Tema

Tema: FAQ - Problemas Frecuentes
(Leído 759 veces)

Principio del formulario
Que
buscas?.
.
kakar FAQ - Problemas Frecuentes

ottojr « : 18 de ſeptiembre de 2009, 06:12:22 »
Yo vivo en Introducción
CPH
En este FAQ intentaré exponer los
Desconecta problemas más comunes que
do
pueden presentarse en un equipo.
Sexo:
Mensajes:
508 Si es posible, expondré de manera
detallada las características del
fallo, como ha podido surgir, y
cómo debe solucionarse,
planteándose algunas dudas
intermedias.
Frecuentemente, el principal
problema ante un fallo en un
Mis sueños
sn mentiras
equipo, es lo que se encuentra
que un dia
dejaran de
entre la silla y el teclado, es por
serlo esto, que debemos tener cuidado
con lo que hacemos, sobre todo si
no sabemos con exactitud qué es
eso que hacemos.
Espero que sirva de ayuda

Índice
• 1 - Creo que tengo un virus, ¿qué puedo hacer?
• 2 - No puedo ver los archivos ocultos
• 3 - No puedo acceder al registro de Windows
• 4 - No puedo entrar en modo seguro
• 5 - Me aparecen muchas ventanas publicitarias

• 6 - No puedo quitar mi antivirus
Desarrollo
• 1 - Creo que tengo un virus, ¿qué puedo hacer?
Esta es uno de los problemas

más comunes en un equipo con
conexión a internet. Hoy en día
cualquiera puede hacer un
virus, y encima, que ese virus
se propague por multitud de
ordenadores, destruyendo,
creando conflictos internos,
desactivando servicios,
desconfigurando el ordenador,
etc. La gente se divierte
haciendo daño y de eso no
tenemos culpa, pero si
podemos evitarlo.
Como bien he aprendido en el

foro Portal Hacker (hago
especial mención a wanm28,
gran moderador de la zona de
Seguridad), ese alguien que
está entre la silla y el teclado
tiene la mayor parte de la culpa
de que el equipo vaya mal.
Wanm28 dijo en un post, que

nunca se puede estar 100%
seguro, solamente podremos
estar perfectamente aislados si
desconectamos el cable de la
luz del PC; y ¡qué razón tiene!
Para poder prevenirnos de un

virus, necesitamos, ante todo,
saber qué hacemos en todo
momento, asimilar qué hay
circulando por la red, qué
síntomas puede provocar, y
estar atento a cualquier sitio
que no nos proporcione
seguridad.
A nivel de software,
necesitamos un buen antivirus:
yo siempre prefiero un buen
residente que detecte y elimine
malware antes de que yo pueda
ejecutarlos por ejecución, o que
detecte el malware en
funcionamiento y lo pare.
Además de este antivirus,
necesitamos software capaz de
detectar y eliminar malware ya
activo en nuestro equipo, y que
es mucho más difícil de
eliminar, puesto que ha
superado las barreras de
nuestro antivirus, y su código
puede tener muy buenos
sistemas de persistencia.
Pero un antivirus solo nos

defiende de archivos y en
navegación por la red.
Necesitamos, además (hay
algunos antivirus que ya lo
traen incluidos, aunque yo
prefiero tener las cosas
separadas), un firewall que
analice nuestras conexiones
tanto en red privada (equipos
de la oficina, tu casa, etc.)
como de la red global (internet,
programas de mensajería, etc.)
Y ahora la cuestión principal.

¿Qué pasa si aún así el virus ha
traspasado todas las barreras?
Pues debemos recurrir a ese
software al que he hecho
mención, debemos detectar y
eliminar un virus activo.
El procedimiento es mecánico,
pero existen multitud de virus
que causan multitud de
síntomas. A veces hay que
tratarlos de cierta forma, otras
veces basta con ese
procedimiento que voy a
explicar… Hay de todo.
El procedimiento es tal que así:

.
○ a - Restaurar Sistema
Yo he caído en el error de
desactivar esta opción
siempre porque ningún
malware me ha dado la
oportunidad de poder
restaurar sistema.
TuliodeBree me ha
explicado algo que yo no
sabía, y ahora voy a
intentar explicarlo.
Un malware (ya sea virus,

troyano, gusano, etc.)
puede que deshabilite la
opción de restaurar el
sistema, pero puede que no
(ese es mi error). Antes de
desinfectar, debemos
comprobar si podemos
restaurar el sistema a un
punto anterior.
 1 - Para ello debemos ir

