Contenido - WordPress.com

Tabla de contenido
Contenido
Tabla de contenido ........................................................................................................................... 1
TUTORIAL TREND MICRO HIJACKTHIS (USO BASICO).......................................................................... 3
Manual Avanzado de Cómo usar HijackThis para remover hijackers, spywares y adwares.
(HijackThis Tutorial in Spanish).................................................................................................... 13
MANUAL DEL REGISTRO DE WINDOWS BASICO. .............................................................. 66
Manual avanzado de Como modificar las claves y valores del Registro de Windows ........ 75
¿Qué es el Registro de Windows y Regedit? ........................................................................ 75
¿Cómo abrir REGEDIT el Editor del Registro? ................................................................. 76
¿Cómo editar las claves y valores del Registro? .................................................................. 76
Reglas a seguir para crear los scripts o archivos REG .................................................... 79
Permisos para editar el registro ........................................................................................... 80
Ubicación de las claves mas editadas del Registro .......................................................... 80
Consejos antes de efectuar algún cambio en el Registro ................................................ 82
Manual del Registro de Windows, estructura y funciones elementales................................. 84
Ubicación de los archivos del Registro ............................................................................... 85
Cómo podemos modificar el contenido del Registro de Windows.................................. 86
Estructura del Registro de Windows ....................................................................................... 90
Algunas claves importantes del Registro de Windows ..................................................... 92
HKEY_LOCAL_MACHINE (HKLM) ..................................................................................... 93
Métodos prácticos de editar el Registro.............................................................................. 94
Ejemplos prácticos de algunas modificaciones al sistema .............................................. 95
Otras modificaciones en el Registro de Windows ............................................................. 96
Manual del MSCONFIG................................................................................................................. 97
Scanner .......................................................................................................................................... 103
¿Qué es la desfragmentación de discos? ................................................................................ 104
¿Para qué sirve el desfragmentador? ....................................................................................... 104
Clúster (sistema de archivos) ..................................................................................................... 112
Tamaño de unidad de asignación .......................................................................................... 112
Formatos .................................................................................................................................... 113
Cómo reparar un clúster dañado en un disco duro.............................................................................. 113
Usando CHKDSK para reparar los problemas de tu disco duro ............................................... 113
Como Arrancar en modo seguro o a prueba de fallos ............................................................ 115
Para que sirve reiniciar la pc en Modo a prueba de Fallos .................................................... 123
TUTORIAL
HIJACKTHIS
TREND
(USO
MICRO
BASICO)
Introducción:
El Trend Micro™ HijackThis™ es un programa muy utilizado por
profesionales de la informática para detectar y en su caso ayudar a
eliminar
algunas
infecciones.
Sin embargo, éste programa es muy avanzado para el usuario medio,
por lo que se recomienda su uso sólo bajo la supervisión de un
experto en el uso del programa, ya que su mal uso puede dejar
inservible el sistema, incluso siendo necesario formatear para
solucionarlo.
Éste
tutorial
estará
conformado
por
2
secciones.
El primero (éste que estamos leyendo) va dirigido a esos usuarios
novatos que desean aprender el uso de éste programa.
El segundo irá dirigido a esos usuarios avanzados que ya se dan una
idea del funcionamiento de un sistema, y que se sienten capaces de
aprender
a
interpretar
el
reporte
que
entrega.
Pero una advertencia importante: Si no sabemos qué es lo que
estamos moviendo, mejor no hay que mover nada y preguntar en el
foro para que uno de los moderadores autorizados analice el log, así
estaremos seguros de lo que se puede o no eliminar.
Nota: Aunque el nombre oficial del programa esTrend Micro™
HijackThis™, nos referiremos a él simplemente por sus siglas HJT
Descripción
del
programa:
Dejemos algo bien claro: el HJT NO es un antivirus, ni un antispyware,
ni siquiera un limpiador de registro, ni mucho menos es (como muchos
piensan) una varita mágica que va a eliminar cualquier virus o
spyware. Es más, ni siquiera debe ser la primera herramienta a usar
para
eliminar
o
detectar
malware.
Si tuviera que describirlo, diría que es simplemente un manipulador del
registro.
El registro es fundamental para el sistema, ya que en él se tiene
documentado todo lo que ocurre en el sistema (programas que hemos
instalado, si se puede o no cambiar la página de inicio de internet
Explorer, etc.), por lo que la mayoría de los malware utilizan el registro
para meterse en el sistema, ejecutarse cada que reiniciamos, impedir
cambios
en
la
página
de
inicio,
etc.
Aquí es donde entra el HijackThis. Analiza el registro en las zonas más
comunes donde puede encontrarse algún malware, así que nos dirá
que
sucede
en
el
sistema.
Sin embargo, el programa sólo analiza esas partes del registro, pero
no elimina absolutamente nada. Somos nosotros como usuarios los
que debemos eliminar lo que no debería estar en el registro.
Es más, el HJT sólo debe usarse como último recurso y para confirmar
resultados. Antes de usar el HJT, deberemos hacer una limpieza
profunda.
Antes
de
usar
el
HJT
Los moderadores del foro recomiendan formas distintas para eliminar
bichos del sistema y cualquiera de ellas funciona, pero esta es la que
yo
recomiendo:
Paso 1: Descargar e instalar los siguientes programas:
Spybot (Manual
de
uso aquí)
Superantispyware (Manual
de
uso aquí)
Ccleaner (Manual
de
uso aquí)
Unlocker (Para desbloquear archivos que no se pueden eliminar.
Manual
de
uso aquí)
RegSeeker. (Este último no requiere instalación. Sólo hay que
descomprimirlo y mover la carpeta a archivos de programa. Luego hay
que crear un acceso directo del ejecutable en el escritorio)
Paso 2: Iniciar en modo seguro con funciones de red
Paso 3: Hacer una limpieza de archivos temporales con el Ccleaner
Paso 4: Actualizar el Superantispyware, y el Spybot
Paso 5: Escanear el equipo con el ad Superantispyware, y después
con
el
Spybot
y
limpiar
lo
que
te
encuentren.
Paso 6: Escanear el equipo con algún antivirus en línea. Yo
recomiendo
alguno
de
estos:
*
Panda
antivirus
on-line
Computer
associates
on-line
Trend micro on-line (Para usar éste, hay que tener instalado el Java)
Bit
defender
on-line
Nod32
on-line
Paso 7: Reiniciar nuevamente en modo seguro y escanear
nuevamente con el Spybot y limpiar lo que encuentre
Paso 8: Hacer una limpieza de registro con el Regseeker
Paso 9: Reiniciar en modo normal y usar el HJT, que es lo que
aprenderemos
a
hacer.
*Nota 1: Con excepción del Trend Micro on-line, el escaneo debe
hacerse desde el Internet Explorer 6 o superior. No funciona en
Firefox,
Opera
ni
ningún
otro
navegador.
*Nota 2: Hasta donde tengo entendido, una función integrada en
Windows vista (llamada sandbox), el escaneo on-line puede detectar
los virus, pero no puede eliminarlos. Hay que eliminarlos manualmente
cuando
detecten
algo.
Descarga.
El programa lo podemos encontrar en la página oficial:
http://www.trendsecure.com/portal/enUS/tools/security_tools/hijackthis/download
O también lo encontraremos en nuestra sección de programas:
http://www.configurarequipos.com/descargar-trend-micro-hijackthis204-final.html
Si lo bajamos de la página oficial, veremos que tenemos 3 opciones: el
ejecutable,
el
archivo
comprimido
y
el
instalador.
Recomiendo el instalador, ya que al hacer cambios en el registro, crea
una copia de seguridad de los cambios, y si algo nos falla podemos
recuperar lo que hemos eliminado. Sin embargo, si usamos el
ejecutable, también creará una copia de seguridad, pero en el lugar
donde lo estemos ejecutando (como en el escritorio o en la carpeta de
documentos, por lo que podríamos eliminarlo por accidente.
Instalación
Al ejecutar el instalador nos preguntará dónde deseamos que guarde
los archivos del programa. Dejemos eso como está y le damos en
install.
Después nos saldrá la licencia de uso tras lo cual la aceptamos dando
clic
en
I
Accept.
Después de eso, nos saldrá la pantalla principal del programa.
Pantalla
principal
En la pantalla principal del programa, aparecen las siguientes
opciones:
Do a system scan and save a log file (Escanear el sistema y guardar el
reporte)
Do a system scan only (Sólo escanear el sistema)
View the list of backups (Ver la lista de respaldos)
Open the Misc Tools secction (Abrir la sección de herramientas)
Open online HijackThis quick start (Abrir el inicio rápido on-line)
None of the above, just start the program (Nada de lo anterior, solo
iniciar
el
programa)
La realidad es que este programa requiere pocas configuraciones. De
hecho, la gran mayoría funcionarán bien con la configuración que
viene preinstalada. En la segunda parte del tutorial (la de usuarios
avanzados)
sí
veremos
algunas
de
estas
configuraciones.
Análisis.
Después de hacer una limpieza profunda y si aún tenemos problemas
con algún malware. Abrimos el HJT y le damos donde en el primer
botón, es decir, donde dice Do a system scan and save a log file
Esto generará un archivo de texto con el nombre hijackthis.log
Este es el reporte que entregará. Si somos usuarios novatos, tenemos
que
hacer
lo
siguiente:
1: Abrir
un
post
en
el
foro.
2: En el título del post, le ponemos alguna descripción de lo que hace
(o
no
hace,
según
el
caso)
nuestro
equipo
3: En el cuerpo del post, escribimos lo que ya hemos hecho (esto es
muy
importante)
4: Copiar y pegar el reporte que nos entregó el programa.
Eliminación
de
entradas
Cuando el moderador nos indique que hacer, normalmente nos dirá
que marquemos algunas entradas y le demos en fix checked.
Esto no es complicado pero veremos cómo se hace:
Abrimos nuevamente el programa, pero ésta vez le damos al segundo
botón:
Do
a
system
scan
only.
En el lado izquierdo aparecerán unos cuadritos para marcarlos. PERO
SÓLO SE DEBEN MARCAR LO QUE LOS MODERADORES NOS
INDIQUEN. De lo contrario, puede dejar inservible el sistema.
Finalmente, en la parte de abajo le damos en donde dice fix checked.
Nos saldrá una advertencia de cuántas entradas eliminará, así que lo
aceptamos.
Finalmente seguiremos las instrucciones que nos haya dado el
moderador, que normalmente incluye (entre otras cosas) pegar un
reporte
nuevo.
Recuperación
de
entradas
En algunos casos (muy raros de hecho) es necesario restaurar
algunas entradas que habíamos eliminado. (Esto también se hará bajo
supervisión
de
un
moderador)
Para recuperar una entrada, abrimos el HJT y le damos en el tercer
botón, es decir, donde dice View the list of backups
Seleccionamos la entrada que nos haya dicho el moderador y luego le
damos
en
donde
dice
Restore
Nos preguntará si realmente deseamos recuperar esa entrada y le
ponemos
que
sí.
Pues bien, esto es todo lo que necesitamos saber del uso del
programa. Pero si nos sentimos capaces de analizar el reporte,
veamos el segundo Tutorial HijackThis (Análisis del log).
Manual Avanzado de Cómo usar
HijackThis para remover hijackers,
spywares y adwares. (HijackThis Tutorial
in Spanish)
Tabla de contenidos
1. Advertencia
2. Introducción
3. Cómo usar HijackThis
4. Cómo restaurar los elementos borrados por error
5. Cómo generar un inicio Listing
6. Cómo utilizar el Administrador de procesos
7. Cómo utilizar el Administrador de archivos Hosts
8. Cómo usar el botón Eliminar en la herramienta de reinicio
9. Cómo utilizar ADS Spy
10.
Cómo utilizar el Administrador de desinstalación
11.
Cómo interpretar las listas de exploración
12.
R0, R1, R2, R3 Secciones
13.
F0, F1, F2, F3 Secciones
14.
N1, N2, N3, N4 Secciones
15.
O1 Sección
16.
O2 Sección
17.
Sección O3
18.
O4 Sección
19.
O5 Sección
20.
O6 Sección
21.
O7 Sección
22.
O8 Sección
23.
O9 Sección
24.
O10 Sección
25.
O11 Sección
26.
O12 Sección
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
O13 Sección
O14 Sección
O15 Sección
O16 Sección
O17 Sección
O18 Sección
O19 Sección
O20 Sección
O21 Sección
O22 Sección
O23 Sección
O24 Sección
Conclusión
Advertencia
HijackThis sólo debe utilizarse si su navegador o la computadora sigue
teniendo problemas después de ejecutar Spybot u otro spyware /
secuestrador removedor. HijackThis es una herramienta avanzada, y
por lo tanto requiere un conocimiento avanzado sobre sistemas
operativos Windows y en general. Si elimina elementos que aparecen,
sin saber lo que son, que puede conducir a otros problemas tales
como la Internet ya no está trabajando o problemas al ejecutar el
propio Windows. Usted también debe tratar de limpiar el spyware /
secuestrador / troyano con todos los otros métodos antes de usar
HijackThis. Si permite HijackThis para eliminar las entradas antes de
que otra herramienta de eliminación analiza el equipo, los archivos del
secuestrador / spyware todavía se quedarán en el equipo y
herramientas de eliminación de futuro no será capaz de encontrarlos.
Si usted no tiene conocimientos avanzados de informática que NO
debe arreglar las entradas con HijackThis sin consultar a un experto
en el uso de este programa. Si ya ha ejecutado Spybot - S & D y AdAware y aún tiene problemas, por favor continuar con este tutorial y
publicar un registro de HijackThis en nuestro Foro de HijackThis ,
incluyendo detalles acerca de su problema, y le aconsejará sobre qué
se debe corregir.
Introducción
HijackThis es una utilidad que genera una lista de algunos ajustes que
se encuentran en su ordenador. HijackThis escaneará su registro y
otros archivos para las entradas que son similares a lo que un
programa de software espía o secuestrador dejaría atrás. La
interpretación de estos resultados puede ser difícil ya que hay muchos
programas legítimos que están instalados en el sistema operativo de
una manera similar que los secuestradores se instalan. Por lo tanto,
usted debe tener mucho cuidado al tener HijackThis solucionar
cualquier problema. No puedo enfatizar lo importante que es seguir la
advertencia anterior.
Hay dos clases particulares prevalecientes sobre HijackThis en
Internet en la actualidad, pero ninguno de ellos se explica lo que cada
una de las secciones en realidad quiere decir de una manera que un
laico puede entender. En este tutorial, además, que muestra cómo
utilizar HijackThis, también entrar en detalles sobre cada una de las
secciones y lo que realmente significan. No hay ninguna razón por qué
no debe entender qué es lo que está reparando, cuando las personas
a examinar sus registros y le dicen qué hacer.
Si usted desea leer primero un tutorial sobre cómo utilizar Spybot,
puede hacer clic aquí: Cómo utilizar Spybot - Search and Destroy
Tutorial
Dicho esto, pasemos al tutorial sobre cómo usarlo. Si quieres ver
tamaños normales de las capturas de pantalla puede hacer clic en
ellos. Tenga en cuenta, que una nueva ventana se abrirá cuando lo
hace, así que si tienes bloqueadores de pop-up que puede detener la
ventana de la imagen de la apertura.
Cómo usar HijackThis
HijackThis puede ser descargado como un archivo ejecutable
independiente o como un instalador. La aplicación independiente le
permite guardar y ejecutar HijackThis.exe desde cualquier carpeta que
desee, mientras que el instalador instalará HijackThis en un lugar
específico y crear accesos directos del escritorio para que
ejecutable. Al utilizar la versión independiente no se debe ejecutar
desde la carpeta de archivos temporales de Internet, no se guardará
en la carpeta de copia de seguridad después de cerrar el
programa. Con el fin de evitar la supresión de las copias de seguridad,
por favor, guarde el archivo ejecutable en una carpeta específica antes
de ejecutarlo. Le sugerimos que utilice el instalador HijackThis como
que se ha convertido en la forma estándar de utilizar el programa y
proporciona un lugar seguro para los respaldos HijackThis.
