de tu eleccin.

Cmo restaurar objetos borrados accidentalmente:

HijackThis viene con un herramienta de respaldo y un procedimiento de restauracin en caso de que errneamente hayas borrado una entrada que es legal. Si has configurado el HijackThis como muestra este tutorial, entonces sers capaz de restaurar las entradas que hayas borrado anteriormente. Si has ejecutado HijackThis desde una carpeta temporal, entonces los procedimientos de restauracin no trabajarn. Si la opcin de configuracin "Make backups before fixing items" esta marcada, HijackThis har una copia de respaldo de cada entrada que arregles en un directorio llamado "Backups", en la misma localizacin del HijackThis.exe Si ejecutas HijackThis y clickeas en "Config", y despus en el botn "Backup", como en la imagen siguiente. Obtendrs un listado de todos los objetos que han sido arreglados anteriormente y con la opcin de restaurarlos. Una vez que restaures un objeto mostrado en esta lista, si vuelves a escanear con el HijackThis, la entrada volver a aparecer.

Una vez que acabes la restauracin de aquellos objetos que fueron arreglados equivocadamente, puedes cerrar el programa.

Cmo interpretar los resultados del escaneo Esta seccin te ayudar a diagnosticar los resultados del escaneo del HijackThis. Cada lnea de la lista de resultados del HijackThis empieza con un nombre de seccin. A continuacin se presenta un lista de los nombres de seccin y su descripcin, tomados del sitio de Merijn's (el creador de HijackThis). R0, R1, R2, R3 URL's de pginas de inicio y bsqueda del Internet Explorer F0, F1, F2, F3 Programas autoejecutables N1, N2, N3, N4 URL's de pginas de inicio y bsqueda de Netscape y Mozilla O1 Archivo redireccionador de hosts O2 BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador) O3 Barras de Herramientas del Internet Explorer O4 Programa autoejecutables desde el registro O5 Iconos no visibles de IE en el Panel de Control O6 Opciones del IE con acceso restringido por el administrador O7 Acceso restringido al Regedit por el administrador O8 Objetos extras del IE O9 Botones extras en el botn principal de la barra de herramientas del IE o objetos extra en el men "Herramientas" O10 Hijacker del Winsock O11 Grupo extra en la ventana de Opciones Avanzadas del IE O12 Plug-ins para el IE O13 Hijacker del prefijo por defecto de IE O14 Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web) O15 Sitio no deseado en la Zona de Sitios de Confianza O16 Objetos ActiveX (Archivos de Programa Descargados) O17 Hijacker Lop.com O18 Protocolos extras y protocolo de Hijackers O19 Hijacker de Hojas de Estilo O20 Valores de Registro autoejecutables AppInit_DLLs O21 Llaves de Registro autoejecutables ShellServiceObjectDelayLoad O22 Llaves de Registro autoejecutables SharedTaskScheduler

Secciones R0, R1, R2, R3 Esta seccin abarca la pgina de inicio y bsqueda del Internet Explorer. R0 es para las pginas de inicio y el asistente de bsqueda del IE. R1 es para las funciones de bsqueda de IE y otras caractersticas. R2 no es usado actualmente. R3 es para un Buscador de URL's. Mostrar algo parecido a esto: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

R2 - (this type is not used by HijackThis yet) R3 - Default URLSearchHook is missing