a Inicio > Todos los
programas >
Accesorios >
Herramientas del
sistema > Restaurar
Sistema.
 2 - Hacemos clic en
Restaurar mi equipo
a un estado anterior
y en Siguiente.
 3 - En la página
Seleccione un punto
de restauración, haga
clic en el punto de
control del sistema más
reciente de la lista.
Después haga clic en
un punto de
restauración de esta
lista y, a continuación,
haga clic en Siguiente.
Puede aparecer un
mensaje de Restaurar
sistema que enumera
los cambios de
configuración que se
harán. Haga clic en
Aceptar.
 4 - Haga clic en
siguiente y su equipo
se restaurará,
reiniciándose
después.
Si Windows no se inicia se
puede restaurar el sistema
desde el símbolo de
sistema.
 1 - Para ello dedes

entrar en modo seguro
(véase punto c) y
logearte como
administrador.
 2 - Una vez dentro,
abre una Shell (Inicio >
Ejecutar… ó teclas
Windows+R) y ponga el
siguiente comando:
%systemroot
%\system32\restore
\rstrui.exe
 3 - Después solo tiene
que seguir las
instrucciones que irán
apareciendo.
Si no puede entrar en modo

seguro, le queda otra
opción, y es utiliza un
disco de rescate de
Windows y seguir el
mismo proceso anterior: a
través de ese comando.
Puede que el virus siga

estando presente aun
habiendo restaurando. Eso
quiere decir que ya es
demasiado tarde para
restaurar. Hay que
desinfectar, y para eso
debes de seguir el siguiente
punto:
• .
○ b - Desactivamos
"Restaurar Sistema"
Lo principal, es que si
eliminamos el virus, no
vuelva a nuestro equipo
tras una restauración del
sistema.
Algunos virus hacen esto

porque ha pasado el tiempo
suficiente como para que
ningún punto de
restauración se libre de la
infección, es decir, es
demasiado tarde para
restaurar, porque el bicho
lleva mucho tiempo en
nuestro equipo.
Para evitar que pueda
reaparecer al restaurar
sistema, y para poder
eliminarlo de ahí, hace falta
desactivar “Restaurar
Sistema”
 1 - Click derecho en Mi
PC, Propiedades
 2 - Click en pestaña
“Restaurar Sistema”
 3 - Marca la casilla
“Desactivar
Restaurar sistema en
todas las unidades”
 4 - Aplicar y Aceptar
.
○ c - Analizar, desinfectar
y limpiar
Para la correcta
desinfección de tu equipo,
hay que seguir una serie de
pasos, algunos hay que
realizarlos en el modo
normal de inicio (cargar
Windows normalmente), y
otros hay que realizarlos en
el modo seguro de inicio
(cargando los mínimos
recursos y servicios de
Windows)
Todo esto habría que

hacerlo en modo normal:
 1 - Baja este escáner:

Dr Web Cureit!
Este escáner es uno de

los mejores que he
utilizado, es muy eficaz
y siempre hay nuevas
versiones actualizadas
en su página oficial, por
lo que es conveniente
que bajes la última
versión, o actualices la
que descargues.
Nota: Este escáner no

actúa como residente,
así que no tienes por
qué desinstalar tu
antivirus
.
 2 - Baja este Anti-

malware:
Malwarebytes
Asegúrate de bajar la
última versión, o
actualiza la que bajes.
Nota: Este escáner no
actúa como residente,
así que no tienes por
qué desinstalar tu
antivirus
.
 3 - Pasa este limpiador

de registro u otros que
puedas tener:
CCleaner
CCleaner es un software
muy potente para
resolver problemas con
el registro, da la opción
de crear una copia de
seguridad de las
modificaciones, por si
no dan buenos
resultados. Pero
siempre los dan.
Además de pasarlo,
debes ir a la pestaña
“Herramientas,
Inicio” y desactivar
cualquier programa que
desconozcamos.
.
 4 - Sigue los procesos
del modo seguro
.
 5 - Pasa el limpiador
de registro que
pasaste anteriormente
.
Todo esto en modo

seguro:
 1 - Pasa el escáner que

 2 - Pasa el Anti-
malware que pasaste
anteriormente
 3 - Pasa el limpiador
de registro que
.
Para entrar en el modo

seguro hay que hacer lo
siguiente:
 1 - Al arrancar pulsa F8
repetidas veces ANTES
de que aparezca la
pantalla de carga de
Windows
Aparecerá una pantalla

en negro con letras
grises, baja con las
flechas del teclado y
pulsa “Enter” encima de
"Modo seguro"
.
 2 - Si la primera opción
no funciona, ve a
Ejecutar... (Tecla
Windows+R) y pon
"msconfig" sin
comillas, pulsa “Enter”,
te diriges a
"BOOT.INI" y marca la
casilla "/SAFEBOOT".
Pulsa aplicar y aceptas,
en la siguiente pantalla
pulsa "Reiniciar
ahora" y reiniciará en
modo seguro.
Acuérdate de
desmarcar esa casilla
cuando te encuentres
en modo seguro
.
Yo aconsejo la primera
.
opción
○ d - HiJackThis
Saca un log del Hijackthis y

súbelo a Portal Hacker,
sección de Seguridad, y le
echaremos un vistazo si tú
no sabes analizarlo
correctamente.
Puedes descargarlo de aquí:

HiJackThis
O puedes descargar la
versión portable por si el
malware no te deja instalar
nada. HiJackThis Portable
NOTA: Si no te dejase
instalar ningún software,
busca el software que he
mencionado, en versión
portable. Es sencillo, solo
tienes que poner en google:
“Nombre del soft Portable”
(Sin comillas y sustituyendo
“Nombre del soft” por el
nombre del software que
necesitas)
 1 - Cierra todos los

programas y abre
HijackThis
 2 - Dale a la opción de
Hijackthis "Do a
system scan and save
a logfile", y copia
TODO el informe final
en uno o más posts
Realizando esos tres pasos,

el virus suele desaparecer.
Si persiste debemos
analizar qué hace
concretamente el virus, y
por qué persiste.
Algunos aspectos a tener

en cuenta pueden ser los
siguientes:
 Recordar si había
unidades extraíbles
(USB’s, HD’s Externos,
etc.) introducidas en el
equipo cuando notaste
que algo iba mal.
 Extraer dichas unidades
a la hora de desinfectar
 En caso de que el
problema se solucione,
pasar el escáner y el
anti-malware a dichas
unidades.
.
Las unidades extraíbles son

unos de los principales
.
medios de propagación.
• 2- No puedo ver los archivos ocultos
Este problema suele darse

cuando un malware nos ha
infectado, y puede perdurar
aún habiéndolo eliminado.
Normalmente basta con

modificar una opción de las
carpetas, o modificando una
entrada del registro si el virus
ha deshabilitado la primera
opción. Pero a veces el
problema vuelve a surgir al
arreglarlo.
Esto pasa porque no hemos

quitado el virus correcto, o
porque queda algún malware
que produce dichos cambios.
Lo más normal es que, pasando

los software que hemos visto
en el punto anterior, localice
este malware y lo elimine.
De todas formas pongo una

serie de pasos que pueden
ayudarte:
○ Descargar y ejecutar la
herramienta RegUnlocker
utilizando la opción
"Reparar la visualización
de archivos ocultos".
Si el problema continúa seguir

estos pasos:
○ Ir a Inicio, Ejecutar (Teclas

“Windows+R”), escribir
“regedit” y presionar la
tecla “Enter”.
○ En el Editor de registro
navegar hasta llegar a esta
clave de registro:
Citar
HKEY_CURRENT_USER\Software\Microsoft\Window
s\CurrentVersion\Explorer\Advanced
○ En el panel de la derecha de
la subclave Advanced,
buscar el valor Hidden y
darle doble clic.
○ Si Hidden tiene asignado el
valor 2, significa que NO se
mostrarán los archivos o
carpetas ocultos. Por el
contrario si Hidden tiene
asignado el valor 1,
significa que SI se
mostrarán los archivos o
carpetas ocultos.
.
• 3- No puedo acceder al registro de Windows

infectado. Normalmente se
debe a una modificación del
propio registro. Es fácil de
solucionar usando HiJackThis, y
para ello me serviré de un
ejemplo del foro:
Citar
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.1679 1)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol
120\StarWind\StarWindServiceAE.exe
C:\ARCHIV~1\AVG\AVG8\avgam.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\ARCHIV~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\Archivos de programa\Illusion\Software\VisualTaskTips\VisualTaskTips.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\Administrador\Configuración local\Datos de
programa\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\taskmgr.exe
----- Omito parte del log -----
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-

