Si no puedes deslumbrar con tu sabiduría, desconcierta con tus gilipolleces.
Anónimo
USUARIO & PREFERENCIAS

21 de Enero, 2018, 20:55:48

Noticias: "Es verdad, nos superan en número. Pero recuerden, no es el tamaño lo que define la batalla, es la batalla lo que define el tamaño".
-Anubis "Doggie" Cruger


FORO
+  .:: Xarw.Net ::.
|-+  Foros
| |-+  Seguridad
| | |-+  ¿Problemas en tu Pc?
0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: ¿Problemas en tu Pc?  (Leído 2809 veces)
NekroByte
Samurai
*****
Desconectado Desconectado

Mensajes: 1,213



¿Problemas en tu Pc?
« en: 10 de Enero, 2005, 22:14:10 »

Si vienes a este foro lo más probable es que vengas porque tienes problema en tu computadora, para ser más específico: problemas de software, pues problemas tenemos todos, y no sólo de software, sino de Hardware, pero si entras a este foro lo que adivino que tienes es un problema con un software que piensas que "se coló" en el sistema, ya sea un virus, un spy, o generalizando: un Malware, ¿no es así? Aunque también pudiste ser guiado(a) por otros motivos esto es lo más frecuente.

Como verás en este foro se tratan temas en los que se incluye o sugiere el manejo del programa Hijackthis más que nada, y el DiskCleaner, es mejor que te los descargues, porque, aunque no tengas problemas latentes en tu equipo, generalmente sí tienes al menos algo que, aunque no genere problemas ni descontentos, sólo hace espacio en tu memoria y es mejor eliminarlo. Pero, ¿qué programas debes eliminar?

Primero que nada, descarga el programa Hijackthis 1.99 que pesa lo mismo que su versión: 199 Kb y lo puedes descargar yendo a este enlace: http://www.xarw.net/descargas/pafiledb.php?action=file&id=26 . Y el DiskCleaner, pues, no trabajo mucho con él pero este foro sí, para descargarlo no sugiero este enlace porque no es seguro, pero en fin, yo lo descargué de ahí: http://www.uptodown.com/?contenido=descargautd&p=1180 . Ahora ya tienes el material mínimo necesario para mantener a flote tu máquina.

¿Cómo usar el Hijackthis?

Esta es una herramienta de aprendizaje empírico, del cuál no necesitas un manual, sólo garabatear algo de inglés y conocer el significado de la palabra Cognado, de modo que sólo voy a dar algunos consejos para trabajar de una forma más segura con dicho programa:

   * Deja un espacio exclusivo para él, no necesita instalador (afortunadamente), así que si lo descargas con extensión .ZIP ó .RAR no lo ejecutes directamente de ahí, luego veremos por qué. Crea una carpeta especial para él, es lo más recomendable, aunque yo lo tengo en una carpeta donde comparto otros programas, no me ocasiona ningún inconveniente, pues yo sólo me limito a usar el Hijackthis y listo, pero tú no. Por ejemplo puedes ubicarlos en la unidad C:, dando comu resultado una ruta de nombre C:\Hijackthis\Hijackthis.exe, esto es por la cuestión de los cakups, puesto que si requieres "restaurar" las entradas a un scaneo enterior puedes hacerlo con la opción del Hijackthis para restaurar a base de Logs, pero si lo haces desde el ZIP (un muy mal hábito) no tienes esa opción, pues para los backups el programa crea una carpeta dentro del directorio en el que se encuentra, llamada BackUp, es por esto que se aconseja mantener el Hijackthis en una carpeta propia, buen piede ser C:\~\Escritorio\Hijackthis\ para que la carpeta de los backups se cree en ese directorio, y si de plano no te quieres mortificar tanto para ejecutar el programa entonces haz lo que yo: ancla en hijack al menú inicio, yo tengo XP y lo único que hago es Inicio / Hijackthis y listo, comienzo a scanear, por eso para reparar las entradas sólo ocupo unos 10 segundos.
   
   * Manten activada la opción de los Backups. En caso de que falles en la reparación de algún scaneo ya sea porque el programa siempre sí lo requeriste, pues ahí tienes la solución, aunque eso implica que por cada scaneo de genere otro archivo en el directorio de BackUps antes mencionado.
   
¿Cómo personalizo mi Hijackthis?