Secciones F0, F1, F2, F3 Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini o sus equivalentes en el registro. F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado por Windows 9X y anteriores designan qu programa actuar como shell para el sistema operativo. La Shell es el programa que carga el escritorio, controla la administracin de ventanas y permite que el usuario interacte con el sistema. Cualquier programa listado despus del shell statement ser cargado cuando Windows arranque, y actuar como la shell por defecto. Hay algunos programas que actan como un reemplazo vlido para la shell, pero generalmente no se usa ms. Windows 95 y 98 (Windows ME?), ambos usan el Explorer.exe como su shell por defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma lnea Shell =, como por ejemplo: Shell=explorer.exe programa_maligno.exe. Esta lnea har que ambos programas arranquen cuando Windows cargue. Los objetos de F0 siempre son malos, as que conviene arreglarlos. F0 - system.ini: Shell=Explorer.exe Abreme.exe F1 - win.ini: run=hpfsched F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado despus de run= o load= cargar cuando Windows cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas modernos no usan esta caracterstica ini, y si no ests usando un programa antiguo entonces sospecha. El load= era usado para cargar los drivers del hardware. Los objetos listado en F1 usualmente son programas muy viejos, pero que son seguros, as que puedes encontrar ms informacin del nombre del archivo para saber si es malo o bueno. Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que estn ubicadas en el registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan una funcin llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini en el registro, con llaves para cada lnea encontradas en el .ini. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisar la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leer las configuraciones desde ah. Puedes ver que esta llave est refiriendose al registro como si conteniera REG y entonces el archivo .ini al cual se est refiriendo el IniFileMapping. Otra entrada comn encontrada en F2 es la entrada UserInit la cul corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit la cul se encuentra en Windows NT, 2000, XP y 2003. Esta llave especifca qu programa se debe cargar despus que un usuario se loguee en Windows. El programa por defecto para esta llave es: C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes, colores, etc. para tu nombre de usuario. Es posible aadir programas furtivos que inicien desde esta

llave separando los programas con una coma. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\userinit.exe,C:\Windows\programa_maligno.exe. Esto har que ambos programas se ejecuten cuando te loguees y es un lugar comn para ejecutar troyanos, hijackers y spywares. Llaves del Registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping, Archivos Usados: c:\windows\system.ini c:\windows\win.ini

Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe Something.exe Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe En F0 si ves una lnea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces definitivamente deberas borrarlo. Generalmente puedes borrar estas entradas, pero recuerda consultar Google. Para las entradas F1 es recomendable que las busques en Google y as determinar si pertenecen a programas legales. Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue estando bien, tambin puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces podra ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves explorer.exe, slo, entonces est bien, si no, como en el ejemplo de arriba, entonces podra ser troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google primero. Secciones N1, N2, N3, N4 Estas secciones son para las pginas de inicio y motor de bsqueda por defecto de los navegadores Netscape y Mozilla. Estas entradas estn guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 estn guardadas en el archivo prefs.js en el directorio de programa el cul por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs.js. N1 corresponde a la pgina de inicio y motor de bsquedas por defecto de Netscape 4. N2 corresponde a la pgina de inicio y motor de bsquedas por defecto de Netscape 6. N3 corresponde a la pgina de inicio y motor de bsquedas por defecto de Netscape

7. N4 corresponde a la pgina de inicio y motor de bsquedas por defecto de Mozilla. Archivos usados: prefs.js

Seccin O1 Esta seccin corresponde al archivo de redireccin Hosts. El archivo hosts contiene la relacin de IP's con hostnames. Por ejemplo: 127.0.0.1 www.arwinianos.net Si tratas de ir a www.arwinianos.net, revisar el archivo hosts, ver la entrada y la convertir a la direccin IP 127.0.0.1 a pesar de la direccin correcta. Algunos hijackers usan el archivo de redireccin hosts para redirigirte a ciertos sitios en lugar de otros. As, si alguien inserta una entrada como esta: 127.0.0.1 www.google.com y tratas de ir a www.google.com, sers redirigido a 127.0.0.1 la cul es tu propia computadora. Ejemplo del escaneo: O1 - Hosts: 192.168.1.1 www.google.com Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y est guardado por defecto en los siguientes lugares dependiendo del Sistema operativo, a menos que elijas instalarlo en un ruta diferente. Operating System Location Windows 3.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS La localizacin del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath Si ves entradas como las mostradas arriba y no hay una razn especfica por la cul sepas que deban estar ah, puedes borrarlas con seguridad. Si ves que el archivo hosts est localizado en C:\Windows\Help\hosts, eso significa que ests infectado con el CoolWebSearch. Si notas que el archivo hosts no est en