El primer paso es descargar HijackThis a su computadora en un lugar
que usted sabe dónde encontrarlo de nuevo. HijackThis se puede
descargar desde el siguiente enlace:
HijackThis Download Link
Si ha descargado la aplicación independiente, y luego haga doble clic
en el archivo HijackThis.exe y luego haz clic aquí para pasar a la parte
en la que se ha iniciado el programa.
De lo contrario, si ha descargado el instalador, vaya a la ubicación
donde se guardó y haga doble clic en el HiJackThis.msi archivo para
iniciar la instalación de HijackThis. Cuando se inicia la instalación,
haga clic en la instalación de botón para que HijackThis instalado en
el C: \ Archivos de programa \ Trend Micro \ HijackThis carpeta, cree
un acceso directo del escritorio que se puede utilizar para ejecutar el
programa cuando se necesita, y para poner en marcha
automáticamente HijackThis por primera vez.
Ahora debería ver una pantalla similar a la siguiente figura:
Figura 1. HijackThis pantalla de inicio cuando se ejecuta por primera
vez
Le sugerimos que ponga una marca en la casilla de verificación No
mostrar esta ventana cuando empiezo HijackThis, indicada por la
flecha azul arriba, como la mayoría de las instrucciones dadas no se
darán cuenta de esta pantalla. Después de haber puesto una marca
en que casilla de verificación, haga clic en la Nada de lo anterior,
acaba de empezar el programa de botón, designado por la flecha roja
en la figura anterior. A continuación, se presentará la pantalla principal
HijackThis
como
se
ve
en
la
figura
2.
Figura 2. A partir de la pantalla de este secuestro
Primero debe hacer clic en el Config botón, que es designado por la
flecha azul en la Figura 2, y confirmar que sus valores coincidan con
los que se encuentran en la Figura 3. Las opciones que deben
revisarse son designados por la flecha roja.
Figura 3. Opciones de configuración HijackThis
Cuando haya terminado de establecer las opciones,
el regreso de claves y continuar con el resto del tutorial.
pulse
Tener HijackThis escanear su ordenador de posibles secuestradores,
haga clic en el Scan botón designado por la flecha roja en la Figura
2. A continuación se le presentará una pantalla una lista de todos los
elementos encontrados por el programa, como se ve en la figura 4.
La Figura 4. Resultados de escaneo
En este punto, usted tendrá una lista de todos los elementos
encontrados por HijackThis.
Si lo que ves parece confuso y desalentador para usted, a
continuación, haga clic en Iniciar sesión Guardar botón, designado por
la flecha roja, y guardar el registro en el equipo en algún lugar que
pueda recordar más tarde.
Para abrir el registro y pegarlo en un foro, como la nuestra , debe
seguir estos pasos:
1. Haga clic en Inicio y luego en Ejecutar y escriba Bloc de notas y
pulse Aceptar. Bloc de notas ahora estarán abiertos en el
equipo.
2. Haga clic en Archivo y Abrir y vaya al directorio donde guardó el
archivo de registro.
3. Cuando vea el archivo, haga doble clic en él. El archivo de
registro ahora debe abrirse en el Bloc de notas.
4. Haga clic en Editar y luego en Seleccionar todo . Todo el texto
debe ser seleccionado.
5. Haga clic en Editar y luego Copiar, que copiará todo el texto
seleccionado en el portapapeles.
6. Ir al foro de mensajes y crear un nuevo mensaje.
7. Título del mensaje: HijackThis Log: Por favor, ayudar a
diagnosticar
8. Haga clic derecho en el área de mensajes donde normalmente
se escribe el mensaje y haga clic en la pasta opción. El texto
previamente seleccionado debería estar ahora en el mensaje.
9. Pulse Enviar
Si desea ver la información acerca de cualquiera de los objetos de la
lista, puede hacer clic una vez en una lista, y luego presione el botón
" Info sobre el tema seleccionado ... " botón. Con ello se abre una
ventana similar a la Figura 5 a continuación:
Figura 5. Información sobre el objeto
Cuando haya terminado de mirar la información de las distintas listas,
y usted siente que usted está bien informado lo suficiente para
continuar, mira a través de las listas y seleccionar los elementos que
desea eliminar mediante la colocación de marcas de verificación en las
casillas de verificación junto a cada lista, como se muestra en la Figura
6. Al final del documento se han incluido algunas formas básicas para
interpretar la información de estos archivos de registro. De ninguna
manera esta información lo suficientemente amplia para cubrir todas
las decisiones, sino que debe ayudarle a determinar lo que es legítimo
o no.
La Figura 6. Seleccione un elemento para quitar
Una vez que haya seleccionado los artículos que le gustaría eliminar,
pulse el Fix Checked botón, designado por la flecha azul, en la Figura
6. HijackThis entonces pedirá que confirme si desea eliminar los
elementos. Pulse Sí o No en función de su elección.
Cómo restaurar los elementos borrados por error
HijackThis viene con una copia de seguridad y restaurar el
procedimiento en el caso de que por error eliminar una entrada que es
realmente legítimo. Si ha configurado HijackThis como se muestra en
este tutorial, entonces usted debería ser capaz de restaurar las
entradas que ha eliminado previamente.Si usted ha tenido el programa
HijackThis corriendo de un directorio, entonces el procedimiento de
restauración no funcionará.
Si la opción de configuración Haga copias de seguridad antes de fijar
los elementos se comprueba, HijackThis hará una copia de seguridad
de las entradas que se fije en un directorio llamado backups que se
encuentra en la misma ubicación que hijackthis.exe.
Si usted comienza HijackThis y haga clic en Config , y luego
el Backup botón se le presentará una pantalla como la Figura 7. Usted
tendrá una lista de todos los elementos que se habían fijado con
anterioridad y tener la opción de restaurarlos. Una vez que se restaura
un elemento que se muestra en esta pantalla, al escanear de nuevo
con HijackThis, las entradas aparecerán de nuevo.
Figura 7. Restauración de una entrada eliminado por error
Una vez que haya terminado la restauración de los elementos que se
han solucionado por error, puede cerrar el programa.
Cómo generar un inicio Listing
A veces, cuando usted fija su registro en un foro de mensajes pidiendo
ayuda, las personas que ayudan pueden pedirle que genere una lista
de todos los programas que se inician automáticamente en su
ordenador. HijackThis ha construido en herramientas que le permitirá
hacer esto.
Para ello, accede a la configuración opción al iniciar HijackThis, que es
designado por la flecha azul en la figura 2, y luego haga clic en el Misc
Herramientas botón en la parte superior. Usted debe ver una pantalla
similar a la Figura 8.
Figura 8. Generación de un StartupList Log.
A continuación, haga clic en el botón etiquetado Generar StartupList
Log que se designa con la flecha roja en la Figura 8. Al hacer clic en
ese botón, el programa se abrirá automáticamente una libreta llena de
los elementos de inicio de su ordenador. Copia y pega estas entradas
en un mensaje y enviarlo.
Esperemos que sea con su conocimiento o ayuda de otras personas
que le han limpiado su computadora. Si desea obtener información
más detallada acerca de lo que cada sección en un medio de registro
de exploración, continúa leyendo.
Cómo utilizar el Administrador de procesos
HijackThis ha construido en un gestor de procesos que se pueden
utilizar para poner fin a los procesos, así como ver qué archivos DLL
se cargan en ese proceso. Para acceder al gestor de procesos, debe
hacer clic en la Config botón y luego haga clic en el Misc
Herramientas botón. Ahora debería ver una nueva pantalla con uno de
los botones que son Process Manager abierta . Si hace clic en ese
botón, verá una pantalla similar a la Figura 9.
La Figura 9. Process Manager HijackThis
Esta ventana aparecerá una lista de todos los procesos abiertos que
se ejecutan en su máquina. A continuación, puede hacer clic una vez
sobre un proceso para seleccionarlo y, a continuación, haga clic en
el Proceso de muertes del botón designado por la flecha roja en la
Figura 9. Este tratará de terminar el proceso de ejecución en el equipo.
Si usted desea cancelar varios procesos al mismo tiempo, presione y
mantenga presionado el control de tecla de su teclado. Mientras se
presiona esta tecla, haga clic una vez en cada proceso que desea ser
terminado. Mientras mantiene pulsado el control de botón mientras
selecciona los procesos adicionales, usted será capaz de seleccionar
varios procesos a la vez. Cuando haya seleccionado todos los
procesos que le gustaría terminar usted pulse el Kill Process botón.
Si a usted le gustaría ver qué archivos DLL se cargan en un proceso
seleccionado, usted puede poner una marca en la casilla de
verificación Mostrar archivos DLL, designado por la flecha azul en la
figura anterior. Esto dividirá la pantalla de proceso en dos
secciones. La primera sección se enumerarán los procesos como
antes, pero ahora cuando se hace clic en un proceso en particular, la
sección inferior aparecerá una lista de los archivos DLL cargados en
ese proceso.
Para salir del administrador de procesos es necesario hacer clic en
el nuevo botón doble de la que se colocará en la pantalla principal.
Cómo utilizar el Administrador de archivos Hosts
HijackThis también tiene un administrador de archivos Hosts
rudimentaria. Con este gestor se puede ver el archivo hosts y elimine
las líneas en el archivo o líneas de activar o desactivar. Para acceder
al administrador de archivos hosts, debe hacer clic en el botón
Configuración y luego haga clic en el botón Misc Tools. Ahora debería
ver una nueva pantalla con uno de los botones que son Hosts File
Manager. Si hace clic en ese botón, verá una pantalla similar a la
Figura 10 a continuación.
Figura 10: Hosts File Manager
Esta ventana mostrará el contenido del archivo HOSTS. Para eliminar
una línea en el archivo hosts tendría que hacer clic en una línea como
la designada por la flecha azul en la figura 10 anterior. Esto
seleccionará esa línea de texto. A continuación, puede eliminar la
línea, haciendo clic en el botón Borrar línea (s), o cambiar la línea de
encendido o apagado, haciendo clic en el botón de línea Toggle (s). Es
posible seleccionar varias líneas a la vez usando las teclas de control
de cambio y el o arrastrando el puntero del ratón sobre las líneas que
desea interactuar.
Si elimina las líneas, las líneas se eliminarán de su archivo HOSTS. Si
activa las líneas, HijackThis agregará un signo # delante de la
línea. Esto le comente la línea por lo que no va a ser utilizado por
Windows. Si no está seguro de qué hacer, siempre es seguro para
alternar la línea para que aparezca un # antes.
Para salir del administrador de archivos Hosts es necesario hacer clic
en el nuevo botón doble de la que se colocará en la pantalla principal.
Cómo usar el botón Eliminar en la herramienta de reinicio
A veces usted puede encontrar un archivo que se niega
obstinadamente a eliminar por medios convencionales. HijackThis
introdujo en la versión 1.98.2, un método para que Windows elimine el
archivo como se arranca, antes de que el archivo tiene la oportunidad
de cargar. Para ello, siga estos pasos:
1.
2.
3.
4.
Inicio Hijackthis
Haga clic en la Config botón
Haga clic en la Miscelánea Herramientas botón
Haga clic en el botón denominado Eliminar un archivo en el
reinicio ...
5. Una nueva ventana se abrirá pidiéndole que seleccione el
archivo que desea borrar al reiniciar. Navegue hasta el archivo y
haga clic en él una vez y, a continuación, haga clic en el Abierto
de botón.
6. Ahora se le preguntará si desea reiniciar el equipo para borrar el
archivo. Haga clic en el Sí botón si desea reiniciar ahora, de lo
contrario haga clic en el botón para reiniciar más tarde.
Cómo utilizar ADS Spy
Hay una infección en particular llamado Home Search Assistant o
CWS_NS3 que a veces utilizan un archivo llamado un archivo de
secuencia de datos alternativo para infectar su computadora. Estos
archivos no se pueden ver o eliminar el uso de los métodos
normales. ADS Spy fue diseñado para ayudar en la eliminación de
este tipo de archivos. Para aquellos que estén interesados, se puede
obtener más información sobre Alternate Data Streams y Home
Search Assistant mediante la lectura de los siguientes artículos:
Alternate Data Streams de Windows [Tutorial] Enlace
Inicio Buscar Análisis Asistente [Tutorial Link]
Para usar la utilidad Spy ADS usted comenzaría HijackThis y luego
haga clic en la configuración del botón. A continuación, haga clic en
el Misc Herramientas botón y, finalmente, haga clic en el Spy
ADS botón. Cuando se abra la utilidad Spy ADS verá una pantalla
similar a la figura 11 a continuación.
Figura 11: ADS Spy
Pulse el Scan botón y el programa comenzará a escanear la carpeta
de Windows para los archivos que son Alternate Data Streams. Si
encuentra alguno, se los mostrará similar a la figura 12 a continuación.
Figura 12: Lista de encontrados Alternate Data Streams
Para eliminar uno de los archivos de anuncios que se muestran, sólo
tiene que colocar una marca junto a la entrada y hacer clic en Eliminar
seleccionado botón. Esto eliminará el archivo de ADS de su
equipo. Cuando haya terminado, pulse el Back botón junto al quitar
seleccionado hasta que esté en la pantalla principal de HijackThis.
Cómo utilizar el Administrador de desinstalación
El Uninstall Manager le permite gestionar las entradas que se
encuentran en su panel de control de Agregar / quitar programas. Al
limpiar el malware de un archivo de entradas de la máquina en la
opción Agregar / quitar programas siempre se quedan atrás. Muchos
usuarios comprensiblemente gustaría tener una lista limpia Agregar /
quitar programas y tienen dificultad para eliminar estas entradas
erróneas. Uso del Administrador de desinstalación puede eliminar
estas entradas de la lista de desinstalación.
Para acceder al Administrador de desinstalación debe hacer lo
siguiente:
1.
2.
3.
4.
Inicio HijackThis
Haga clic en la Config botón
Haga clic en la Miscelánea Herramientas botón
Haga clic en el Abierto de Uninstall Manager botón.
Ahora se le presentará una pantalla similar a la siguiente:
Figura 13: HijackThis Uninstall Manager
Para borrar una entrada, simplemente haga clic en la entrada que
desea eliminar y luego haga clic en la entrada Elimine este botón. Si
desea cambiar el programa de esta entrada se asocia con usted
puede hacer clic en el comando Editar desinstalación botón e
introduzca la ruta al programa que debe ejecutarse si se hace doble
clic en la entrada correspondiente en el Agregar / Quitar
programas lista. Esta última función se debe utilizar solamente si sabe
lo que está haciendo.
Si se le pide para guardar esta lista y publicarla para que alguien
pueda examinarlo y le aconsejará sobre lo que se debe eliminar,
puede hacer clic en el... Guardar lista botón y especificar dónde desea
guardar el archivo. Al pulsar en Guardar botón un bloc de notas se
abrirá con el contenido de ese archivo. Simplemente copie y pegue el
contenido de ese bloc de notas en una respuesta en el tema que está
recibiendo ayuda pulg
Cómo interpretar las listas de exploración
La siguiente sección es ayudar a diagnosticar la salida de una
exploración HijackThis. Si usted todavía no está seguro de qué hacer,
o si desea solicitar que interpretar el registro, pegar su registro en un
mensaje en nuestro foro de Privacidad .
Cada línea de la lista de exploración de HijackThis comienza con un
nombre de sección. A continuación se muestra una lista de los
nombres de las secciones y sus explicaciones. Puede hacer clic en un
nombre de sección para lograr que la sección correspondiente.