   El Hijackthis es un programa que además de tener la dicha de no necesitar instalador, permite configurar directamente su accesibilidad mediante el botón Config, pues el programa no es sólo de Scanear y eliminar, también permite mantener configuraciones para hacer, todo depende de la comodidad, primero abrimos el programa, si está recien descargado al ejecutarlos nos mostrará una ventana con un conjunto de opciones representadas por botones de comando para elegir alguna acción con que iniciar el trabajo del programa. Si eres de las personas que apenas se inician en esto del Hijackthis y vienen a postear su log te conviene la primera que es Do a Scan System and Save a Log, pues de esta forma el programa hará el escaneo correspondiente y te aparecerá un cuadro para guardar el log, esto sirve para que apenas y le des en Guardar y te abrirá el log recien hecho pidiéndote que lo copies y lo pegues en arwinianos.net, no tiene caso que conserves el log después de haberlo posteado no vas a necesitarlo, pues ya tendrás tu BackUp que más adelante verás cómo hacerlo, y para reparar pues basta con volver a escanear otra vez porque tal vez y hasta ya tienes Xware nuevo.
   
   O usa Do Scan System Only en caso de que sólo quieras Scanear y reparar y que no necesites salvar el log, esto puede servir por si al siguiente día que posteaste tu log ya se te sugirió cuál puedes borrar, para esto sólo escaneas y reparas, ya no es necesario salvar ningún log, además tienes tu BackUp (ya comiendo a aburrir con mi santo BakcUp, ¿verdad?). Imagina que ya sabes activar la opción de los... tendré que repetirlo... ¡BackUps... Ups... Ups!, esto es para que selecciones un "BackUp" y restaures las entradas de tu registro, cosa poco frecuente. El botón de Open the Misc Tool Selection es para entrar a lo que es el Panel de Control, las dos últimas son para abrir una especia de Portal del programa e Iniciar el Jihackthis en modo simple, respectivamente.
   
   
Sobre el Panel de Control de Hijackthis

   Accedes a ella desde el botón "Open the Misc Tool Selection" en el marco de Inicio o "Config" desde el área de escaneo. Mejor para no alargar las cosas te voy a decir cómo mantengo mi configuración en el Programa:
   
   En lo que es Main (estamos en el Panel de Control) tengo desactivada la casilla de "Show intro frame at StartUp" puesto que no necesito el marco inicial del que hablé debido a que sólo escaneo y reparo; activo "Include Running process in logfiles" porque tengo entendido que este es el medio más común en los spywares, por eso es indispensable mantenerlo activo; la siguiente, "Ignore non-standar but safe domains in IE(e.g.go.msn.com, microsoft.com), uhm, esa si quieres activala, yo por mi parte quiero un escaneo más completo.
   
   [ * ]Mark everything found for fixing after scan ---> Marca todas las entradas automáticamente después de escanear.
   [ * ]Make BackUps before fixing items ---> Aquí termina mi terquedad sobre crear BackUps.
   [   ]Confirm fixing & ignoring of items (safe mode) ---> Muestra un mensaje de confirmación antes de borrar entradas, pero se supone tenemos un --->BACKUP<--- si algo sale mal.
   
   Las páginas predeterminadas para realizar ciertas acciones como activar el servicio de búsqueda en internet, pues, eso es desición de cada uno, pero hasta ahora no he podido borrar una sóla :-S.
   
   En la ficha de [Ignore List] se encuentran las entradas de registro cuya fiabilidad está (o debería) comprobada, yo pude ahí las entradas que sé que nunca voy a borrar, como lo són una opción en el menú desplegable de internet explorer, un control ActiveX de Hotmail (que tal vez luego borre) y los servicios de Inicio, son entradas que al mostrar la lista de entradas de registro del escaneo, no se visualizarán por ser entradas de confianza: aquí va mi estrategia: Puestas las entradas de confianza en donde deben, omitiendo el formulario inicial y activando la opción de "Mark Everything found for fixing after scan" va a dar como resultado que cuando inicie Hijackthis lo único que voy a hacer es presionar el botón de Scan y automáticamente aparecerán las entradas que no son de confianza, osea, programas no deseados... ¡todos enmarcados ya y esperando a que de en Fix Checked y borrarlos! ¡Más que sencillo! Y puedes hacer aun más flexible el servicio si lo que anclas al menú inicio es un acceso directo, siendo así te vas a las propiedades del acceso y lo configuras para que se active presionando determinada combinación de teclas, por ejemplo Ctrl + Alt + H, esto conducirá a un simple Ctrl + Alt + H, Enter y Enter para eliminar los programas que se auto adhieren.
   
   Pero ¡aguas! que esto sólo es en mi caso, ya que si no sabes qué entradas son buenas y cuáles malas aun no te conviene añadir a la lista segura algunas, ni te conviene autoseleccionar todas al escanear.
   
   Si lo único que sabes es que debes postear un log para recibir ayuda, te conviene mantener la ventana de inicio de Hijackthis para que al entrar presiones el botón de Do a System Scan and Save a logfile, así presionándolo tienes otro proceso automático en el que sólo tendrás que presionar el botón ya antes dicho y dar clic en "Save" a la ventana de diálogo para que te muestre el log, lo copies y lo pegues en un tema nuevo o como respuesta a uno según sea el caso.
   