su ruta por defecto de tu sistema operativo, entonces usa HijackThis para arreglar esto que lo ms probable es que haya sido causado por un infeccin. Tambin puedes descargar el programa Hoster, el cul te permite restaurar el archivo hosts por defecto en tu mquina. Para hace eso, descarga el programa Hoster y ejectalo. Cuando abra, has click en el botn "Restore Original Hosts" y luego cierra el programa Hoster. Seccin O2 Esta seccin corresponde con los Browser Helper Objects (o BHO, en espaol algo as como: "Objetos que Ayudan al Navegador" ) . Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por spywares as como programas legtimos como Google Toolbar y Adobe Acrobat Reader. Investige cuando est decidiendo qu quitar y qu no quitar, pues algunos de ellos podran ser legtimos. Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Seccin O3 Esta seccin corresponde a las barras de herramientas del Internet Explorer. Estas son las barras de herramientas (toolbars) debajo de su barra de navegacin y men del IE. Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org para buscar la entrada o el nombre de esta barra de herramientas. Cuando consultes la lista, usa el CLSID, que es el nmero entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen informacin acerca de los BHO. Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo. Cuando arregles este tipo de entradas, HijackThis no borrar los objetos presentados en la lista. Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo listado. Seccin O4 Esta seccin corresponde a las aplicaciones que estn presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automticamente cuando Windows inicia. Las llaves del registro mostradas aqu son vlidas para Windows XP, NT y 2000 (otros sistemas operativos ?). Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves del registro. Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular.

Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario. Llaves del Registro del Arranque: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER. Una completa gua de ubicaciones de arranque y para qu son usadas puede verla aqu: http://www.bleepingcomputer.com/tutorials/tutorial44.html Directorios usados: Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Cuando arreglas las entradas O4, HijackThis no borrar los archivos asociados con esta entrada. Debers borrarlos manualmente, usualmente reiniciando lo mquina y entrando en modo a prueba de fallos. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrar los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces ser borrado.

Seccin O5 Esta seccin corresponde a no poder acceder a las opciones de IE en el Panel de Control. Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.ini la cul est guardada (al menos para Windows XP) en C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles. Archivos de usuario: control.ini Ejemplo de la lista O5 - control.ini: inetcpl.cpl=no Si ves una lnea parecida como la de arriba quiz sea seal de que un software est tratando de dificultar el cambio de las configuraciones. A menos que se conozca una razn especfica, como que el administrador configur la poltica o SpyBot S&D coloc una restriccin, puedes usar HijackThis para arreglarlo.