Nombre
de
la Descripción
Sección
R0,
R1, URL's de páginas de inicio y búsqueda del Internet
R2, R3
Explorer
F0, F1, F2,
Programas autoejecutables
F3
N1,
N2, URL's de páginas de inicio y búsqueda de Netscape y
N3, N4
Mozilla
O1
Archivo redireccionador de hosts
BHO's (Browser Helper Objects u Objetos que "Ayudan" al
O2
Navegador)
O3
Barras de Herramientas del Internet Explorer
O4
Programa autoejecutables desde el registro
O5
Iconos no visibles de IE en el Panel de Control
O6
Opciones del IE con acceso restringido por el
O7
O8
O9
O10
O11
O12
O13
O14
O15
O16
O17
O18
O19
O20
O21
O22
administrador
Acceso restringido al Regedit por el administrador
Objetos extras del IE
Botones extras en el botón principal de la barra de
herramientas del IE u objetos extra en el menú
"Herramientas"
Hacker del Winsock
Grupo extra en la ventana de Opciones Avanzadas del IE
Plug-ins para el IE
Hijacker del prefijo por defecto de IE
Hijacker del "Reset Web Settings" (Reseteo de las
Configuraciones Web)
Sitio no deseado en la Zona de Sitios de Confianza
Objetos ActiveX (Archivos de Programa Descargados)
Hijacker Lop.com
Protocolos extras y protocolo de Hijackers
Hijacker de Hojas de Estilo
Valores de Registro autoejecutables AppInit_DLLs
Llaves
de
Registro
autoejecutables
ShellServiceObjectDelayLoad
Llaves de Registro autoejecutables SharedTaskScheduler
Es importante aclarar que ciertas secciones usan una lista blanca
interna así que el HijackThis no mostrará archivos legítimos. Para
desactivar esta lista blanca, puedes ejecutar HijackThis de esta forma:
HijackThis.exe
/ihatewhitelists.
Secciones
R0,
R1,
R2,
R3
Esta sección abarca la página de inicio y búsqueda del Internet
Explorer.
R0 es para las páginas de inicio y el asistente de búsqueda del IE.
R1 es para las funciones de búsqueda de IE y otras características.
R2
R3
Mostrará
no
es
es
para
algo
un
usado
Buscador
parecido
actualmente.
de
a
URL's.
esto:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page =
http://www.google.com/
R1
HKLM\Software\Microsoft\Internet
Explorer\Main,
Default_Page_URL
=
http://www.google.com/
R2
(this
type
is
not
used
by
HijackThis
yet)
R3
Default
URLSearchHook
is
missing
Si reconoces la URL como tu página de inicio o tu motor de búsqueda,
entonces todo está bien. Si no la reconoces, revísala y usa HijackThis
para arreglarlo. Para los objetos de R3, siempre arréglalos a menos
que se mencione un programa que reconozcas, como Copérnico.
Una pregunta común es que qué significa cuando la palabra
Obfuscated (Ofuscado) sigue a una de esas entradas. Cuando algo
está ofuscado significa que es algo difícil de percibir o entender. En
términos de spyware esto sginifica que el spyware o hijacker está
escondiendo una entrada hecha por él convirtiendo los valores en otra
forma que él entienda fácilmente, pero las personas tengas problemas
reconociendolas, como agregando entradas en el registro en
hexadecimal. Ésto es solo otro método de esconder su prescencia y
de
hacer
difícil
el
removerlos.
Si no reconoces la página web que señala tanto el punto R0 como el
R1, y deseas cambiarla, entonces puedes usar HijackThis para
removerlos de forma segura, no serán perjudiciales para el IE. Es
importante aclarar que si un R0/R1 apunta a un archivo, y arregla la
entrada en el registro con HijackThis, HijackThis no borrará ese
archivo en particular y usted tendrá que borrarlo manualmente.
Hay cierto tipo de entradas R3 que terminan con un guión bajo, como
por
ejemplo:
R3
-
URLSearchHook:
(no
name)
-
_
-
(no
file)
Note el CLSID, los números entre las llaves, tienen un guión bajo al
final y ello a veces dificulta removerlos con el HijackThis. Para arreglar
esto necesita borrar manualmente esa entrada en particular, siguiendo
esta
ruta:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\URLSearchHooks
Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID,
CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es válido por
defecto.
Si no reconoce el software que usa en el UrlSearchHook, búsquelo en
Google y dependiendo de los resultados de la búsqueda, permita que
HijackThis
lo
arregle.
Algunas
llaves
de
registro:
HKLM\Software\Microsoft\Internet
Explorer\Main,Start
Page
HKCU\Software\Microsoft\Internet
Explorer\Main:
Start
Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet
Explorer\Main:
Search
Page
HKCU\Software\Microsoft\Internet
Explorer\Main:
Search
Page
HKCU\Software\Microsoft\Internet
Explorer\SearchURL:
(Default)
HKCU\Software\Microsoft\Internet
Explorer\Main:
Window
Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings:
ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet
Explorer\Main:
Search
Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet
Explorer\Search,SearchAssistant
Secciones
F0,
F1,
F2,
F3
Estas secciones abarcan aplicaciones que se cargan desde los
archivos .INI, system.ini y win.ini o sus equivalentes en el registro.
F0 corresponde al Shell = statement en System.ini. La Shell =
statement en system.ini es usado por Windows 9X y anteriores
designan qué programa actuará como shell para el sistema operativo.
La Shell es el programa que carga el escritorio, controla la
administración de ventanas y permite que el usuario interactúe con el
sistema. Cualquier programa listado después del shell statement será
cargado cuando Windows arranque, y actuará como la shell por
defecto. Hay algunos programas que actúan como un reemplazo
válido para la shell, pero generalmente no se usa más. Windows 95 y
98 (¿Windows ME?), ambos usan el Explorer.exe como su shell por
defecto. Windows 3.X usaba Progman.exe como su shell. Es posible
que otros programa sean ejecutados cuando Windows cargue en la
misma línea Shell =, como por ejemplo: Shell=explorer.exe
programa_maligno.exe. Esta línea hará que ambos programas
arranquen
cuando
Windows
cargue.
Los objetos de F0 siempre son malos, así que conviene arreglarlos.
F0
F1
-
system.ini:
-
Shell=Explorer.exe
win.ini:
Abreme.exe
run=hpfsched
F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier
programa listado después de run= o load= cargará cuando Windows
cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y
mantiene compatibilidad con antiguos programas. Muchos de los
programas modernos no usan esta característica ini, y si no estás
usando un programa antiguo entonces sospecha. El load= era usado
para
cargar
los
drivers
del
hardware.
Los objetos en listado en F1 usualmente son programas muy viejos,
pero que son seguros, así que puedes encontrar más información del
nombre
del
archivo
para
saber
si
es
malo
o
bueno.
Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero
que están ubicadas en el registro para las versiones XP, 2000 y NT de
Windows. Esas versiones de Windows generalmente no usan los
archivos system.ini ni win.ini. Para compensar la compatibilidad usan
una función llamada IniFileMapping. IniFileMapping coloca todo el
contenido de un archivo .ini en el registro, con llaves para cada línea
encontradas en él .ini. Entonces cuando corre un programa que
normalmente lee sus configuraciones de un archivo .ini, este primero
revisará
la
llave
de
registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curten
Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leerá
las configuraciones desde ahí. Puedes ver que esta llave está
refiriendose al registro como si conteniera REG y entonces el archivo
.ini
al
cual
se
está
refiriendo
el
IniFileMapping.
Otra entrada común encontrada en F2 es la entrada UserInit la cual
corresponde
a
la
llave:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Bilongo\UserInit la cual se encuentra en Windows
NT, 2000, XP y 2003. Esta llave especifica qué programa se debe
cargar después que un usuario se logue en Windows. El programa por
defecto para esta llave es: C:\Windows\System32\userinit.exe.
Userinit.exe es un programa que restaura tu perfil, fuentes, colores,
etc. para tu nombre de usuario. Es posible añadir programas furtivos
que inicien desde esta llave separando los programas con una coma.
Por
ejemplo:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
=
C:\Windows\System32\userinit.exe,C:\Windows\programa_maligno.ex
e. Esto hará que ambos programas se ejecuten cuando te loguees y
es un lugar común para ejecutar troyanos, hijackers y spywares.
Llaves
del
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping,
Registro:
Archivos
Usados:
c:\windows\system.ini
c:\windows\win.ini
Ejemplo
mostrando
F0
system.ini:
Shell=Explorer.exe
Something.exe
Ejemplo
mostrando
F2
REG:system.ini:
UserInit=userinit,nddeagnt.exe
Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe
En F0 si ves una línea que sea parecida a Shell=Explorer.exe
cualquier_cosa.exe, entonces definitivamente deberías borrarlo.
Generalmente puedes borrar estas entradas, pero recuerda consultar
Google.
Para las entradas F1 es recomendable que las busques en Google y
así
determinar
si
pertenecen
a
programas
legales.
Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en
el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si
ves UserInit=userinit.exe (sin coma), sigue estando bien, también
puedes dejarlo por la paz. Si ves otra entrada en userinit.exe,
entonces podría ser potencialmente un troyano u otro malware. Lo
mismo va para F2 Shell=, si ves explorer.exe, sólo, entonces está
bien, si no, como en el ejemplo de arriba, entonces podría ser troyano
o malware. Generalmente puedes borrar estas entradas, pero no
olvides
consultar
Google
primero.
Sitios
para
consultar:
Bleeping
Computer
Startup
Database
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
Secciones
N1,
N2,
N3,
N4
Estas secciones son para las páginas de inicio y motor de búsqueda
por
defecto
de
los
navegadores
Netscape y Mozilla.
Estas entradas están guardadas en el archivo prefs.js, ubicadas en
diferentes
lugares
de
la
carpeta
C:\Documents
and
Settings\YourUserName\Application Data. Las entradas de Netscape 4
están guardadas en el archivo prefs.js en el directorio de programa el
cuál
por
lo
general
es
C:\Archivos
de
Programa\Netscape\Users\default\prefs.js.
N1 corresponde a la página de inicio y motor de búsquedas por
defecto
de
Netscape
4.
N2 corresponde a la página de inicio y motor de búsquedas por
defecto
de
Netscape
6.
N3 corresponde a la página de inicio y motor de búsquedas por
defecto
de
Netscape
7.
N4 corresponde a la página de inicio y motor de búsquedas por
defecto
de
Mozilla.
Archivos
usados:
prefs.js
Como la mayoría de los spywares y hijackers están hechos para IE,
estos navegadores usualmente están a salvo. Si ves sitios web
listados ahí que tú no hayas establecido, puedes usar el HijackThis
para arreglarlo. Existe un conocido sitio que hace cambios a esas
configuraciones, y ese sitio es Lop.com, el cuál es discutido aquí:
http://www.doxdesk.com/parasite/lop.html
Sección
Esta
O1
sección
corresponde
al
archivo
de
redirección
Hosts.
El archivo hosts contiene la relación de IP's con hostnames. Por
ejemplo:
127.0.0.1
www.arwinianos.net
Si tratas de ir a www.arwinianos.net, revisará el archivo hosts, verá la
entrada y la convertirá a la dirección IP 127.0.0.1 a pesar de la
dirección
correcta.
Algunos hijackers usan el archivo de redirección hosts para redirigirte
a ciertos sitios en lugar de otros. Así, si alguien inserta una entrada
como
esta:
127.0.0.1
www.google.com
y tratas de ir a www.google.com, serás redirigido a 127.0.0.1 la cuál es
tu
propia
computadora.
Ejemplo
O1
del
-
Hosts:
192.168.1.1
escaneo:
www.google.com
Archivos usados: el archivo hosts es un archivo de texto que puede
ser editado por cualquier editor de texto y está guardado por defecto
en los siguientes lugares dependiendo del Sistema operativo, a menos
que
elijas
instalarlo
en
un
ruta
diferente.
Operating
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
System
Location
3.1
C:\WINDOWS\HOSTS
95
C:\WINDOWS\HOSTS
98
C:\WINDOWS\HOSTS
ME
C:\WINDOWS\HOSTS
XP
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
NT
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
2000
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
La localización del archivo hosts puede ser cambiada modificando la
llave
del
registro
(para
Windows
NT/2000/XP):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\P
arameters\:
DatabasePath
Si ves entradas como las mostradas arriba y no hay una razón
específica por la cuál sepas que deban estar ahí, puedes borrarlas con
seguridad.
Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts,
eso significa que estás infectado con el CoolWebSearch. Si notas que
el archivo hosts no está en su ruta por defecto de tu sistema operativo,
entonces usa HijackThis para arreglar esto que lo más probable es
que
haya
sido
causado
por
un
infección.
También puedes descargar el programa Hoster, el cuál te permite
restaurar el archivo hosts por defecto en tu máquina. Para hace eso,
descarga el programa Hoster y ejecútalo. Cuando abra, has click en el
botón "Restore Original Hosts" y luego cierra el programa Hoster.
Sección
O2
Esta sección corresponde con los Browser Helper Objects (o BHO, en
español algo así como: "Objetos que Ayudan al Navegador"). Los BHO
son plug-ins que extienden la funcionalidad de tu navegador. Pueden
ser usados por spywares así como programas legítimos como Google
Toolbar y Adobe Acrobat Reader. Investige cuando esté decidiendo
qué quitar y qué no quitar, pues algunos de ellos podrían ser legítimos.
Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton
Antivirus\NavShExt.dll
Existe
una
excelente
lista
de
conocidos
BHO
aquí: http://sysinfo.org/bholist.php. Cuando consultes la lista, usa el
CLSID, que es el número entre las llaves en la lista. El CLSID en el
listado hace referencias a entradas del registro que contienen
información
acerca
de
los
BHO.
Cuando arregles este tipo de entradas con HijackThis, HijackThis
querrá finalizar el proceso del archivo listado. Hay ocasiones en que el
archivo sigue en uso aún después de haber cerrado el IE. Si el archivo
aún existe después de arreglarlo con HijackThis, es recomendable que
reinicies el sistema en modo seguro y borrar el archivo.
Sección
O3
Esta sección corresponde a las barras de herramientas del Internet
Explorer.
Estas son las barras de herramientas (toolbars) debajo de su barra de
navegación
y
menú
del
IE.
Llaves
del
Registro:
HKLM\SOFTWARE\Microsoft\Intenet
Explorer\Toolbar
Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program
Files\Norton
Antivirus\NavShExt.dll
Si no reconoces ninguno de los nombres puedes usar la lista CLSID
de Sysinfo.org para buscar la entrada o el nombre de esta barra de
herramientas. Cuando consultes la lista, usa el CLSID, que es el
número entre las llaves en la lista. El CLSID en el listado hacen
referencias a entradas del registro que contienen información acerca
de los BHO. Si encuentras que no es algo que quieras en tu
computadora,
puedes
quitarlo.
Cuando arregles este tipo de entradas, HijackThis no borrará los
objetos presentados en la lista. Para hacerlo es recomendable que
reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo
listado.
Sección
O4
Esta sección corresponde a las aplicaciones que están presentes en
ciertas llaves en el registro y las carpetas de inicio y son cargados
automáticamente cuando Windows inicia. Las llaves del registro
mostradas aquí son válidas para Windows XP, NT y 2000 (otros
sistemas
operativos
¿?).
Si parece una llave del registro, refleja una de las llaves enumeradas
abajo
en
la
tabla
de
llaves
del
registro.
Startup: Estos objetos hacen referencia a aplicaciones que cargan
cuando
se
logea
un
usuario
en
particular.
Global Startup: Estos objetos hacen referencia a aplicaciones que
cargan
cuando
se
logea
cualquier
usuario.
Llaves
del
Registro
del
Arranque:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\R
un
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\R
un
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es
para
HKEY_CURRENT_USER.
Una completa guía de ubicaciones de arranque y para qué son usadas
puede verla aquí: http://www.bleepingcomputer.com/tutorials/windowsprogram-automatic-startup-locations/
Directorios
Startup:
C:\Documents
Menu\Programs\Startup
Global:
C:\Documents
Menu\Programs\Startup
usados:
and
and
Settings\USERNAME\Start
Settings\All
Users\Start
Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Cuando arreglas las entradas O4, HijackThis no borrará los archivos
asociados con esta entrada. Deberás borrarlos manualmente,
usualmente reiniciando lo máquina y entrando en modo a prueba de
fallos. Las entradas Global Startup y Startup trabajan un poco
diferente. HijackThis borrará los accesos directos en esas entradas,
pero no los archivos a los que apuntan. Si un ejecutable actual reside
en los directorios Global Startup o Startup entonces será borrado.