   Las opciones de Misc Tools no me molestaré en describirlas, puesto que son de entendible apariencia, sólo comento que Open Process Manager puede resultar una opción muy útil a la hora de matar procesos u obtener información sobre ellos, esta herramienta la podemos encontrar en el intérprete de comandos con tskill.exe, pero creo que es más rápido y cómodo desde el Hijackthis.
   
   
Procesos.

     La principal forma de saber qué aplicaciones se están sucediendo en el Sistema es mediante el Administrador de tareas, o en este caso sería más correcto decir "Administrador de Procesos" pues el sector en que trabajamos es con los procesos, ya que si un formulario está oculto o se ha programado para que no se visualize en el panel de Aplicaciones simplemente no se verá, los únicos procesos visibles en el Panel de Aplicaciones son aquellos que tengan una ventana con la interfaz predeterminada de Windows, es decir, que tengan Barra de título, si te has fijado bien las únicas aplicaciones que aparecen en la Pestaña de Aplicaciones tienen una barra de título, en cambio en la ficha Procesos se registran todos los componentes actuales que estén en uso, aunque si bien sigues biendo foros sobre informática verás a newbies preocupados mortalmente por conseguir un código para que sus aplicaciones no se registren en la ficha de procesos, pero bueno, es una forma de aprendizaje y tengo entendido que ese código si existe, pero el tema no es ese.
     
     Los procesos activos se muestran visibles en el adminostrador de tareas, de modo que al ejecutar un programa o servicio, se vea o no en la pantalla, genera un proceso que podemos ver en el administrador de tareas, si ejecutas el block de notas podrás ver con Ctrl + Alt + Supr el Administrador de tareas, vas a la ficha Procesos y verás un proceso llamado notepad.exe, pero cuidado porque los procesos no van a tener el nombre oficial de la aplicación, sino el nombre interno, es pues, que si abres Block de Notas te va a aparecer notepad.exe, si estás descargando actualizaciones para windows el archivo será wuauclt.exe, y ahí es donde varios usuarios pierden, pues hay servidores o programas maliciosos que se ponen update.exe para que la víctima (uhmm, bueno, "para que TÚ") se crea que son de Windows UPDATE, pero no es así.
     
     Si manoseas seguido la carpeta de system32 y aprendes a usar el editor de registros y de igual manera te pasas merodeando en sus entradas, se aprende mucho, con el tiempo y siguiendo esas costumbres puedes llegar a desarrollar técnicas que agilicen tu intuición de forma tal que cuando veas un proceso sepas si pertenece o no a TU lista de aceptados, esta técnica igual te puede ser útil al momento de elegir en el Hijackthis las entradas que vas a mandar a la lista de confianza, osea, las entradas que el programa va a omitir a la hora de mostrar los resultados.
     
     Primero, los programas que seguramente se cargan en tu Pc al iniciar son los siguientes:
     
               * explorer.exe ---> Propietario
               * spoolsv.exe ---> SYSTEM
               * cidaemon.exe ---> SYSTEM
               * cisvc.exe ---> SYSTEM
               * svchost.exe ---> SERVICIO LOCAL
               * svchost.exe ---> Servicio de Red
               * svchost.exe ---> SYSTEM
               * svchost.exe ---> SYSTEM
               * hkcmd.exe ---> SYSTEM, me parece.
               * lsass.exe ---> SYSTEM
               * services.exe ---> SYSTEM
               * winlogon.exe ---> SYSTEM
               * csrss.exe ---> SYSTEM
               * smss.exe ---> SYSTEM
               * System ---> SYSTEM
               * Proceso inactivo del Sistema ---> SYSTEM

     La verdad es que yo sólo conservo la mitad, puesto que tengo una memoria RAM de 128 MB y hay programas que no los necesito, como el hkcmd.exe que lo quité del inicio hace tanto tiempo que ya ni me acuerdo a qué grupo pertneece, pero debe ser SYSTEM por estar en la carpeta raiz de Windows. Bueno, también es lógico que tendrás algunos otros más, por ejemplo, te va a aparecer taskmgr.exe que indica que tienes el Administrador de Tareas en acción... ¡OBVIO!, también si tienes el MSN activado, o aunque sea en la barra de tareas por el reloj, te va a aparecer msnmsgr.exe, en fin, procesos que con el tiempo tienes que ir aprendiendo a reconocer.
     