Seccin O6 Esta seccin corresponde a una rstriccin, por parte del administrador, de hacer cambios en las opciones o en la pgina de inicio del Internet Explorer por medio de ciertas configuraciones en el registro. Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Estas opciones slo aparecen si su administrador las configur a propsito o si usted us la opcin "SpyBot Home Page and Option Lock" de la seccin Inmunizar del SpyBot. Seccin O7 Esta seccin corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro. Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Ejemplo de Lista O7 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1 Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propsito, por lo que arreglarlo con HijackThis puede romper normas corporativas. Si eres el administrador y esta opcin ha sido activada sin tu permiso, entonces usa HijackThis para arreglarlo. Seccin O8 Esta seccin corresponde a los objetos extras encontrados en el Men Contextual del Internet Explorer. Esto significa que vers las opciones que normalmente ves cuando das click derecho en alguna pgina web que ests viendo en tu navegador. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Ejemplo de Lista O8 - Extra context menu item: &Google Search res://c:\windows\GoogleToolbar1.dll/cmsearch.html El listado para estas entradas mostrar los objetos que aparecen en el men contextual cuando das click derecho, y qu programa es usado cuando das click en esa opcin. Algunas, como "Browser Pal" deberan ser borradas siempre, y el resto deberas buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legtimo que podramos encontrar ah sera la Google Toolbar. Cuando arregles este tipo de entradas, HijackThis no borrar los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Seccin O9 Esta seccin corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (tems) en el men Herramientas del IE que no son parte de la instalacin por defecto. Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones Ejemplo de la Lista O9 - Extra Button: AIM (HKLM) Si no necesitas estos botones o los tems del men o los reconoces como malwares, puedes arreglarlas con seguridad. Cuando arregles este tipo de entradas, HijackThis no borrar los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas). Seccin O10 Esta seccin corresponde a los Hijackers del Winsock, tambin conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementacin Winsock 2 en tu computadora. Desde que los LSPs estn encadenados, cuando el Winsock es usado, los datos tambin son transportados a travs de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el trfico que se genera en tu conexin a Internet. Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet. Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto despus de borrar el LSP problemtico. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cul puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberas consultar a un experto cuando arregles estos errores. Tambin puedes usar LSPFix para arreglar esto. SpyBot generalmente puede arreglar esto pero asegrate de que tienes la ltima versin, ya que las antiguas tienen problemas. Tambin hay una herramienta diseada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no vlidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html). Seccin O11 Esta seccin corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaa de Opciones Avanzadas de Opciones de Internet en el Internet Explorer. Si buscas en el men de Herramientas >> Opciones de Internet vers la pestaa Opciones Avanzadas. Es posible que aparezca ah un nuevo grupo de opciones agregando una entrada bajo una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Ejemplo de la Lista O11 - Options group: [CommonName] CommonName De acuerdo con Merijn, creador de HijackThis (y tambin de CWShredder, StartupList, etc.), slo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberas usar Google para investigar un poco. Seccin O12 Esta seccin corresponde a los Plug-ins para Internet Explorer. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legtimos disponibles como por ejemplo el visor de archivos PDF. Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Muchos de los plug-ins son legtimos, as que deberas buscar en Google aqul que no reconoces antes de borrarlo. Un conocido plug-in que deberas borrar es el Onflow plug-in que tiene la extensin de .OFB. Cuando arregles este tipo de entradas con HijackThis, HijackThis querr borrar el archivo listado. Hay ocasiones en que el archivo quiz est en uso incluso si el Internet Explorer est cerrado. Si el archivo contina existiendo despus de que lo hayas arreglado con HijackThis, es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado. Seccin O13 Esta seccin corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuracin en Windows que especifca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu eleccin editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irs a http://ehttp.cc/?www.google.com.mx, el cul es en realidad el sitio web para CoolWebSearch. Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPr efix\ Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/? Si ests experimentando problemas similares al problema de arriba, deberas correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu mquina. Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.

Seccin O14 Esta seccin corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venan por defecto. Ese fichero est guardado en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que sern usadas. Cuando reseteas una configuracin, se leer el fichero y cambiar las configuraciones que estn en el archivo. Si un hijacker cambia la informacin en ese fichero, entonces te estars reinfectando cuando resetees las configuraciones, porque leer la informacin incorrecta del fichero iereset.inf. Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Por favor est al tanto de este fichero (en dado caso de que aparezca en el log), que es posible que el cambio sea legtimo, que lo haya modificado la manufacturera de computadoras o el administrador de la mquina. Si no reconoces la direccin entonces deberas arreglarlo. Seccin O15 Esta seccin corresponde con los sitios indeseados en la Zona de Sitios de Confianza. La seguridad de Internet Explorer est basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en trminos de scripts y aplicaciones que pueden correr mientras se est usando esa zona. Es posible agregar dominios a zonas particulares, as que si ests navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirs que se ejecuten scripts, algunos potencialmente peligrosos, de algn sitio web. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net Entonces, si alguna vez ves algo aqu generalmente debes removerlo a menos que reconozcas la URL como una que tu compaa use. La entrada ms comn que encontrars aqu ser free.aol.com, el cul puedes arreglar cuando quieras. Seccin O16 Esta seccin corresponde a los objetos ActiveX, tambin conocidos como Downloaded Program Files (Archivos de Programa Descargados). Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. Estos objetos estn guardados en C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cul es una cadena larga de nmeros entre llaves {}. Existen muchos controles ActiveX legtimos como este de ejemplo, el cul es un visor iPix. Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) http://www.ipix.com/download/ipixx.cab Si ves nombres o direcciones que no reconozcas, deberas buscar en Google para ver si son o no legtimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrs mayor problema que descargarlos