Muchos programas legítimos arrancan de esas formas, una entrada
quizá parezca que les pertenece pero sigue siendo de algún programa
malicioso. Consulta los siguientes enlaces para las entradas O4:
Bleeping
Computer
Startup
Database
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
Sección
O5
Esta sección corresponde a no poder acceder a las opciones de IE en
el
Panel
de
Control.
Es posible desactivar la vista de controles en el Panel de Control
agregando una entrada dentro del archivo llamado control.ini la cual
está guardada (al menos para Windows XP) en C:\Windows\control.ini.
Desde ese archivo puedes especificar los paneles de control que no
deben
ser
visibles.
Archivos
Ejemplo
de
de
la
lista
usuario:
O5
-
control.ini:
control.ini
inetcpl.cpl=no
Si ves una línea parecida como la de arriba quizá sea señal de que un
software está tratando de dificultar el cambio de las configuraciones. A
menos que se conozca una razón específica, como que el
administrador configuró la política o SpyBot S&D colocó una
restricción, puedes usar HijackThis para arreglarlo.
Sección
O6
Esta sección corresponde a una restricción, por parte del
administrador, de hacer cambios en las opciones o en la página de
inicio del Internet Explorer por medio de ciertas configuraciones en el
registro.
Llave
del
Registro:
Explorer\Restrictions
HKCU\Software\Policies\Microsoft\Internet
Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions
Estas opciones sólo aparecen si su administrador las configuró a
propósito o si usted usó la opción "SpyBot Home Page and Option
Lock" de la sección Inmunizar del SpyBot.
Sección
O7
Esta sección corresponde a que el Regedit no puede ser ejecutado
debido
al
cambio
de
una
entrada
en
el
registro.
Llave
del
Registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ejemplo
de
Lista
O7
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:
DisableRegedit=1
Por favor note que muchos admnistradores de oficinas bloquean el
Regedit a propósito, por lo que arreglarlo con HijackThis puede romper
normas corporativas. Si eres el administrador y esta opción ha sido
activada sin tu permiso, entonces usa HijackThis para arreglarlo.
Sección
O8
Esta sección corresponde a los objetos extras encontrados en el Menú
Contextual
del
Internet
Explorer.
Esto significa que verás las opciones que normalmente ves cuando
das click derecho en alguna página web que estés viendo en tu
navegador.
Llave
del
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\MenuExt
Registro:
Ejemplo de Lista O8 - Extra context menu item: &Google Search res://c:\windows\GoogleToolbar1.dll/cmsearch.html
El listado para estas entradas mostrará los objetos que aparecen en el
menú contextual cuando das click derecho, y qué programa es usado
cuando das click en esa opción. Algunas, como "Browser Pal"
deberían ser borradas siempre, y el resto deberías buscarlas en
Google antes de hacer cualquier cosa. Un ejemplo de un programa
legítimo que podríamos encontrar ahí sería la Google Toolbar.
Cuando arregles este tipo de entradas, HijackThis no borrará los
archivos que vienen mencionados en la lista. Es recomendable que
reinicies en modo seguro y borres esos archivos (y en ocasiones
carpetas).
Sección
O9
Esta sección corresponde a los botones que tenemos en la barra de
herramientas principal del IE o a los objetos (ítems) en el menú
Herramientas del IE que no son parte de la instalación por defecto.
Llave
del
Registro:
Explorer\Extensiones
Ejemplo
de
la
Lista
HKLM\SOFTWARE\Microsoft\Internet
O9
-
Extra
Button:
AIM
(HKLM)
Si no necesitas estos botones o los ítems del menú o los reconoces
como
malwares,
puedes
arreglarlas
con
seguridad.
Cuando arregles este tipo de entradas, HijackThis no borrará los
archivos que vienen mencionados en la lista. Es recomendable que
reinicies en modo seguro y borres esos archivos (y en ocasiones
carpetas).
Sección
O10
Esta sección corresponde a los Hijackers del Winsock, también
conocidos como LSP (Layered Service Provider). Los LSPs son una
manera de unir un software a tu implementación Winsock 2 en tu
computadora. Desde que los LSPs están encadenados, cuando el
Winsock es usado, los datos también son transportados a través de
cada LSP en la cadena. Los spywares y hijackers pueden usar los
LSPs para ver todo el tráfico que se genera en tu conexión a Internet.
Extrema precauciones cuando borres estos objetos, si es removido sin
el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a
Internet.
Ejemplo de la Lista O10 - Broken Internet access because of LSP
provider
'spsublsp.dll'
missing
Muchos escaneadores de virus empiezan a escanear virus, troyanos,
etc., al nivel del Winsock. El problema es que muchos de ellos no
reordenan los LSPs en el orden correcto después de borrar el LSP
problemático. Esto puede causar que HijackThis vea un problema y
muestre una advertencia, la cuál puede ser similar al ejemplo de
arriba, aunque de hecho el Internet sigue trabajando. Deberías
consultar a un experto cuando arregles estos errores. También puedes
usar
LSPFix
para
arreglar
esto.
SpyBot generalmente puede arreglar esto pero asegúrate de que
tienes la última versión, ya que las antiguas tienen problemas.
También hay una herramienta diseñada para este tipo de ediciones
que
sea
probablemente
mejor
usar,
llamada
LSPFix
(http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o
no válidas puedes visitar la Lista de LSP de Zupe
(http://www.angeltowns.com/members/zupe/lsps.html).
Sección
O11
Esta sección corresponde a un grupo de opciones no por defecto que
han sido agregadas en la pestaña de Opciones Avanzadas de
Opciones
de
Internet
en
el
Internet
Explorer.
Si buscas en el menú de Herramientas >> Opciones de Internet verás
la pestaña Opciones Avanzadas. Es posible que aparezca ahí un
nuevo grupo de opciones agregando una entrada bajo una llave del
registro.
LLave
del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions
Ejemplo de la
CommonName
Lista
O11
-
Options
group:
Registro:
[CommonName]
De acuerdo con Merijn, creador de HijackThis (y también de
CWShredder, StartupList, etc.), sólo se conoce de la existencia de un
hijacker que usa esto y es el CommonName. Si ves CommonName en
la lista, puedes removerlo con seguridad. Si ves otra entrada deberías
usar Google para investigar un poco.
Sección
O12
Esta sección corresponde a los Plug-ins para Internet Explorer. Los
Plug-ins son piezas de software que se cargan cuando el Internet
Explorer inicia, para agregarle funcionabilidad al navegador. Existen
muchos plug-ins legítimos disponibles como por ejemplo el visor de
archivos
PDF.
Llave
del
Registro:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet
Explorer\PLUGINS\nppdf32.dll
Muchos de los plug-ins son legítimos, así que deberías buscar en
Google aquél que no reconoces antes de borrarlo. Un conocido plug-in
que deberías borrar es el Onflow plug-in que tiene la
extensión
de
.OFB.
Cuando arregles este tipo de entradas con HijackThis, HijackThis
querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá
esté en uso incluso si el Internet Explorer está cerrado. Si el archivo
continúa existiendo después de que lo hayas arreglado con HijackThis,
es recomendable que reinicies en Modo a Prueba de Fallos y borrar el
archivo listado.
Sección
O13
Esta sección corresponde a un hijacker del prefijo por defecto del
Internet Explorer. El prefijo por defecto es una configuración en
Windows que especifíca como URLs aquello que escribas sin
anteponer http://, ftp://, etc. que son manejados. Por defecto Windows
agrega http:// al principio, como el prefijo por defecto. Es posible
cambiar este prefijo por defecto por uno de tu elección editando el
registro. El hijacker conocido como CoolWebSearch hace esto
cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que
cuando te conectes a una URL, como www.google.com.mx, en
realidad irás a http://ehttp.cc/?www.google.com.mx, el cuál es en
realidad
el
sitio
web
para
CoolWebSearch.
Llave
del
Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer
sion\URL\DefaultPrefix\
Ejemplo
de
Lista
O13
-
WWW.
Prefix:
http://ehttp.cc/?
Si estás experimentando problemas similares al problema de arriba,
deberías correr CWShredder. Este programa remueve todas las
variaciones conocidas de CoolWebSearch que puedan estar en tu
máquina.
Si CWShredder no encuentra o arregla el problema, entonces puedes
usar el HijackThis para arreglar esta entrada cuando la encuentres.
Sección
O14
Esta sección corresponde al hijacker del "Reset Web Settings"
(Reseteo de las Configuraciones Web). Hay un fichero en tu
computadora que el Internet Explorer usa cuando reseteas las
opciones a las que venían por defecto. Ese fichero está guardado en
C:\Windows\inf\iereset.inf y contiene todas las configuraciones por
defecto que serán usadas. Cuando reseteas una configuración, se
leerá el fichero y cambiará las configuraciones que estén en el archivo.
Si un hijacker cambia la información en ese fichero, entonces te
estarás reinfectando cuando resetees las configuraciones, porque
leerá
la
información
incorrecta
del
fichero
iereset.inf.
Ejemplo
de
Lista
O14
START_PAGE_URL=http://www.searchalot.com
IERESET.INF:
Por favor esté al tanto de este fichero (en dado caso de que aparezca
en el log), que es posible que el cambio sea legítimo, que lo haya
modificado la manufacturera de computadoras o el administrador de la
máquina. Si no reconoces la dirección entonces deberías arreglarlo.
Sección
O15
Esta sección corresponde con los sitios indeseados en la Zona de
Sitios de Confianza. La seguridad de Internet Explorer está basada en
un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en
términos de scripts y aplicaciones que pueden correr mientras se está
usando esa zona. Es posible agregar dominios a zonas particulares,
así que si estás navegando en un dominio que es parte de una zona
de baja seguridad, entonces permitirás que se ejecuten scripts,
algunos potencialmente peligrosos, de algún sitio web.
Llave
del
Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet
Settings\ZoneMap\Domains
Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net
Entonces, si alguna vez ves algo aquí generalmente debes removerlo
a menos que reconozcas la URL como una que tu compañía use. La
entrada más común que encontrarás aquí será free.aol.com, el cuál
puedes arreglar cuando quieras.
Sección
O16
Esta sección corresponde a los objetos ActiveX, también conocidos
como Downloaded Program Files (Archivos de Programa
Descargados).
Los objetos ActiveX son programas que son descargados desde sitios
web y son guardados en tu computadora. Estos objetos están
guardados en C:\windows\Downloaded Program Files. Estos tienen
una referencia en el registro por su CLSID el cuál es una cadena larga
de números entre llaves {}. Existen muchos controles ActiveX legítimos
como
este de ejemplo, el cuál es un visor
iPix.
Ejemplo de Lista O16 - DPF:
http://www.ipix.com/download/ipixx.cab
(iPix
ActiveX
Control)
-
Si ves nombres o direcciones que no reconozcas, deberías buscar en
Google para ver si son o no legítimas. Si sientes que no lo son,
puedes arreglarlas. Borrando los objetos ActiveX de tu computadora,
no tendrás mayor problema que descargarlos nuevamente cuando
entres de nuevo a la página desde donde los descargaste. Ten en
cuenta que hay muchas aplicaciones de compañías que usan objetos
ActiveX así que ten cuidado. Siempre borra las entradas O16 que
tengan palabras como sex, porn, dialer, free, casino, adult, etc.
Existe un programa llamado SpywareBlaster que posee una gran base
de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar
a través de su base de datos para localizar objetos ActiveX peligrosos.
Usa SpywareBlaster para proteger tu computadora de spyware,
hijackers
y
malware.
Cuando arregles entradas O16, HijackThis intentará borrarlas del disco
duro. Normalmente esto no será problema, pero hay ocasiones en que
HijackThis no será capaz de borrar el archivo. Si esto sucede entonces
reinicia en Modo a Prueba de Fallos y entonces bórralo.
Sección
Esta
O17
sección
corresponde
al
dominio
Lop.com.
Cuando tu vas a un sitio web usando un dominio, como
www.arwinianos.net, en lugar de una dirección IP, tu computadora usa
un servidor DNS para transformar el nombre de dominio en una
dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede
cuando el hijacker cambia los servidores DNS en tu máquina para que
apunten a sus propios servidores, donde pueden dirigirte a cualquier
sitio que ellos quieran. Agregando google.com.mx a sus servidores
DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te
redirijan
al
sitio
de
su
elección.
Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP:
NameServer
=
69.57.146.14,69.57.147.175
Si ves entradas de este tipo y no reconoces el dominio perteneciente a
tu ISP o la compañía que te proporciona conexión a Internet, y los
servidores DNS no pertenecen a tu ISP o compañía, entonces
deberías usar HijackThis para arreglar esto. Puedes ir a Arin para
hacer un whois a la IP del servidor DNS para determinar a qué
compañía le pertecen.
Sección
O18
Esta sección corresponde a los protocolos extra y protocolos de
hijackers.
Este método es usado para cambiar los controladores de protocolo
estándar que tu computadora usa a otros que el hijacker proporciona.
Esto permite al hijacker tomar control de ciertos canales en que tu
computadora
envía
y
recibe
información.
Llaves
del
Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handle
r
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
HijackThis primero lee la sección de protocolos del registro en busca
de protocolos no-estándar. Cuando encuentra uno muestra el CLSID
para mayor información así como la ruta del archivo.
Ejemplo
de
Lista
O18
Protocol:
relatedlinks
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
-
-
Los más comunes que hacen esto son CoolWebSearch, Related
Links, y Lop.com. Si ves estos nombres puedes arreglarlos con
HijackThis.
Usa Google para investigar si los archivos son legítimos. También
puedes usar la Lista O18 de Castlecops como apoyo para verificar los
archivos.
Es importante aclarar que arreglando esas entradas no parece borrar
la entrada en el registro ni el archivo asociado a éste. Deberías de
reiniciar en Modo a Prueba de Fallos y borrar esos archivos
manualmente.
Sección
O19
Esta sección corresponde al hijacker de las hojas de estilo del usuario.
Una hoja de estilo es una plantilla para saber cómo mostrar las capas,
colores y fuentes que se visualizan en una página HTML. Este tipo de
hijacking sobreescribe la hoja de estilo por defecto, la cual fue
diseñada para ayudar a los usuarios, y provoca largas cantidades de
pop-ups (ventanas emergentes de publicidad) y causar una lentitud
potencial.
Llaves
del
Registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\:
User
Stylesheets
Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css
Generalmente puedes arreglar estas entradas a menos que tu hayas
modificado
la
hoja
de
estilo.
Cuando arregles este tipo de entradas, HijackThis no borrará los
archivos listados. Es recomendable que reinicies en Modo a Prueba de
Fallos para borrar la hoja de estilos.
Sección
O20
Esta sección corresponde a los archivos que se cargan a través del
valor
del
registro
AppInit_DLLs.
El valor del registro AppInitDLLs contiene una lista de dlls (librerías)
que se cargarán cuando user32.dll está cargando. Muchos ejecutables
de Windows usan la librería user32.dll, lo que significa que cualquier
DLL que esté listada en la llave del registro AppInit_DLLs también será
cargada. Esto hace que sea muy difícil remover la DLL ya que estará
cargando con múltiples procesos, muchos de los cuales no pueden ser
detenidos sin causar inestabilidad en el sistema. El archivo user32.dll
también es usado en procesos que inician automáticamente por el
sistema cuando tú te loguees. Esto significa que los archivos cargados
en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de
arranque de Windows permitiendo a la DLL esconderse o protegerse a
sí
misma
antes
que
tengamos
acceso
al
sistema.
Este método es conocido al ser usado por una variante de
CoolWebSearch y sólo puede verse en Regedit dando click derecho
sobre el valor, y seleccionando Modificar dato binario. Registrar Lite ,
por
otra
parte,
puede
ver
más
fácil
esta
DLL.
Llave
del
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows
Registro:
Ejemplo
de
Lista
C:\WINDOWS\System32\winifhi.dll
O20
-
AppInit_DLLs:
Existen muy pocos programas legítimos que usan esta llave del
registro, pero debes proceder con cautela cuando borres los archivos
que son listados aquí. Usa Google para investigar si los archivos son
legítimos. También puedes usar las listas para ayudarte a verificar los
archivos:
Bleeping
Castlecop's
Computer
Startup
O20
Database
List
Cuando arregles este tipo de entradas, HijackThis no borrará los
archivos listados. Es recomendable que reinicies en Modo a Prueba de
Fallo y borres los archivos.