     Por lo pronto vas a tener que capturar procesos que sean malos para el equipo, osea, programas en ejecución que NO SEPAN ENGAÑAR, porque la verdad, las palabras que voy a citar, son las mismas que pienso usar para expresarme en un artículo que haré dentro de unos meses para mi página web, y es que... "yo, al contrario de odiar a los virus y sus creadores, estoy en Pro de ellos, pues, demuestran la fragilidad tanto humana como sistemática que existe, nada en esta vida es seguro, ni nunca existirá un sistema impenetrable, puesto que, como diría alguien alguna vez; 'si la mente humana fue capaz de crear la seguridad, pues con mucha más razón será capaz de destruirla', o lo que dijo recientemente Kevin Mitnick a unos expertos en seguridad sobre una empresa en la que trabaja o trabajaba: 'entre más protegido esté un sistema, más atractivo será para los Hackers'. Yo recientemente me infecto de programas, por ejemplo, mientras hacía este artículo, de hecho hace una media hora de escribir estas palabras, me acabo de librar del Sasser, que por segunda vez me afectaba haciéndome conectar como 20 veces a internet para lograr descargar el actualizador; pero, lo que más me disgusta, lo que más me molesta y me asquea de los malwares es... ¡que creen que no me doy cuenta!, osea, no es por hacerme el que sabe mucho, pero ¡ohhh, de repente mi computadora sufre un ataque de epilepsia y se cuelga, de repente me aparece en mi lista de Procesos unos llamados soybueno.exe, billgateseselmejor. exe, nohagodaño.exe... update.exe... msupdates.exe!, ¡por favor, si van a hacer algo, programadores, háganlo bien!, de hecho hay sólo como cuatro procesos que me han aparecido y que sí me cuesta algo de esfuerzo notarlos, puesto que se saben camuflar mejor, por ejemplo, un archivo llamado systerm.exe, como tengo configurada mi resolución lo más que puedo, no distingo bien esa anormalidad y algunas veces lo he dejado, otro: smsss.exe, ese es el mejor que me ha tocado, o un svchost.exe, que no era del sistema, porque generamente tengo cuatro que cuando los quiero finalizar no se pueden, pero este sí".
     
     Tú puedes tener hasta 10 svchost.exe, pues son una especie de conexiones a internet, pero no todos te sirven, tal vez unos sean para extraer información sobre algún lugar que estés visitando, conectar a un sitio de otra forma distinta, ¡qué se yo!, pero hay otros que los borras y no pasa nada en tu sistema, no se desconecta nada... excepto aquello.
     
     Una característica de los llamados "procesos falsos" o "procesos camaleones" (estos términos los acabo de inventar ahora 8-0, es que "intentan ponerse nombres que nos recuerden a Windows", y como sabemos que hay unos conjuntos de caracteres que se asocian mucho con Windows, tales como lo son 32, win, lsass, update, ss, pues de ahí derivan conclusiones para sacar sus propios nombres. Aquí muestro algunos ejemplos verídicos de malwares que generan tanto entradas como procesos o pequeñas aplicaciones usando las combinaciones ya antes mencionadas:
     
               32:
                    * win32.exe
                    * lsass32.exe
                    * smlog32.exe
                    * sycap32.exe
                    * services32.exe
               win:
                    * win32.exe
                    * win.exe
                    * winupdate.exe
                    * winupdates.exe
                    * winlogin.exe
                    * winpopup.exe
               ss:
                    * lsass.exe ---> lsass32.exe, lass32.exe, lssas.exe
                    * csrss.exe ---> cssrs.exe, csrsss.exe, cssrss.exe
                    * smss.exe ---> smsss.exe ssmss.exe, smass.exe
               Nombres que se emparenten con Windows:
                    * Windows.exe
                    * update.exe
                    * mswe.exe
                    * msgplus.exe
                    * winupdate.exe
                    * spoolvs.exe
                    * IEXPLORE.EXE
                    * explorer.exe ---> SYSTEM (el verdadero NO es de SYSTEM)
                    * task.exe
                 
     En fin, es cosa de astucia, son nombres en los que te tienes que poner bien atento porque esto no se enseña, se adquiere, yo sólo te explico, pero con el tiempo vas a ir viendo cómo van las cosas, ya no haré más largo exte artículo explicando lo básico sobre la relación entre las entradas de registro y los malwares, el regedit en general, y eso incluye que te cuente mi vida, mi infancia y mis trahumas como lo he hecho en este. Mientras ya sabes, primero estate con Hijackthis resolviendo la vida, no te apresures, y no cambies los 0 en el regedit que no sepas de qué son.
     
Saludos.
« Última modificación: 16 de Enero, 2005, 14:10:54 por NekroByte » En línea

-- - -^[NekroByte]^- - --
Páginas: [1] Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Powered by MySQL Powered by PHP Powered by SMF 1.1.11 | SMF © 2006-2007, Simple Machines LLC XHTML 1.0 válido! CSS válido!
Página creada en 0.223 segundos con 18 queries.