nuevamente cuando entres de nuevo a la pgina desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de compaas que usan objetos ActiveX as que ten cuidado. Siempre borra las entradas O16 que tengan palabras como sex, porn, dialer, free, casino, adult, etc. Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar a travs de su base de datos para localizar objetos ActiveX peligrosos. Usa SpywareBlaster para proteger tu computadora de spyware, hijackers y malware. Cuando arregles entradas O16, HijackThis intentar borrarlas del disco duro. Normalmente esto no ser problema, pero hay ocasiones en que HijackThis no ser capaz de borrar el archivo. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces brralo. Seccin O17 Esta seccin corresponde al dominio Lop.com. Cuando tu vas a un sitio web usando un dominio, como www.arwinianos.net, en lugar de una direccin IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una direccin IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu mquina para que apunten a sus propios servidores, donde pueden dirigirte a cualquier sitio que ellos quieran. Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te redirijan al sitio de su eleccin. Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compaa que te proporciona conexin a Internet, y los servidores DNS no pertenecen a tu ISP o compaa, entonces deberas usar HijackThis para arreglar esto. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qu compaa le pertecen. Seccin O18 Esta seccin corresponde a los protocolos extra y protocolos de hijackers. Este mtodo es usado para cambiar los controladores de protocolo estndar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora enva y recibe informacin. Llaves del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter HijackThis primero lee la seccin de protocolos del registro en busca de protocolos no-estndar. Cuando encuentra uno muestra el CLSID para mayor informacin as como la ruta del archivo. Ejemplo de Lista O18 - Protocol: relatedlinks - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

Los ms comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis. Usa Google para investigar si los archivos son legtimos. Tambin puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos. Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a ste. Deberas de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente. Seccin O19 Esta seccin corresponde al hijacker de las hojas de estilo del usuario. Una hoja de estilo es una plantilla para saber cmo mostrar las capas, colores y fuentes que se visualizan en una pgina HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cul fue diseada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial. Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo. Cuando arregles este tipo de entradas, HijackThis no borrar los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos. Seccin O20 Esta seccin corresponde a los archivos que se cargan a travs del valor del registro AppInit_DLLs. El valor del registro AppInitDLLs contiene una lista de dlls (libreras) que se cargarn cuando user32.dll est cargando. Muchos ejecutables de Windows usan la librera user32.dll, lo que significa que cualquier DLL que est listada en la llave del registro AppInit_DLLs tambin ser cargada. Esto hace que sea muy difcil remover la DLL ya que estar cargando con mltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll tambin es usado en procesos que inician automticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs sern cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a s misma antes que tengamos acceso al sistema. Este mtodo es conocido al ser usado por una variante de CoolWebSearch y slo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver ms fcil esta DLL. Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legtimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aqu. Usa Google para investigar si los archivos son legtimos. Tambin puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O20 List Cuando arregles este tipo de entradas, HijackThis no borrar los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos. Seccin O21 Esta seccin corresponde a los archivos que se cargan a travs de la llave del registro ShellServiceObjectDelayLoad. Esta llave contiene valores similares a los de la llave Run. La diferencia es que sa en lugar de apuntar al archivo mismo, sta seala al InProcServer del CLSID, el cul contiene la informacin acerca del DLL en particular que se est usando. Los archivos bajo esta llave son cargados automticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, sta siempre se va a cargar, as tambin cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervencin humana. Un hijacker que usa el mtodo puede reconocerse por las siguientes entradas: Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObj ectDelayLoad Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll HijackThis usa una lista blanca interna para no mostrar las entradas legtimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estndar y deberas considerarlo como sospechoso. Como siempre has una bsqueda en Google de cualquier DLL listada en estas llaves. Tambin puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O21 List Cuando arregles este tipo de entradas, HijackThis no borrar los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos. Seccin O22 Esta seccin corresponde a los archivos que se cargan a travs del valor del registro SharedTaskScheduler. Las entradas en este registro se ejecutan automticamente cuando inicias Windows. A la fecha slo CWS.Smartfinder usa esta llave.

Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - c:\windows\system32\mtwirl32.dll

EJEMPLO
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:57:41 p.m., on 24/03/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\Application Updater\ApplicationUpdater.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exe C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Archivos de programa\Java\jre6\bin\jqs.exe C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe C:\Archivos de programa\Realtek\RTL8187 Wireless LAN Utility\RtWLan.exe C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\msiexec.exe C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2102301 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vnculos R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) R3 - URLSearchHook: PHPNukeES Toolbar - {76c9124c-a245-4453-9bf6-ae2c6516600c} C:\Archivos de programa\PHPNukeES\tbPHPN.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} C:\Archivos de programa\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B4614BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: PHPNukeES Toolbar - {76c9124c-a245-4453-9bf6-ae2c6516600c} - C:\Archivos de programa\PHPNukeES\tbPHPN.dll O2 - BHO: Windows Live Aplicacin auxiliar de inicio de sesin - {9030D464-4C02-4ABF8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} C:\Archivos de programa\Spyware Doctor\BDT\PCTBrowserDefender.dll O3 - Toolbar: PHPNukeES Toolbar - {76c9124c-a245-4453-9bf6-ae2c6516600c} C:\Archivos de programa\PHPNukeES\tbPHPN.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [RoxWatchTray] "C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ISUSPM] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Actualizar la licencia de ESET.lnk = C:\Archivos de programa\ESET\MiNODLogin\MiNODLogin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = C:\Archivos de programa\Realtek\RTL8187 Wireless LAN Utility\RtWLan.exe O8 - Extra context menu item: E&xportar a Microsoft Excel res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-80815663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: Barra de bsqueda de Encarta - {B205A35E-1FC4-4CE3-818B899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UN O1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site. cab?1257288328593 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Application Updater - Spigot, Inc. - C:\Archivos de programa\Application Updater\ApplicationUpdater.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 9\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de

programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

Unidad 9. Avanzado.

El Registro de

Windows

Bsqueda

Como hemos comentado anteriormente el Registro de Windows es un archivo donde encontramos almacenada la informacin sobre el hardware, software, etc del sistema. Manipular el Registro de Windows puede afectar al rendimiento del sistema, por lo tanto hay que ser prudente y actuar slo cuando conozcamos bien lo que hacemos. En anteriores versiones de Windows poda estar ms justificado modificar a mano el Registro de Windows, con WindowsXP lo ms apropiado es utilizar las herramientas para restaurar el sistema a partir de los puntos de restauracin creados previamente. Todo esto lo veremos en otro tema ms adelante. Ahora vamos a dar unas nociones para conocer el Registro de Windows y mostrar algn caso en que puede estar justificado modificarlo.

El Editor de Registro
Para desplegar En el cuadro el editor de de dilogo Registro pulsa en Inicio y selecciona que se despliega escribe regedit la y opcin pulsa Ejecutar. Aceptar.

Esta es la ventana del editor de Registro, en la parte izquierda aparecen las claves organizadas, por ejemplo en HKEY_CURRENT_MACHINE podemos encontrar informacin sobre el software del sistema, en HKEY_USERS podemos ver informacin sobre los usuarios del sistema. Hay algunos motivos por los cuales puede ser interesante conocer el Registro de Windows XP, vamos a citar dos a modo de ejemplo. Cuando desinstalamos un programa pueden quedar residuos sin borrar en el registro, por algun fallo en el proceso de desinstalacin. Esto puede causar que al arrancar el ordenador, el sistema intente arrancar algun

proceso asociado al programa eliminado y dicho proceso ya no exista, en estos casos podemos intentar eliminar a mano del registro las anotaciones que hacen que se intenten ejecutar dichos procesos inexistentes. Otro caso en el que puede ser til modificar el registro es debido a los virus, ya que muchos virus modifican el registro de Windows para infectar el sistema. En estos casos no basta con borrar los archivos del virus, tambien hay que borrar las anotaciones del registro que hacen que el virus se ejecute. A continuacin veremos un caso prctico que muestra cmo desinfectar nuestro ordenador del virus Sircam: Pasos a seguir para desinfectar el sistema del virus Sircam:

A. Realizar una copia del registro de Windows Me 1. hacemos una copia del archivo REGEDIT.EXE con el nombre REGEDIT.COM, para ello iremos al botn Inicio y seleccionaremos la opcin Programas y dentro de la opcin Accesorios seleccionamos la opcin MS-DOS. 2. Escribe cd c:\windows 3. Escribe copy regedit.exe regedit.com y pulsa intro 4. Una vez hayamos copiado el archivo regedit escribiremos exit para cerrar la ventana de MS-DOS B. Ahora pasaremos a modificar el archivo regedit.exe. 1. Pulsar el botn Inicio y despus pulsar Ejecutar. 2. Escribe regedit.com y pulsa Aceptar 3. Una vez abierto el editor del Registro de Windows Me desplegaremos la carpeta HKEY_CLASSES_ROOT, a continuacin desplegamos la carpeta exefile y dentro de esta desplegamos la carpeta shell y por ultimo open. 4. Selecciona la carpeta command C. Modificar la carpeta command 1. Despliega el men Edicin y selecciona Modificar 2. Si encuentras el valor "c:\recycled\Sirc32.exe" "%1"%* borralo y escribe en su lugar "%1" %* despus pulsa Aceptar. 3. Despliega la carpeta HKEY_LOCAL_MACHINE, despliega SOFWARE y selecciona la carpeta Sircam y con el botn derecho del ratn pulsa eliminar. 4. Despliega la subcarpeta Microsoft y despus despliega la carpeta Windows y por ltimo despliega la carpeta CurrentVersion y selecciona la carpeta llamada RunServices. 5. Una vez situado en la carpeta RunServices elimina de la ventana de la derecha el valor Sircam o la referencia Driver32=c:\windows\system\scam32.exe 6. Elimina el archivo REGEDIT.COM escribiendo en la ventana de Interfaz de comandos del regedit.com y pulsa intro. 7. Una vez hemos realizado los pasos comentados anteriormente le indicaremos a Windows Me que deseamos mostrar todos los archivos, para ello desplegaremos el men Herramientas del Explorador de

Windows y de la pestaa opciones de carpeta seleccionamos la opcin mostrar todos los archivos. 8. Buscar los ficheros scam32.exe y sirc32.exe y eliminalos 9. Renombra el fichero run32.exe, para ello en la ventana de ms-dos escribe del rundll32.exe 10. Escribe en la pantalla de Ms-dos ren run32.exe rundll32.exe y pulsa intro. D. Desde la ventana de MS-Dos teclea: 1. cd \ 2. cd recycled 3. attrib *.* -H -S -R 4. del *.* 5. cd \ E. Por ultimo edita el archivo autoexec.bat y elimina cualquier referencia a sirc32.exe y guarda los cambios

Captulo 39:

El Registro de Windows

Ofertas Dell en Per Computadoras, Laptops y Notebooks. Colores Intensos y

Tecnologa Intel Dell.com/peEnlaces patrocinados

Qu es? Es una muy importante base de datos que contiene el registro de miles de configuraciones de Windows. Entre otras cosas contiene: la informacin de la apariencia del Escritorio, un registro de los perifricos instalados en el sistema y sus controladores y la configuracin de la mayora de los programas de la computadora. Cualquier error en esta base de datos tendr serias consecuencias en el funcionamiento del sistema, incluyendo el que Windows sencillamente no arranque. Por sta razn, Windows hizo difcil de encontrar el Editor del Registro, el cual permite hacer cambios manuales al Registro. En caso de querer hacer algn ajuste al sistema, preferentemente hay que hacerlo en el Panel de control, esa es la manera ms segura. El editar el Registro manualmente es solamente para aquellos que estn seguros de lo que estn haciendo. Entrando al Registro Para entrar el Editor del Registro haz clic en Inicio, Ejecutar. En la caja de dilogo Ejecutar, en el campo Abrir, escribe: regedit y haz clic en Aceptar.