Sección
O21
Esta sección corresponde a los archivos que se cargan a través de la
llave
del
registro
ShellServiceObjectDelayLoad.
Esta llave contiene valores similares a los de la llave Run. La
diferencia es que ésa en lugar de apuntar al archivo mismo, ésta
señala al InProcServer del CLSID, el cual contiene la información
acerca del DLL en particular que se está usando.
Los archivos bajo esta llave son cargados automáticamente por
Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la
shell para tu computadora, ésta siempre se va a cargar, así también
cargando los archivos bajo esta llave. Estos archivos son por lo tanto
cargados tempranamente en el proceso de inicio antes de que ocurra
cualquier
intervención
humana.
Un hijacker que usa el método puede reconocerse por las siguientes
entradas:
Ejemplo
de
Lista:
R0
Explorer\Main,Start
Page
R1
Explorer\Main,Default_Page_URL
HKCU\Software\Microsoft\Internet
=
C:\WINDOWS\secure.html
HKCU\Software\Microsoft\Internet
=
C:\WINDOWS\secure.html
Llave
del
Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\ShellServiceObjectDelayLoad
Ejemplo
de
Lista
O21
C:\WINDOWS\system32\system32.dll
SSODL:
System
-
-
HijackThis usa una lista blanca interna para no mostrar las entradas
legítimas comunes bajo esta llave. Si ves un listado para esto,
entonces no es algo estándar y deberías considerarlo como
sospechoso. Como siempre has una búsqueda en Google de cualquier
DLL listada en estas llaves. También puedes usar las listas para
ayudarte
a
verificar
los
archivos:
Bleeping
Computer
Startup
Database
Castlecop's
O21
List
Cuando arregles este tipo de entradas, HijackThis no borrará los
archivos listados. Es recomendable que reinicies en Modo a Prueba de
Fallo y borres los archivos.
Sección
O22
Esta sección corresponde a los archivos que se cargan a través del
valor
del
registro
SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando
inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.
Llave
del
Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Explorer\SharedTaskScheduler
Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - c:\windows\system32\mtwirl32.dll
Ten cuidado cuando remuevas los objetos listados en estas llaves ya
que algunas son legítimas. Puedes usar Google para intentar
determinar si éstas son válidas. CWS.Smartfinder puede ser removido
con CWShredder. También puedes usar las listas para ayudarte a
verificar
los
archivos:
Bleeping
Computer
Startup
Database
Castlecop's
O22
List
HijackThis borrará el valor asociado del SharedTaskScheduler con
esta entrada, pero no borrará el CLSID al que apunta ni el archivo al
que apunta el Inprocserver32 de CLSID. Por lo tanto, debería reiniciar
en Modo a Prueba de Fallos y borrar manualmente este archivo.
Conclusión
HijackThis es una poderosa herramienta para descubrir ciertos
aspectos específicos de tu navegador. Desafortunadamente,
diagnosticar los resultados del escaneo de HijackThis puede ser
complicado. Al menos mis recomendaciones y explicaciones facilitarán
el trabajo. Este programa debe ser usado con cautela, ya que hacer
algo incorrecto al remover algunos objetos puede causar problemas
con programas legítimos. Si tienes alguna duda o pregunta siéntete
libre
de
postearla
en
nuestros
foros.
Fuente: http://www.bleepingcomputer.com/tutorials/how-to-usehijackthis/
Autor:
Lawrence
Abrams
Traducido al español: Arwing
(www.bleepingcomputer.com)
MANUAL
DEL
REGISTRO
DE
WINDOWS
BASICO.
Nos vamos a inicio y nos situamos en Ejecutar. Tecleamos Regedit y
se nos abre un cuadro de dialogo con las siguientes ramas:
HKEY_CLASSES_ROOT: Se registran todas las extensiones, de tipos
de
archivo.
HKEY_CURRENT_USER: Listado detallado de las configuraciones del
usuario
actual.
HKEY_LOCAL_MACHINE: Configuraciones que existen en nuestro
PC-PC-PC como dónde está nuestro software y dónde están los
drivers
instalados.
HKEY_USERS: Todas las configuraciones de los usuarios de ese PCPC-PC
(www.
visitadas,
aplicaciones,
etc...).
HKEY_CURRENT_CONFIG: Un ejemplo de LOCAL_MACHINE, con
más
detalles
de
la
configuración
actual.
HKEY_DYNAMIC_DATA: Es la información dinámica, que se deriva al
encender
el
PC-PC-PC
y
se
esfuma
al
apagarlo.
Si pinchamos en alguna de estas ramas, nos encontraremos todas las
hojas
llenas
de
una
valiosa
información.
DESCRIPCIÓN
HKEY_CLASSES_ROOT
DE
RAMAS:
(HKCR)
En el GUI graphic user interface de Windows todo (cada archivo,
directorio, disco, etc.) es considerado como un objeto, cada objeto
tiene asociadas unas propiedades, esta rama (Key) del registro
contiene un listado de los objetos y de sus propiedades, por
ejemplo *.mid, todos sabemos que son archivos de sonido, pues al
abrir HKCR y
la Subkey .mid
Nombre:
Datos:
veríamos
lo
siguiente:
(predeterminado)
''midfile''
Content Type ''audio/mid'' Pues tenemos un objeto ''midfile'' con
propiedades ''audio/mid'', es decir, midfile está asociado a audio/mid.
Las
principales
funciones
de
estas
claves
son:
1º Asociar la extensión de un archivo a un tipo de objeto.
2º
Asociar
un
icono
a
un
tipo
de
objeto.
3º Asociar una serie de acciones de la línea de comandos a un tipo de
objeto.
4º Asociar las opciones de los menús contextuales (desplegables) a un
tipo
de
objeto.
5º Definir lo que aparecerá en la ventana propiedades (rightclickàpropiedades)
para
cada
tipo
de
objeto.
Dentro
de HKCR distinguimos
tres
tipos
de Subkeys:
1- Extensiones de archivos, asocian las extensiones con los tipos de
objeto. Estas Subkeys se ocupan de decir qué hace windows con cada
tipo de archivo (archivos que llevan asociadas determinadas
acciones), qué menús despliega al hacer right-click sobre él y las
propiedades que se muestran al acceder a este menú. Son de este
tipo Subkeys como
.arj,
.com,
.cab,
etc.
2- Tipo de objeto, define un objeto en función de sus menús
desplegables, sus propiedades, su icono y sus enlaces CLSID (tratado
a
continuación).
3- CLSID, nos da información OLE (object linking and enbedding, una
aplicación es llamada por otra automáticamente para editar datos) y
DDE (dynamic data exchange, intercambio de datos entre dos
aplicaciones) sobre tipos de objeto, también puede contener
información sobre los menús contextuales, propiedades e icono.
Abriendo el registro por la rama HKRC, nos encontramos que dentro
de
las
muchas Subkeys hay
otrasSubkeys tales
como:
Shell: Activa acciones como abrir, imprimir, copiar, etc, por ejemplo
una Subkey de este tipo determina que reproductor multimedia abre
nuestros archivos *.mid. La rama para abrir y ejecutar estos archivos
sería:
[HKEY_CLASSES_ROOTmidfileshell]
@=''Play''
[HKEY_CLASSES_ROOTmidfileshellopen]
@=''Abrir''
[HKEY_CLASSES_ROOTmidfileshellopencommand]
@=''C:WINDOWS
undll32.exe C:WINDOWSSYSTEMamovie.ocx,RunDll
/open
%1''
[HKEY_CLASSES_ROOTmidfileshellplay]
@=''Reproducir''
[HKEY_CLASSES_ROOTmidfileshellplaycommand]
@=''C:WINDOWS
undll32.exe C:WINDOWSSYSTEMamovie.ocx,RunDll /play /close %1''
Shellex: Contienen Subkeys que determinan las funciones OLE y DDE
para cada tipo de objeto, son cadenas numéricas que apuntan por
ejemplo a la dll que ejecuta una determinada operación y definen las
propiedades
de
sus
menús
contextuales.
Shellnew: Contienen el valor de la cadena numérica del comando u
orden que determina la apertura de un nuevo objeto. Un ejemplo muy
sencillito es la clave *.BMP cuya shellnew nos indica el programa con
que
editaremos
una
nueva
imagen
de
este
tipo.
Default Icon: Contienen el valor de la cadena numérica que nos indica
el icono por defecto de cada tipo de objeto, normalmente apuntarán al
shell32.dll, pifmgrd.dll (en windowssystem) o moricons.dll ( en
windows) tal que al primer icono de la lista le asigna el 0 al siguiente el
uno
y
así
sucesivamente
de
la
siguiente
manera:
Windowsmoricons.dll,0
HKEY_CURRENT_USER
(HKCU)
Las Subkeys de esta Key contienen las configuraciones del actual
usuario, en caso de ser una máquina con un único usuario esta clave
es casi idéntica al .DEFAULT de HKEY_USERS. Lo que en ella
tenemos es todas las preferencias que en algún momento hayamos
puesto añadidas a todas las configuraciones por defecto. Contiene
toda la información sobre el sistema que no tiene
HKEY_LOCAL_MACHINE, esto es, configuraciones del software y
preferencias del usuario. Es una parte del registro que podemos
cambiar casi sin riesgo de causar un desastre, casi todas las opciones
contenidas en esta clave son modificables desde algún peso
pesado del Windows, como el panel de control, la barra de tareas,
cualquier
menú
de
propiedades...
Dentro de esta Key y con la vista puesta en el cracking la clave
Software es la más apetitosa, en ella encontramos desde números de
serie hasta que nos imposibilitan registrar la aplicación.
En
esta Key nos
encontramos
con:
1- AppEvents: Nos define los sonidos ( masterCaR-d-19 feo ;P ) con
las que windows nos aturde siempre que ejecutamos un programa.
EventLabels nos da el nombre de la operacion SchemesApps la
localización
de
las
operaciones
y
Schemes
ames
pues
el
nombre
del
tema.
2- Control Panel: Contiene las Subkeys que nos definen la apariencia
de nuestro windown (el color de las ventanas, su tamaño, etc.), las
opciones de accesibilidad como las soundsentry o las stickykeys, los
cursores, el escritorio (fondo, tamaño de iconos,etc.). Estas opciones
son totalmente configurables desde el panel de control.
3- InstallLocationsMRU: Estas Subkeys contienen la localización del
software instalado, contiene por ejemplo todas las localizaciones de
programas instalados con ''Wizards'' como InstallShield, etc. M.R.U. à
Most-recently-used,
self
explanatory.
4- Keyboard Layout: Como supongo habrás deducido pues contiene la
definición
de
tu
teclado,
en
función
de
país,
etc.
5- Network: Contiene tus conexiones de red anteriores divididas en
dos
clases:
Persistent: Define los dispositivos y unidades que defines al dejar
marcada la opción de ''reconectar al desconectar'' (valga la
redundancia...) las claves contienen información como tu navegador,
tu nombre de usuario, etc. Estas claves aparecen como iconos en Mi
PC.
Recent: Las últimas conexiones de red que has realizado sin la opción
de reconectar chequeada, aparecen en menús desplegables cuando
vas
a
realizar
una
conexión
de
red
(Path).
6- RemoteAccess: Contiene las configuraciones de los marcadores de
conexión
en
red,
se
divide
en
dos
ramas:
Addresses: Contiene una definición en binario de cada conexión que
tengas
montada
en Acceso
telefónico
a
redes.
Profile: Que se divide a su vez en una rama para cada conexión, en
estas ramas encontramos los valores de IP, dominio, nombre de
usuario,
etc.
De
cada
conexión.
7- Software: todas las Subkeys que componen esta Subkey (me estoy
empezando a cansar de key subkey... ) representan software instalado
en tu PC o software que has tenido instalado, las ramas tienen o bien
el nombre del programa o bien el nombre del fabricante como
distintivo, a veces podemos encontrar claves con el mismo nombre
dentro de Local_Machine pero normalmente el contenido será distinto
en
cada
caso.
El contenido de las ramas que podemos encontrar suele ser muy
parecido, preferencias del usuario, direcciones de archivos guardados
y lo más interesante fechas de instalación, nombres de
usuario/números de serie y claves que determinan si el programa está
o
no
registrado.
HKEY_LOCAL_MACHINE
(HKLM)
Las diferentes entradas de esta Key definen el estado físico de nuestro
PC, incluyendo datos sobre el BUS, la memoria del sistema y las
configuraciones de nuestro hardware y software (registrado / no
registrado
p.ej.).
Contiene
7 Subkeys que
son:
1- Config: En esta rama se guardan las configuraciones de tu
hardware que defines a través del Panel de Control pulsando en el
icono de Sistema. La última configuración antes de apagar el PC se
copia
a
HKCC
al
iniciar
el
equipo.
2- Enum: aquí es donde están guardadas la mayoría de las
configuraciones de tu hardware, tales como los dispositivos PNP, la
BIOS, PCI, ESDI, FLOP, ISAPNP, Monitor, SCSI y los dispositivos de
conexión
en
red.
3- Hardware: está dividida en dos ramas: Description: que contiene la
rama SystemFloating Point Processor, que será 0 o 1 dependiendo de
su existencia. Devicemap, que contiene la rama serialcommdonde se
listan
tus
puertos.
4- Network: Contiene la rama Logon que a su vez está compuesto de
los valores LMLogon (será 1 si la máquina está en ese momento
conectada en red y 0 en caso contrario), logonvalidated (1 para estar
validado), Policy Handler, Primary Provider, username and
UserProfiles.
5- Services: Cada una de estas ramas están llenas de ramitas, la
mayoría son de explicación trivial, todo el mundo sabrá o se imaginará
qué hace la rama ComputerName o Shutdown o KeyboardLayout, etc.
Os puede dar problemas VMM32, que es una lista de los VxD que
tenéis trabajando y poco más. ATENCIÓN CON OPERAR CON
ESTAS CONFIGURACIONES: PUEDE DAR ALGUN DISGUSTILLO.
HKEY_USERS
(HKU)
Se definen las configuraciones de cada usuario y las configuraciones
que por defecto se le otorgan a los nuevos usuarios, .Default y
nombredeusuario
respectivamente.
HKEY_CURRENT_CONFIG
(HKCC)
Los contenidos de esta Key se toman al iniciar el PC-PC-PC en las
configuraciones alojadas en cada perfil de usuario en
Local_MachineConfig.
Aquí
nos
encontramos
con
tres Subkeys:
1- Display:Ddividido en Font, que contiene las cadenas de valores que
determinan las fuentes que pueden aparecer en la ventana principal
y Settings, que contiene las cadenas de valores que determinan:
BitsPerPixel, diferentes DPIs, oemfonts, fixedfon, fonts y Resolution.
2- Software: Donde encontramos detalles de las configuraciones de
internet
como
los
proxys
o
el
autodial.
3System:
Que
sólo
contiene
una
rama CurrentControlSetcontrolPrintPrinters donde
tenemos
información sobre las impresoras que tenemos definidas a través
de Inicio
Configuración
Impresoras.
HKEY_DYN_DATA
(HKDD)
En esta Key tenemos la información de nuestro sistema detectada al
iniciarlo, esta información como su nombre indica es dinámica y por lo
tanto susceptible de cambiar en cualquier momento, lo que hace que
parezca
que
esta
clave
no
se
guarda.
Dentro
de HKDD nos
topamos
con:
1- ConfigManager: Con una sola rama de nombre Enum que se abre
en un montón de ramitas numeradas que definen el estado, la
localización, los problemas detectados y la clave del hardware de los
dispositivos
PNP
detectados
al
iniciar
el
PC-PC-PC.
2- PerfStats: Las estadísticas del funcionamiento actual del PC-PC-PC
son guardadas en esta Subkey bajo apariencia de Values en binario,
se dice que algunas de las ramas definen el sistema de archivos, o el
''management''
de
la
memoria.