Se abrir la ventana del Editor del Registro que es semejante a la ventana del Explorador de Windows y est dividida en dos ventanas ms pequeas. La ventana de la izquierda muestra el icono de Mi PC, al hacer un doble clic sobre l nos mostrar las carpetas que Windows llama las Claves H (HKEYS), la otra ventana est en blanco, pero se usa para ver el contenido de las claves. Las Claves son semejantes a directorios ya que contienen otras claves o carpetas y son las siguientes: a) HKEY_CLASSES_ROOT: contiene configuraciones que afectan a todo el sistema. Si hay mltiples usuarios registrados en el sistema, cualquier cambio en sta Clave afectara a cada usuario. Sus configuraciones incluyen informacin acerca de los tipos de archivos y la extensin de sus archivos. Tambin contiene informacin acerca de OLE (Object Linking and Embedding). Esto permite crear un objeto en un programa, como una grfica en Microsoft Excel y colocarla en otro programa como Microsoft Word. b) HKEY_CURRENT_USER: es ms bien un icono que una Clave, tiene que ver con la carpeta de la Clave USERS de quien est usando la computadora. Contiene informacin ms detallada de la configuracin del usuario actual. c) HKEY_LOCAL_MACHINE: mantiene un registro e informacin de todo lo que se halla instalado en la computadora. Es una base de datos maestra con la informacin de cmo usar cada programa o dispositivo y la configuracin de cada componente. Contiene la configuracin completa de todo el sistema. d) HKEY_USERS: tiene la informacin acerca de cmo Windows y cada programa individual del sistema est personalizado para cada usuario. Mantiene un registro de absolutamente todo, desde el fondo de pantalla preferido hasta la pgina de inicio del Explorador de Internet. La mayora de la computadoras tienen un solo usuario para lo cual sus configuraciones estarn en la carpeta default. Si por otra parte, hay varios usuarios registrados en la computadora, cada uno de ellos tendr su propia carpeta. Conteniendo sus propias preferencias de configuracin. e) HKEY_CURRENT_CONFIG: sta Clave tiene que ver con la informacin de la Clave MACHINE, en lo que tiene que ver con la configuracin de pantalla (resolucin, color, etc.), tambin cul de las impresoras instaladas es la impresora de inicio. Mantiene el registro de la configuracin actual. f) HKEY_DYN_DATA: quiere decir informacin dinmica. La informacin que se halla aqu no es meramente esttica, sino que cambia cada vez que el sistema inicia. Almacena informacin de cada componente de la computadora, su estatus actual y sus controladores, misma que se halla en forma hexadecimal. Una manera segura de hacer cambios en el Registro es la siguiente: - Selecciona la carpeta del Registro que quieres modificar. - Haz clic en Registro, Exportar archivo del registro.

- En Exportar archivo del Registro de configuraciones , Guardar en, selecciona en donde (generalmente Mis documentos) se guardar la copia original de la carpeta del Registro que quieres modificar.

Direccion de Marketing Impulsa tu Carrera con el Master en Direccion de Marketing. onlinebschool.es/Dir_MarketingEnlaces patrocinados - En Nombre de archivo, escribe el nombre del archivo con que guardars la copia original de la carpeta del Registro (que tenga relacin con la Rama exportada). - Asegrate de activar la casilla Rama seleccionada y haz clic en Guardar. - Ahora haz los cambios que quieras y re-inicia la computadora. - Si algo no sali como queras (y puedes volver al Registro) haz clic en Registro, Importar archivo del registro. - En Importar archivo del Registro de configuraciones , selecciona la copia original del archivo del registro que quieres restaurar y haz clic en Abrir. Nota: es una buena costumbre hacer una COPIA COMPLETA del Registro ANTES de hacer CUALQUIER cambio. En caso de no iniciar el sistema (Win 98) - Inicia el sistema (puede ser necesario usar tu disco de inicio). - En DOS escribe: scanreg/restore. - Aparece una pantalla azul con las ltimas cinco copias del Registro, selecciona la ms actual lista. - Cuando se indique presiona Enter para re-iniciar. Recomendaciones para una computadora lenta (falta de memoria) 1.- Cierre las aplicaciones (programas) que no est utilizando 2.- Divida su trabajo en partes ms breves 3.- Desactive la opcin Deshacer cuando la aplicacin lo permita 4.- Si tiene dos discos duros cambie el archivo de intercambio (Swap) al disco ms rpido 5.- Ajuste el tamao del archivo de intercambio (memoria virtual en disco): Panel de Control/Sistema/Rendimiento/Memoria virtual.