3- Security: Con una sola rama de nombre Provider donde
encontramos un ''espejo'' de la ramaHKLMSecurityProvider, mientras
la primera va cambiando según cambien las propiedades de la red la
segunda
se
mantiene
estática.
Hasta aquí cierro el Manual del Pánico, ahora vamos a aprender cómo
se
restaura
el
registro.
RESTAURAR
EL
REGISTRO:
1.- Haga clic en el botón Inicio y, después, en Apagar el sistema.
2.- Haga clic en Reiniciar el equipo en modo MS-DOS y, después,
haga
clic
en Sí.
3.- Cambie al directorio de Windows. Por ejemplo, si su directorio de
Windows es C:Windows, deberá escribir: cd c:windows
4.- Escriba los siguientes comandos y presione ENTRAR después de
cada uno. (Observe que System.da0 y User.da0 contienen el número
cero).
Attrib
-h
-r
-s
system.dat
attrib
-h
-r
-s
system.da0
copy
system.da0
system.dat
attrib
-h
-r
-s
user.dat
attrib
-h
-r
-s
user.da0
copy
5.- Reinicie
user.da0
user.dat
su
equipo.
Si logramos teclear bien estos comandos tendremos restaurado
nuestro registro.
Manual avanzado de Como modificar las claves y valores del Registro
de Windows
Sencillo tutorial para usar REGEDIT el editor del Registro. Como crear,
editar y exportar claves y valores, usar los script y archivos REG,
precauciones a seguir. Crear respaldos del Registro y restaurarlos.
Las claves más editadas por las aplicaciones, usuarios y los virus.
¿Qué es el Registro de Windows y Regedit?
El Registro de Windows es una base de datos centralizada que
almacena las configuraciones y toda la información del sistema
operativo.
Contiene datos referentes a todo el hardware, software,
configuraciones de los usuarios, y preferencias guardadas en el
equipo.
El Editor del Registro, conocido como REGEDIT es una herramienta
que incluye Windows para editar manualmente las claves y valores
que
contiene
el
Registro.
Mediante Regedit es posible crear, editar y exportar claves y valores,
es posible también crear y restaurar una copia de seguridad de todo el
Registro
o
guardar
solo
claves
individuales.
¿Cómo abrir REGEDIT el Editor del Registro?
Se puede abrir el Editor del Registro de varias formas:
➔ Escribe en el cuadro de Inicio o en la herramienta Ejecutar:
REGEDIT
y
presiona
la
tecla
Enter.
➔ En Windows 8 escribe en la pantalla de inicio: Regedit y presiona
Enter.
➔ Busca el acceso directo en: Todos los programas.
➔ Crea un nuevo acceso directo en el escritorio, con la ruta:
"regedit.exe"
No se aconseja la modificación del registro de Windows por quien no
esté familiarizado con su manejo, porque los cambios hechos pueden
afectar
la
estabilidad
del
sistema
operativo.
En este sitio hay disponibles páginas con multitud de ajustes,
modificaciones, hacks útiles para efectuar cambios en el Registro,
pero se aconseja su ejecución con mucha precaución.
En todos los casos se recomienda previamente hacer una copia de a
clave
a
modificar
(Menu
->
Exportar).
Tampoco hay que tener miedo, la edición de las claves y valores del
registro no es nada difícil, ni es solo para expertos, solo hay que tener
la adecuada precaución y un poco de sentido común.
¿Cómo editar las claves y valores del Registro?
Se puede hacer modificaciones en el Registro de dos formas:
Manualmente mediante Regedit o editando los archivos REG con el
Bloc de notas u otro editor de texto y agregándolos posteriormente.
Usar Regedit
Regedit abre una ventana con la estructura de un árbol, algo similar a
un
explorador
con
dos
paneles.
El panel de la izquierda contiene la estructura y se puede navegar por
carpetas
(claves)
y
subcarpetas.
De forma parecida al explorador se puede usar el menú contextual
para crear nuevas claves, eliminarlas, renombrarlas, exportarlas, etc.
En la siguiente imagen de ejemplo se exporta la clave: "Services", que
contiene todos los valores de los servicios modificados manualmente
por
el
usuario,
mediante
la
herramienta
Servicios.
En el panel de la derecha se abre el contenido de las claves y los
valores.
Cualquier
valor
se
edita
dando
dos
clics
encima.
En la siguiente imagen se muestra como se cambia el valor de:
DisablePagingExecutive en la clave Memory Management para
deshabilitar la paginación del núcleo en Windows, así optimizar la
memoria
y
obtener
más
rendimiento.
Más información sobre las secciones, los tipos de datos, los tipos de
claves, la ubicación física de los archivos del registro en Windows,
puedes leerla con más detalle en la siguiente página: Manual del
Registro de Windows
Usar los archivos REG
Los archivos REG son solo archivos de texto que se guardan con la
extensión
.REG,
en
vez
de
la
predeterminada
.TXT
Pueden ser editados con facilidad con cualquier editor, por ejemplo el
Bloc
de
notas
de
Windows.
A dar dos clics encima se agrega la información que contienen al
Registro.
También se puede crear un archivo REG exportando una clave en
Regedit.
Su estructura es la siguiente como se muestra en el siguiente
diagrama:
Windows
Registry
Editor
Version
5.00
[HKEY_CLASSES_ROOT\Directory\shell\command]
Constan
de:
• El encabezado que siempre es: Windows Registry Editor Version
5.00
•
Una
línea
en
blanco
(es
imprescindible)
•
La
clave
con
su
valor
correspondiente
Reglas a seguir para crear los scripts o archivos REG
Al crear un archivo para agregar al registro es necesario tener
presente las siguientes reglas
La primera línea en los sistemas operativos XP, Vista y Windows 7
debe
ser:
Windows
Registry
Editor
Version
5.00
a
continuación
debe
dejarse
una
línea
en
blanco.
En los sistemas operativos Win98, ME, o NT 4.0 será:
REGEDIT4
de la misma forma después dejar una línea en blanco.
Para
crear
una
clave
un
ejemplo
[HKEY_CURRENT_USER\Software\MiPrograma]
Un
valor
contenido
en
la
clave
[HKEY_CURRENT_USER\Software\MiPrograma]
"mi_valor"="como"
Para
eliminar
una
clave
antepone
un
[-HKEY_CURRENT_USER\Software\MiPrograma]
Para
eliminar
un
[HKEY_CURRENT_USER\Software\MiPrograma]
"valor
a
signo
seria:
anterior:
menos:
valor:
quitar"=-
Al crear cualquier valor, se supone que es una cadena, para crear un
valor
DWORD es
necesario especificarlo,
[HKEY_CURRENT_USER\Software\MiPrograma]
"mi_valor"=
por
ejemplo:
dword:000001
Si el carácter punto y coma (;) está delante de cualquier línea esta
será ignorada y considerada como un comentario, por ejemplo:
[HKEY_CURRENT_USER\Software\MiPrograma]
; esta línea es un comentario
Permisos para editar el registro
Para poder realizar modificaciones en el registro de Windows debes
acceder como administrador, si no tienes el permiso necesario prueba
la siguiente opción:
• Sitúate en la clave a modificar, haz clic con el botón derecho del
mouse y selecciona en el menu que aparecePermisos.
• Clic en Opciones avanzadas >Propietario, selecciona tu nombre y
activa la casilla Reemplazar propietario en subcontenedores y
objetos y
presiona Aceptar.
• Ahora en la ventana anterior selecciona tu nombre y marca la
casilla Permitir
Control
total.
• Aceptar. Es todo.
Ubicación de las claves más editadas del Registro
Claves que con más frecuencia son modificadas en el Registro ya sea
por las aplicaciones o programas que instalamos, por el usuario para
personalizar
Windows
o
por
los
virus
informáticos.
Claves del registro modificadas y agregadas por los virus
frecuentemente
Ya
sea
en
las
ramas:
"HKCU\Software\Microsoft\Windows\Currentversion\" o
en:
"HKLM\Software\Microsoft\Windows\Currentversion\"
Las
siguientes
claves
son
agregadas:
Policies\Explorer\NoFolderOptions (para que no se muestren las
opciones
de
carpeta)
Policies\System\DisableRegistryTools (con el objetivo de deshabilitar
el
Registro)
Explorer\Advanced\ShowSuperHidden (para no mostrar los archivos
de
sistema)
En todas ellas "0" es nulo el valor y "1" establecido.
Si las encuentras en tu Registro las puedes establecer en "0" o
eliminarlas
sin
temor.
Otra
clave
es "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell" en la cual el valor tiene que ser
únicamente "explorer.exe"
Crea tu primer script o archivo REG
Crea tu primer script o archivo REG con el siguiente código.
Habilitará un botón en el menú contextual del ratón, para acceder al
Editor
del
Registro.
Solo copia el código y pégalo en el Bloc de notas.
Guarda el archivo con cualquier nombre, pero que posea la extensión
.REG
Da dos clics en el archivo creado para agregarlo.
Windows
Registry
Editor
Version
5.00
[HKEY_CLASSES_ROOT\Directory\Background\shell\Abrir REGEDIT]
@="Abrir
REGEDIT"
"Icon"="C:\\Windows\\regedit.exe"
[HKEY_CLASSES_ROOT\Directory\Background\shell\Abrir
REGEDIT\command]
@="C:\\Windows\\regedit.exe"
Consejos antes de efectuar algún cambio en el Registro
¿Cómo hacer un backup o respaldo del registro de Windows?
La forma más sencilla de hacer un respaldo del registro es exportando
la clave seleccionada, la rama o todo el registro en un archivo REG.
Este es un archivo de texto plano con la extensión .reg que contiene
todos los datos de la sección exportada. Su tamaño depende de los
datos que contenga, un respaldo de todo el registro no suele medir
más
de
60MB.
Al dar dos clics en un archivo REG creado, Windows mostrará un
mensaje de confirmación y si es positivo agregará las claves que
contenga al registro sustituyendo los valores que se hayan modificado.
Para exportar una clave, rama o todo el registro en el Editor del
Registro o REGEDIT selecciona: Archivo > Exportar, en la parte
inferior de la ventana en Intervalo de exportación selecciona: Todo o
Rama seleccionada, guarda el archivo en el lugar correspondiente.
¿Cómo restaurar el registro en caso de errores?
Windows por medidas de seguridad siempre mantiene una copia a
salvo del registro, en los casos de que una modificación inadecuada
afecte archivos de configuración y esto haga que Windows no pueda
iniciar,
es
posible
utilizar
dicha
copia
guardada.
Si te ves en ese caso sigue los siguientes pasos:
Al encender el equipo después de pasar la etapa del POST, oprime la
tecla F8, se mostrará un menú con varias opciones, mediante las
teclas de dirección (las flechas) selecciona: "La última configuración
válida conocida" y oprime la tecla Enter.
¿Cómo crear un respaldo del registro y restaurarlo mediante la línea
de comandos
Para crear un respaldo completo de tu registro copia y pega lo
siguiente
en
Inicio
o
en
Ejecutar
y
oprime
Enter:
REGEDIT
/E
%userprofile%\Documents\regbackup.reg
Se creará el archivo regbackup.reg en la carpeta Mis Documentos que
será
un
respaldo
completo
del
registro.
Sustituye %userprofile%\Documents\ por otra ubicación si lo necesitas.
Si te fuera necesario restaurar el respaldo solo utiliza:
REGEDIT %userprofile%\Documents\regbackup.reg
Manual del Registro de Windows, estructura y funciones elementales
Sencillo tutorial para para conocer y comprender el funcionamiento del
Registro. Como usar REGEDIT para crear y editar claves y valores,
ejemplos prácticos de los cambios y modificaciones que podemos
realizar en el sistema.
Si te gusta (como yo) cambiar los
valores predeterminados de tu sistema operativo y te atreves por tu
cuenta a experimentar modificando valores del Registro, aquí están los
conocimientos
elementales
que
debes
poseer.
El Registro es algo muy complejo, es una especie de almacén digital,
donde se guardan celosamente todos los ajustes del sistema
operativo, por lo que es muy delicado y cualquier cambio erróneo,
puede ser catastrófico para la estabilidad de Windows.
Se recomienda leer primero otra página de este sitio con información
sobre las precauciones que se deben tener en cuenta antes de usar
REGEDIT el editor del Registro, para realizar cualquier modificación.
Precauciones antes de modificar y editar el Registro de Windows
Estructura del Registro de Windows
Ubicación de los archivos del Registro
Los archivos del registro se almacenan físicamente en ubicaciones
diferentes.
1. Los archivos más importantes se encuentran en el siguiente
directorio:
"C:\Windows\System32\config\"
Contiene los siguientes archivos que corresponden a ramas diferentes:
Security
HKEY_LOCAL_MACHINE\SECURITY
Software
HKEY_LOCAL_MACHINE\SOFTWARE
Sam
HKEY_LOCAL_MACHINE\SAM
System
HKEY_LOCAL_MACHINE\SYSTEM
Default - HKEY_USERS\.DEFAULT
2. En cada carpeta de usuario (en caso de existir varios), se encuentra
un archivo de nombre "Ntuser.dat", contiene los datos referentes a la
rama
de
dicho
usuario.
La ruta es: C:\Users\NombreDeUsuario\Ntuser.dat
3.
Un
tercer
archivo
se
encuentra
en:
C:\Users\NombreDeUsuario\AppData\Local\Microsoft\Windows\UsrCla
ss.dat
4.
Otros
archivos
se
C:\Windows\ServiceProfiles\LocalService
encuentran
en:
La localización de todos está registrada en la siguiente clave del
Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
Como se comprenderá no es factible hacer un respaldo manualmente
de los archivos del Registro, para eso lo ideal es emplear el comando
REGEDIT /E
Cómo podemos modificar el contenido del Registro de Windows
El contenido del Registro de Windows se visualiza y se edita mediante
la herramienta Regedit que es el editor del Registro.
Para abrirla solo escribe en el cuadro de inicio (Windows 7) o en la
herramienta Ejecutar regedit y presiona a tecla Enter.
Veremos todos los archivos ordenados en forma de carpetas, similar al
explorador de Windows, se llaman claves y están agrupadas en
ramas.
Cada clave contiene valores, en ellos se graba y almacena la
información.
Observamos que al abrir por primera vez regedit aparecen cinco
grandes grupos de carpetas, se les conoce como Ramas.
Son las siguientes:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Regedit está formado por dos paneles, al dar un clic en una clave o
subclave en el panel de la izquierda, en el de la derecha se muestra lo
que
contiene.
Cada clave puede contener en su interior archivos llamados valores,
de
tipos
diferentes.
Estos
valores
son
los
que
contienen
la
información.
Para cambiar el dato de un valor, solo da dos clics en él o da un clic
con el botón derecho y selecciona la opción: "Modificar".
Para crear una nueva carpeta o clave da un clic en el panel izquierdo y
en
el
menú
selecciona:
"Nuevo/Clave".
Para crear un valor dentro de dicha clave en el panel derecho da un
clic
derecho
y
el
menú
selecciona:
"Nuevo/Valor"
Escoge
un
tipo
de
valor
de
los
disponibles.
Dos
clics
para
abrirlo
e
introduce
el
valor
necesario.
Tipos de valores que usa el Registro
En el Registro se usan valores diferentes para almacenar la
información,
son
los
siguientes:
Valor de cadena REG_SZ Cadena de texto de longitud fija.
Valor binario REG_BINARY Datos binarios sin formato. La mayoría de
la información sobre componentes de hardware se almacena en forma
de datos binarios y se muestra en formato hexadecimal en el Editor del
Registro.
Valor de DWORD REG_DWORD Datos representados por un número
de 4 bytes de longitud (un valor entero de 32 bits). Muchos parámetros
de controladores de dispositivo y servicios son de este tipo y se
muestran en el Editor del Registro en formato binario, hexadecimal o
decimal.
Valor de cadena múltiple REG_ MULTI_SZ Valores que contienen
listas o valores múltiples; este es el formato cuya lectura resulta más
sencilla. Las entradas aparecen separadas por espacios, comas u
otros
signos
de
puntuación.
Valor de cadena expandible REG_ EXPAND_SZ Este tipo de datos
incluye variables que se resuelven cuando un programa o servicio
utiliza los datos.
Opciones disponibles en el menú de Regedit
Hay dos formas de acceder a las opciones al usar Regedit, una de
ellas usando el menú contextual del ratón y la otra la barra de menú de
la aplicación en la parte superior.
Guarda la clave del Registro seleccionada en un archivo de
Archivo/Exportar extensión .reg. Para restaurar esa clave posteriormente solo es ne
clic en el archivo creado.
Archivo/Importar
Accede a un archivo.reg y lo introduce en el Registro.
Edición/Nuevo
Crear una nueva clave o valor.
Edición/Buscar
Imprescindible herramienta para buscar en el registro introduc
termino o cadena. F3: Permite continuar la búsqueda iniciada.
El Registro sólo lo pueden modificar los Administradores, med
podemos
editar
y
cambiar
los
valores
pr
Los tipos de permisos en opciones avanzadas son l
Control total: Permite que posea todos los perm
Edición/Permisos Consultar
valor:
Permite
que
tenga
permiso
Establecer
valor:
Permite
que
tenga
permiso
Crear
subclave:
Permite
que
pueda
crear
Enumerar subclaves: Permite que pueda listar las subclaves
Notificar:
Notificará
cuando
la
clave
sea
Eliminar: Permite que pueda eliminar claves.
Estructura del Registro de Windows
Como decíamos la interface de Regedit es una especie de árbol o
explorador que no está en correspondencia con la verdadera
estructura del Registro, el orden de las ramas no ayuda mucho a
comprender
como
verdaderamente
está
formado.
Verdaderamente el Registro se compone de dos grandes ramas:
HKEY_LOCAL_MACHINE y HKEY_USERS
Estas dos ramas contienen todos los parámetros del Registro de
Windows.
Lo que ocurre es que para mayor comodidad la primera de ellas deriva
en
otras
llamadas:
HKEY_CURRENT_CONFIG,
HKEY_CLASSES_ROOT
y
HKEY_CURRENT_USER.
Hagamos un breve comentario de cada rama, observa la imagen para
una mayor comprensión, le daremos un color diferente a cada una.
Rama
HKEY_LOCAL_MACHINE
(HKLM)
Esta rama contiene la configuración general del equipo, así como
información de los programas y dispositivos conectados a la
computadora.
De
ella
proceden
la
HKEY_CURRENT_CONFIG
y
la
HKEY_CLASSES_ROOT.
Los cambios que hagamos en esta rama, afectarán a todos los
usuarios.
Rama
HKEY_USERS
Esta rama contiene la configuración de todos los usuarios del
ordenador. Según van agregándose usuarios al sistema operativo,
aparecen claves del formato: S-1-5-21-76556, aquí están las claves de
los usuarios conectados, de todos ellos la clave del usuario actual se
repite en HKEY_CURRENT_USER.
Rama
HKEY_CURRENT_CONFIG
En esta rama está la configuración actual del sistema. También tiene
la configuración de los dispositivos instalados.
Rama
HKEY_CLASSES_ROOT
En esta rama se encuentra los archivos registrados, sus extensiones y
los programas asociados. También se encuentra los números de
identificación de clases (CLSID) y los iconos de cada objeto.
Esta rama es parte de la HKEY_LOCAL_MACHINE, concretamente es
la misma rama que: HKEY_LOCAL_MACHINE/Software/Classes
Rama
HKEY_CURRENT_USER
(HKCU)
En esta rama se encuentra la configuración del usuario que está
actualmente usando el equipo. Los cambios que hagamos en esta
rama
afectarán
solo
al
usuario
actual.
Aquí están los sonidos asociados, escritorio, papel tapiz, teclado, las
aplicaciones que se pueden usar, la red. Se almacena la configuración
del usuario que actualmente está usando el ordenador. La información
aquí contenida es copiada de la clave HKEY_USERS, una clave del
tipo:
S-1-5-21-76556.
Dentro de esta rama hay una clave muy importante y muy utilizada:
HKCU/Software/Microsoft/Windows/CurrentVersion en ella se puede
controlar multiples aspectos del sistema.
Algunas claves importantes del Registro de Windows
HKEY_CLASSES_ROOT
Esta rama contiene toda la información de los tipos de archivo
registrados y consecuentemente la acción y programas necesarios
para
ejecutarlos.
De forma predeterminada viene con los archivos propios del sistema y
en la medida que se instalan o ejecutan aplicaciones, van agregando
su
información
y
aumentando
su
tamaño.
Ejemplos de algunos tipos de claves que la componen:
.html
Acciones a tomar con archivos de extension .html
.htmlfile
Acciones a tomar con los tipos de archivos htmlfile (Un tipo de archi
asociado a varias extensiones)
Directory Acciones a tomar con directorios (contienen otros directorios o carpetas en
Folder
Acciones a tomar con carpetas
Drive
Acciones a tomar con unidades
CLSID
Registro de todas las carpetas CLSID o identificadores de clase del sistem
Conoce varios ejemplos prácticos sobre las modificaciones en la rama
HKEY_CLASSES_ROOT:
Crear nuevas entradas en el submenú Nuevo del menú contextual
HKEY_CURRENT_USER (HKCU)
AppEvents
Sonidos
Console
Configuración de la consola de cmd.
Control Panel
Configuración del Panel de control
Enviroment
Variables de entorno agregadas por el u
Software\Microsoft\Windows\CurrentVersion
Clave importantísima porque aquí está
de muchos aspectos de Windows.
HKEY_LOCAL_MACHINE (HKLM)
Hardware
CPI gestión avanzada de energía
Description Información del microprocesador
DeviceMap Información del ratón, teclado, puertos.
SAM
Configuración de seguridad, está protegida.
Security
Configuración de seguridad, está protegida. Se utiliza cuando estamos e
Software
Información de programas instalados, fecha, versión, licencia, color
HKCR.
System
Información sobre perfiles de Hardware, controladores, unidades de disc
Métodos prácticos de editar el Registro
Podemos modificar manualmente los valores del Registro
directamente, pero si no se posee la suficiente experiencia o se siente
temor, es mejor realizarlo de forma indirecta a través de los archivos
REG
o
INF...
Son
dos
los
métodos
más
empleados.
1.- Exportar una clave y modificarla con el Bloc de notas u otro editor,
posteriormente
restaurar
el
archivo
ya
editado.
Un ejemplo: Modificar la página de Inicio del navegador Internet
Explorer.
•
Accede
a
la
clave:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main
• Usa en el menú: "Archivo -> Exportar" y guárda el archivo en el
escritorio,
dale
el
nombre:
prueba.reg
• Da un clic derecho en el archivo prueba.reg y selecciona Editar.
•
Cambia
el
valor
"Start
Page"="http://norfipc.com"
• Cierra el archivo, guarda los cambios y ahora doble clic sobre él. El
archivo se agregará al Registro y establecerá como la página de inicio
del navegador Internet Explorer, el sitio web indicado.
2.- Mediante un archivo INF. Éstos archivos se ejecutan pulsando
sobre ellos con el botón derecho y luego Instalar.
Ejemplos prácticos de algunas modificaciones al sistema
1.- Podemos evitar que se utilice el Intérprete de comandos en nuestro
equipo,
ve
a
la
clave:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Syste
m.
En el panel derecho crear un DWORD llamado DisableCMD y ponerlo
en 1 (No permitir), 2 o 0 (Sí permitir).
2.Ocultar
el
reloj.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer en el Panel derecho crear el valor DWORD llamado
HideClock y ponerle valor 1
3.- Mediante la herramienta Opciones de carpeta podemos configurar
diversos aspectos de las carpetas y de los archivos en Windows.
Para que no aparezca la opción "Opciones de carpeta." en el menú
Herramientas,
haz
lo
siguiente:
Accede
a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer en el Panel derecho crear el valor DWORD llamado
NoFolderOptions y ponle valor 1.
4.- Para que un programa se ejecute en el inicio de Windows.
Ejemplo
con
la
calculadora.
Ve
a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run en el Panel derecho crea un nuevo valor de cadena llamado
Calculadora
y
ponle
de
valor
calc.exe
En esa misma clave y la similar en la rama HKEY_LOCAL_MACHINE
podemos verificar los programas o aplicaciones que se inician con
Windows.
5.- Queremos que cuando entremos en el Intérprete de comandos, nos
salga la frase de saludo: "Bienvenido al Intérprete de comandos"
HKEY_CURRENT_USER\Software\Microsoft\Command Processor en
el Panel derecho crear un nuevo valor de cadena llamado AutoRun
con
este
comando:
ECHO "Bienvenidos al Interprete de comandos"
Otras modificaciones en el Registro de Windows
En la sección El Registro de este sitio encontrarás varios artículos que
tratan todos acerca de la modificación del sistema operativo usando
Regedit.
Muchos de ellos te serán útiles, siempre toma las medidas de
precaución
necesarias.
Especialmente útil puede ser la página de trucos de Regedit en la que
puedes descargar un script para acceder a cualquier clave del
Registro, solo copiando su ruta en el texto de un documento o de una
página web.
Manual del MSCONFIG
La herramienta de Configuración de sistema sirve para configurar los
archivos de sistema System.ini, Boot.ini, Win.ini y modificar los
servicios
y
programas
de
inicio
de
Windows.
Para ejecutarlo, debemos
"msconfig" (sin
(O simplemente presionamos
ir
a Inicio,
la
Ejecutar...,
tecla WINDOWS
y
escribir
comillas)
+
R)
En el caso de que no ejecute la herramienta, podemos ejecutarlo
manualmente
desde
la carpeta"C:WINDOWSPCHealthHelpCtrBinaries"
(siendo
C:WINDOWS la carpeta de sistema, en algunos caso podria ser
D:WINDOWS,
etc)
o
desde Ejecutar...
escribiendo
"%systemroot%PCHealthHelpCtrBinariesmsconfig"
(sin
comillas)
General
En
la
primera
solapa
habrán
3
tipos
de
inicio:
Inicio Normal: se cargaran todos los elementos de Inicio al arrancar el
Windows.
Inicio con diagnóstico: solo servicios y controladores de dispositivos
básicos.
Inicio selectivo: nos da la opción de seleccionar los elementos de Inicio
deseados. Podemos seleccionar las casillas SYSTEM.INI, WIN.INI,
Servicios
y
elementos
de
Inicio.
SYSTEM.INI
y
WIN.INI
Estas pestañas provienen de versiones anteriores de Windows que
servían para iniciar controladores y programas. En XP no brindan
utilidad
alguna
y
por
eso
las
paso
de
largo.
BOOT.INI
Esta sección permite la edición del archivo boot.ini de una forma más
grafica
podria
decirse.
1. - En la parte de arriba, en el recuadro blanco, se encuentran las
líneas del archivo boot.ini tal como están en el archivo
2. - El botón Comprobar todas las rutas de inicio, sirve para comprobar
que
los
modos
y
rutas
de
Inicio
son
correctos
3. - Los botones Subir y Bajar sirven para establecer el orden de
ejecución
de
las
rutas
de
inicio
4. - El botón Predeterminado, sirve para establecer por default
determinada
ruta
de
inicio
5. - El apartado Opciones de Inicio sirve para configurar como inician
las
rutas
de
Inicio:
/SAFEBOOT es como iniciar en Modo Seguro (Modo a Prueba de
Fallos)
/NOGUIBOOT sirve para deshabilitar el logo de Windows XP en el
inicio
de
Windows
/BOOTLOG esta opción crea un archivo log con todos los sucesos del
inicio de Windows. El archivo log se crea con el nombre "ntbtlog.txt",
en
el
directorio
raíz.
/BASEVIDEO esta opción hace que el sistema se inició con los
controladores base de video, es decir, con una resolución de 640x480
píxeles
y
16
colores
/SOS esta opción permite visualizar la carga de drivers en el inicio.
Esto es muy útil si nuestro ordenador se traba en el logo de inicio, ya
que nos permite visualizar cuales archivo no se pueden cargar, de
esta
manera
podemos
ubicar
la
fuente
del
error.
*NOTA* los
modificadores
/NOGUIBOOT
y
/SOS
son
complementarios, así que en caso de necesitar alguna, se recomienda
activar
las
dos.
6. - En Tiempo de espera (por defecto 30 seg.) se configura la
cantidad de segundos que tenemos para seleccionar el sistema
operativo
con
el
cual
vamos
a
arrancar.
Servicios
En esta solapa podremos observar los servicios que se cargan al
iniciar Windows. En la columna Esencial muestra los supuestos
servicios esenciales, aunque realmente este aviso no es confiable. En
la columna Fabricante podremos observar de que empresa proviene
cada servicio, lo que nos permite identificarlos más fácil.
Si presionamos la casilla Ocultar servicios de Microsoft, solo se
mostraran los servicios de fabricantes externos. En la columna Estado,
podremos observar si el servicio está activo o no. Con el
botón Habilitar Todoss activaran todas las entradas y con Deshabilitar
Todo desactivaran
todas.
Muchos de estos servicios son innecesarios, consumen recursos y en
máquinas no tan rápidas es conveniente deshabilitarlos
Para más información sobre los servicios, la página de Microsoft nos
proporciona
la
información
Servicios
Inicio
Permite habilitar y deshabilitar los procesos que se inician en el
sistema. Seguramente la opción más llamativa y usada por los
usuarios.
Muchos de estos programas se muestran en la Bandeja de Sistema
(System tray) al lado del reloj, abajo a la derecha. Estos programas
relentizan y vuelven inestable el sistema, por lo cual se recomienda
deshabilitar
los
que
no
se
usen
diariamente.
*NOTA* Si no se tiene conocimiento es preferible buscar información o
pregúntame
a
mi
sobre
esto
y
te
intento
ayudar.
Aplicar
configuraciones
Para aplicar la configuración se debe presionar el botón Aplicar
seguido de Cerrar. Luego, en el cuadro de diálogo, se debe presionar
sobre el botón Salir sin reiniciar de no ser necesario su efecto
inmediato o Reiniciar para que la configuración tenga efecto:
Scanner:
Qué espacio ocupan las carpetas en tu disco duro?
Scanner, con un nombre bastante trillado, es una herramienta gratuita
para Windows con un enfoque bastante sectorizado: saber qué
espacio ocupa cada carpeta en Windows, para de esa manera analizar
y diagnosticar la capacidad de nuestros discos duros.
Al momento de ejecutar Scanner, que por cierto no requiere de
instalación alguna pues es totalmente portátil, el programa hará
automáticamente un escaneo exhausto a nuestro disco duro, para así
luego permitirte visualizar gráficamente el resultado del análisis.
Sirve más bien como una herramienta de diagnóstico, para analizar el
espacio que ocupa cada carpeta nuestra en el disco duro, y así poder
tomar las medidas necesarias para que no perdamos tanto espacio.
Sin duda alguna que carece de funcionalidades como la de limpiar
carpetas específicas, borrando archivos innecesarios, y un largo
etcétera.
Pero de todas maneras, Scanner es una excelente utilidad de
diagnóstico.
¿Qué es la desfragmentación de discos?
La desfragmentación de discos describe el proceso de consolidar
archivos fragmentados del disco duro del equipo.
La fragmentación se produce en un disco duro con el tiempo conforme
guarda, cambia o elimina archivos. Los cambios que guarda en un
archivo se almacenan a menudo en una ubicación del disco duro
diferente del archivo original. Los cambios adicionales se guardan
incluso en más ubicaciones. Con el tiempo, el archivo y el propio disco
duro se fragmentan y el equipo se ralentiza puesto que tiene que mirar
en diferentes lugares para abrir un archivo.
El Desfragmentador de disco es una herramienta que vuelve a
organizar los datos del disco duro y vuelve a unir los archivos
fragmentados de manera que el equipo se ejecute de manera más
eficaz. En esta versión de Windows, el Desfragmentador de disco se
ejecuta en una programación, por lo que no tiene que acordarse de
ejecutarlo, aunque sigue teniendo la opción de ejecutarlo
manualmente o de cambiar la programación que usa.
¿Para qué sirve el desfragmentador?
El desfragmentador de disco se usa generalmente para agilizar el
acceso a los datos.
Esta utilidad, la incluye el Sistema Operativo Windows, y sirve para
reunir los archivos y las carpetas que se encuentran fragmentados en
el disco duro del equipo, de este modo cada uno de ellos ocupa un
sólo espacio en el disco. Con los archivos cuidadosamente
almacenados, sin fragmentación, las operaciones de lectura y escritura
en el disco resultan mucho más ágiles.
Es recomendable desfragmentar tu disco, al menos, 1 vez al mes,
siempre y cuando hayas hecho muchas operaciones con tu Equipo,
tales como borrado, desinstalación, reubicación de aplicaciones,
creación y eliminación de carpetas y archivos varios, etc.
Para que lo entendáis mejor: la información del disco duro se va
almacenando en los espacios libres del mismo. Digamos que vosotros,
por ejemplo, tenéis un juego, que ocupa, aproximadamente, unos 2gb
en el disco duro. Los archivos de este juego no tienen,
necesariamente, que colocarse continuos uno tras otro, sino que se
almacenan en espacios de disco disponibles. Esto quiere decir que si
tu disco está muy fragmentado, los archivos estarán en fragmentos de
memoria diferentes y cuando el Sistema Operativo intente acceder a
estos ficheros para su lectura o escritura, le llevará mucho más tiempo
hacerlo, ya que tiene que acceder a todos los espacios de memoria en
los que están alojados los archivos. Si desfragmentáis el disco duro, el
Sistema Operativo tratará de minimizar la desfragmentación al
máximo, con lo cual ayudáis a mejorar el rendimiento de vuestro
Equipo.
IMPORTANTE: Si agregas un gran número de archivos o el espacio
libre en el disco se sitúa en torno al 15%, debes de realizar una
desfragmentación del disco. Es conveniente para poder optimizar el
rendimiento de tu equipo.
Antes de realizar una Desfragmentación de disco, se debe de Analizar
disco, para que la utilidad determine si es o no es necesaria esta
desfragmentación, además de que te indica el tiempo que durará este
proceso.
PRUEBA:
Hay usuarios, que indican que su equipo va algo lento, le cuesta
acceder a las aplicaciones correctamente, han tenido incluso
problemas de registro de aplicaciones que fueron borradas, pero
quedan datos esparcidos por el disco, que entorpecen la instalación
de nuevas aplicaciones asociadas a las anteriores. Además han visto
un gran deterioro de las prestaciones que ofrecía su equipo.
MANUAL DE USO DEL DESFRAGMENTADOR DE DISCO:
Hacemos una prueba para que veáis cómo se tiene que realizar el
proceso correctamente.
1. Haga clic en Inicio, seleccione Todos los programas, Accesorios,
Herramientas
del
sistema y,
a
continuación,
haga
clic
en Desfragmentador de disco.
2. En el cuadro
de diálogo Desfragmentador de disco, haga clic en las unidades que
desee desfragmentar y después clic en el botón Analizar disco.
Después de que se analice el disco aparece un cuadro de diálogo en
el que se indica si deben desfragmentarse las unidades analizadas.
3. Para desfragmentar las unidades seleccionadas, haga clic en el
botón Desfragmentar Disco. Una vez concluido el proceso aparece un
cuadro con los resultados del mismo.
4. Para que se muestre información detallada acerca del disco o de la
partición que se ha desfragmentado, haga clic en Presentar informe.
5. Para cerrar el cuadro de diálogo Presentar informe, haga clic
en Cerrar.
6. Para cerrar la utilidad Desfragmentador de Disco, haga clic en el
botón Cerrar situado en la parte de abajo de la ventana.
CONCLUSIÓN:
El desfragmentador de disco es un organizador de la información
contenida en tu dispositivo de almacenamiento, ordena tus archivos
según prioridades de uso (los más importantes y más usados los
organiza al principio y los menos al final) a fin de agilizar su acceso
cuando los requieras, además evita huecos vacíos entre un archivo y
otro, ya que pone uno tras otro. Aunque la mayoría de usuarios no
utilizan el Desfragmentador de disco, sobre todo por su
desconocimiento acerca del uso del mismo. Creemos que es positivo
su uso y está recomendado hacerlo 1 vez al mes.
Esperamos que les sirva de utilidad esta explicación y manual.
Clúster (sistema de archivos)
Estructura:
(A)
(B)
(C)
(D) clúster.
sector
sector
de
pista
geométrico
disco
Un clúster (o unidad de asignación según la terminología de Microsoft)
es un conjunto contiguo de sectores que componen la unidad más
pequeña de almacenamiento de un disco. Los archivos se almacenan
en uno o varios clústeres, dependiendo de su tamaño de unidad de
asignación. Sin embargo, si el archivo es más pequeño que el tamaño
de un clúster, éste lo ocupa completo.
Tamaño de unidad de asignación
El tamaño de la unidad de asignación es la cantidad de fragmentos en
que se divide un disco duro cuando se le da formato. Imaginemos un
disco duro como un libro, y las unidades de asignación son las
páginas. Por muy grande que sea un libro, la cantidad de páginas que
puede tener es finita, aunque las páginas pueden ser más finas o más
gruesas para abarcar párrafos de información (los puede utilizar varias
unidades de asignación, pero si el archivo o el fragmento restante es
menor que la unidad de asignación se desperdicia el espacio sobrante.
Por ejemplo, si la unidad es de 4096 y el archivo es de 512, la pérdida
es de 3584.
El tamaño de unidad de asignación de los clústeres así como el
espacio de almacenamiento perdido debido a los archivos que ocupan
menos que el tamaño del clúster depende del sistema de archivos que
emplee la particion.
Formatos
Estos son los formatos que
del sistema operativo:



se
pueden
utilizar
dependiendo
Windows: FAT, FAT16, FAT32, NTFS, EFS, exFAT.
Linux: ext2, ext3, ext4, JFS, ReiserFS, XFS, ExFAT.
Mac OS: HFS, HFS+.
Cómo reparar un clúster dañado en un disco duro
En la mayoría de los casos, los clústeres dañados no son más que
una molestia. Repararlos es un proceso relativamente sencillo, aunque
puede dar miedo. El punto más importante a considerar es que un
escaneo completo puede tardar mucho tiempo en un disco duro
grande.
Usando CHKDSK para reparar los problemas de tu disco duro
1.
1
Comprende tu problema. En un sistema de archivos basado en
Windows, un clúster es un bloque del espacio de almacenamiento que
no aparece listado como libre, pero tampoco está asignado a
ningún archivo. En otras palabras, el sistema de archivos ha marcado
el clúster para que no se sobrescriba, pero no sabe por qué. Esto no
indica necesariamente que haya algún problema con el disco duro.
Usualmente, tener muchos clústeres perdidos o dañados es el
resultado de programas que finalizaron inadecuadamente, como
aquellos casos que son debidos a la pérdida de energía o al hecho de
apagar una computadora sin cerrar primero la aplicación.
2.
2
Abre la línea de comandos o el símbolo de sistema de DOS. Existen
varias formas de ejecutar la utilidad CHKDSK dependiendo de la
versión de Windows que uses. El método que funciona en la mayoría
de las versiones es ejecutarlo mediante la línea de comandos.
3.
3
Teclea "chkdsk /r" en la ventana de línea de comandos. Esto le indica
a la computadora que ejecute la utilidad CHKDSK y que repare todos
los errores que encuentre. Quizá sea necesario que reinicies tu
computadora para ejecutar esta utilidad.
4.
4
Espera a que la utilidad finalice. A menos que comiences a ver errores
en la pantalla de inmediato, es probable que por tu propio bien sea
mejor que vayas a hacer otra cosa mientras tu computadora revisa el
disco. Este proceso puede tardar hojas, así que no es necesario que
te sientes y observes la pantalla.
5.
5
Reinicia. Después de que la utilidad finalice, reinicia tu sistema para
arrancar con el sistema operativo de forma normal. Tus clústeres
perdidos se guardarán como archivos nombrados en base a la
convención: archivo####.chk. La información en dichos archivos
usualmente es inútil. Sin embargo, quizá puedas analizarlos y
recuperar información si es crítica.
Como Arrancar en modo seguro o a prueba de fallos
Windows xp
En algunas ocasiones, usted deberá iniciar su ordenador en modo
seguro a prueba de fallos, para resolver algún problema puntual, o
para ejecutar un antivirus o borrar manualmente algún virus, etc. De
acuerdo a su sistema operativo, estas son las acciones a llevar a
cabo:
METODO 1
1.- Salga de todos los programas
2.- Seleccione Inicio, Apagar el sistema.
3.- Apague la computadora, y aguarde 10 segundos (no use el botón
RESET, usted debe apagar su PC para borrar cualquier posible virus
en memoria).
4.- Encienda su PC.
5.- pulse F8 repetidas veces hasta que salga un menú
6.- Seleccione "Modo a prueba de fallos" o similar, y Windows debería
arrancar en este modo, si tiene Windows Xp pulse en Modo Seguro
METODO 2
CUANDO NO SE CONSIGUE CON EL METODO 1 ARRANCAR EN
MODO SEGURO
En los casos rebeldes, puede procederse a provocar el arranque en
modo seguro a través de software, configurando debidamente los
ficheros de inicio, a saber:
Windows XP
· Cierre todos los programas.
· Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá
la "Utilidad de configuración del sistema".
· Pulse en la lengüeta "BOOT.INI".
· En "Opciones de inicio", marque la casilla "/SAFEBOOT"
· Pulse en el botón, y en el mensaje siguiente confirme reiniciar el
ordenador.
· Una vez terminado el proceso que se quería realizar arrancando en
modo seguro, para volver a la normalidad el sistema, repita los pasos
1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT".
· Confirme los cambios, y reinicie su computadora.
El Modo Seguro es una opción para la solución de problemas que
limita la operación del Windows a funciones básicas. El Modo
seguro inicia Windows con solo los controladores y servicios
básicos. Modo seguro con funciones de red inicia Windows, además
de soporte de red. Para iniciar su equipo en Modo seguro o Modo
seguro con funciones de red, efectúe los siguientes pasos:
Iniciar Windows 7/Vista/XP en Modo seguro con funciones de red
1.
Presione la tecla F8 en intervalos de 1 segundo inmediatamente
después que la computadora se encienda o se reinicie (usualmente
luego
de
oír
el
“beep”
de
su
computadora)
2.
Luego de que su computadora muestre la información del
hardware y ejecute la prueba de memoria, aparecerá el Menú de
opciones
avanzadas
de
Windows.
3.
Válgase de las flechas de su teclado para seleccionar Modo
Seguro o Modo seguro con funciones de red y presione ENTER. Para
obtener mayor información acerca de las opciones de Modo
seguro, haga clic aquí si cuenta con Windows XP o aquí si cuenta con
Windows Vista/Windows 7.
Figura 1-1
Iniciar Windows 8 en Modo seguro con funciones de red
1.
Presione la tecla de Windows
+ C, y luego haga clic
en Configuración.
Figura 2-1
Haga clic sobre la imagen para ampliarla
2.
Haga clic en Iniciar/Apagar, mantenga
tecla Shift en su teclado y haga clic en Reiniciar.
Figura 2-2
Haga clic sobre la imagen para ampliarla
3.
Haga clic en Solucionar problemas.
presionada
la
Figura 2-3
Haga clic sobre la imagen para ampliarla
4.
Presione Opciones avanzadas.
Figura 2-4
Haga clic sobre la imagen para ampliarla
5.
Haga clic en Configuración de inicio.
Figura 2-5
Haga clic sobre la imagen para ampliarla
6.
Haga clic en Reiniciar.
Figura
2-6
Haga clic sobre la imagen para ampliarla
7.
Presione el número 5 en su teclado para Habilitar modo seguro
con funciones de red. Windows se iniciará en Modo seguro con
funciones de red.
Figura
Haga clic sobre la imagen para ampliarla
2-7
Para que sirve reiniciar la pc en Modo a prueba de Fallos
Muchos habrán escuchado sobre como iniciar la computadora en
modo seguro (a prueba de fallos) en windows xp. El modo aprueba de
fallos sirve para diagnosticar problemas de la computadora , para
instalar y desinstalar programas, en caso de que un virus o spyware
ataque tu computadora , o para cualquier modificación que quieras
hacerle al registro, etc.
Todos los programas tienen que estar cerrados
- Clic a inicio y en ejecutar escribes MSCONFING y pulsas aceptar
(enter).
- Aparecerá la Unidad de Configuración del Sistema, Clic en donde
dice BOOT. INI
- Aquí das clic en /SAFEBOOT y si tienes internet marca RED y clic en
aceptar
- Aparecerá el mensaje si deseas reiniciar, debes de reiniciarla. Y
después de reiniciada te aparecerá el siguiente mensaje.
- Para continuar con el modo de prueba de errores haga clic en SI, si
prefieres utilizar restaurar para devolver la configuración de su equipo
a un estado anterior haga clic en NO. Aquí tienes que dar si para que
continúe el modo a prueba de fallos
Después te aparece la pantalla de modo aprueba de fallos.
Para volver al modo normal, sigue todos los pasos de nuevo, pero
desmarca la casilla de /SAFEBOOT o marca la casilla de INICIO
NORMAL CARGAR TODOS LOS CONTROLADORES DE
DISPOSITIVOS Y SERVICIOS. Y confirma que se reinicie tu
computadora y de esta manera vuelves a modo normal.
Reference
/www.adrenalinecrash.com. (s.f.). http://www.adrenalinecrash.com.ar/. Obtenido de
http://www.adrenalinecrash.com.ar/: http://www.taringa.net/posts/ebookstutoriales/8944737/Manual-de-MSCONFIG.html
/www.repararpc.info. (s.f.). /www.repararpc.info. Obtenido de /www.repararpc.info:
http://www.repararpc.info/2009/09/para-que-sirve-reiniciar-la-pc-en-modo.html
Abrams, L. (16 de 05 de 2004). www.bleepingcomputer.com. Obtenido de
www.bleepingcomputer.com: http://www.bleepingcomputer.com/tutorials/como-usarhijackthis/
http://kb.eset-la.com. (2012). http://kb.eset-la.com. Obtenido de http://kb.eset-la.com:
http://kb.esetla.com/esetkb/index?page=content&id=SOLN2268&querysource=external_es&locale=es_
ES
http://norfipc.com. (s.f.). http://norfipc.com. Obtenido de http://norfipc.com:
http://norfipc.com/registro/claves-registro-modificar-editar.html
http://norfipc.com. (s.f.). http://norfipc.com. Obtenido de http://norfipc.com:
http://norfipc.com/inf/manual-registro.html
nelson, b. (s.f.). http://www.ehowenespanol.com. Obtenido de http://www.ehowenespanol.com:
http://www.ehowenespanol.com/reparar-cluster-danado-disco-duro-como_21562/
Vergara, K. (31 de 03 de 2008). www.bloginformatico.com. Obtenido de
www.bloginformatico.com: http://www.bloginformatico.com/scanner-que-espacioocupan-las-carpetas-en-tu-disco-duro.php
wikipedia. (s.f.). wikipedia. Obtenido de wikipedia:
http://es.wikipedia.org/wiki/Cl%C3%BAster_(sistema_de_archivos)
windows. (s.f.). http://windows.microsoft.com. Obtenido de http://windows.microsoft.com:
http://windows.microsoft.com/es-xl/windows-vista/what-is-disk-defragmentation
www.computer-freerepair.com. (22 de 11 de 2012). www.computer-freerepair.com. Obtenido de
www.computer-freerepair.com: http://www.computer-freerepair.com/para-que-sirve-eldesfragmentador-de-disco/
www.configurarequipos.com. (2003 de 12 de 15). www.configurarequipos.com. Obtenido de
www.configurarequipos.com: http://www.configurarequipos.com/doc106.html
www.configurarequipos.com. (2008 de 12 de 31). www.configurarequipos.com. Obtenido de
www.configurarequipos.com: http://www.configurarequipos.com/doc1029.html
www.zonavirus.com. (2008). www.zonavirus.com. Obtenido de www.zonavirus.com:
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-defallos.asp