1755C3F6253B} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465}
- (no file)
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-
22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer -
{3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program
Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker. NavFilter - {3CA2F312-6F6E-4B53-A66E-
4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no
file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-
4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos
comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -
(no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-
9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDete ctorImpl - {E7E6F031-17CE-4C07-BC86-
EABFE594F69C} - C:\Archivos de
programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} -
(no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-
31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -
(no file)
O3 - Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} -
(no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} -
C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de
programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos
comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System
Files Updater.exe /S
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Archivos de
programa\Illusion\Software\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows
Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and
Settings\Administrador\Configuración local\Datos de
programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol
Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User
'SERVICIO LOCAL')
(User 'Servicio de red')
'Servicio de red')
(User 'SYSTEM')
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User
'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos
comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat
2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat
2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat
2\YzShadow\YzShadow.exe
O4 - Global Startup: Privoxy.lnk = C:\Archivos de programa\Vidalia
Bundle\Privoxy\privoxy.exe
O7 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
----- Omito parte del log -----
A ver, este usuario tiene un

virus que le desactiva el
registro. El problema se
resolvió solamente mirando el
log del HiJackThis:
Las 02 tienen una referencia

típica de un virus que la crea
aleatoriamente, por eso deben
ser marcadas.
Con las 03 pasa exactamente lo

mismo.
En la 04 encontramos al virus.
Para identificarlo debemos de
buscar dicho archivo en
internet, y si no se identifica
con ningún proceso del
sistema, se elimina.
En la 07 encontramos el
problema del registro, vemos
que está desactivado.
Se marcan dichas líneas y se

reinicia.
Si el virus no se ha eliminado
correctamente, puedes recorrir
al Dr Web Cureit! o a
Malwarebytes, o si lo prefieres
a SuperAntyspiware.
Existe otra opción que es

descargar una herramienta,
porque existen casos en los que
esto no tiene efecto:
Regunlocker
.
• 4- No puedo entrar en modo seguro

infectado. Normalmente se
debe a diversas modificaciones
en el registro y en archivos de
arranque del sistema.
Hay unas herramientas que

pueden reparar el modo
seguro:
Esta deshace algunos posibles

cambios realizados por un
virus:
http://www.megaupload.com/?
d=BOD80F0V
Estas intentan reparar el modo

seguro:
http://www.megaupload.com/?
d=V771FPMN
http://www.forospyware.es/Des
cargas/SafeModeRepair.zip
Básicamente estas dos hacen lo

mismo, pero el segundo es un
archivo .reg
También puedes utilizar la

opción que trae el programa
SUPERAntispyware, para
ello:
Ir a Preferences > Repairs >
marcar “Repair broken
SafeBoot Key” y aceptar
.
• 5 - Me aparecen muchas ventanas publicitarias
Este tipo de problema se debe

a varias posibles cosas.
Normalmente se debe a la
instalación de software, que
instala paralelamente barras
con publicidad o accesorios,
etc. Porque no nos molestamos
en leer lo que indica el
programa y simplemente le
damos a “Siguiente”, “Si”,
“Finalizar” sin leer que le va a
pasar a nuestro equipo.
Otras veces se debe a un

malware, generalmente un
worm (gusano), que nos
infecta, se va (se va a otros
equipos, pero en el nuestro
sigue), y nos deja el regalito. O
un virus, que genere cada vez
más ventanas, ya sean
publicitarias o no, y que este en
nuestro PC.
El método para esto es como lo

normal para los virus, pero
podemos encontrarnos algunos
casos, en los que después de
realizar dichos pasos, todavía
tengamos el mismo problema.
Lo primero es intentar restaurar

sistema, y si no da resultado,
procedemos a desinfectar.
Si hemos realizado todos los
scans necesarios, debe de
habernos encontrado los
malware, causantes del
problema. Si no es así, se
puede deber a varias cosas:
○ Que el malware ya no esté

presente en el equipo, es
decir, es un problema en el
registro, u otros archivos
○ Que sea problema de un
software que hemos
instalado, y por tanto, tiene
permiso para hacer lo que
hace (nosotros aceptamos
el acuerdo del usuario)
○ Que el malware sea
indetectable (o
“inofensivo”) según la base
de firmas del software que
estamos utilizando.
En cualquier caso el proceso va

a ser el mismo, debemos sacar
un log con el HiJackThis, y
analizarlo. En él veremos los
procesos activos, y posibles
entradas en el registro que no
deban estar ahí.
Este log es un buen ejemplo de

ese caso:
Citar
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:27:12, on 21/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.1664 0)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDDLL32.exe
C:\WINDOWS\system32\IEXPLORER.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device
Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Opera\opera.exe
C:\WINDOWS\system32\EXPLORERR.exe
C:\Documents and Settings\Administrador\Escritorio\Analiza, Desinfecta y
Limpia\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.mbuscas.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-
02D8C59F9B1D} - C:\Archivos de
programa\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHelperSt ub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -
C:\Archivos de programa\Archivos
comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -
C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} -
C:\Archivos de programa\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-
0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-
4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos
comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos
de programa\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} -
C:\Archivos de programa\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}
- C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} -
C:\Archivos de programa\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart
Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de
programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de
programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rundll32] C:\WINDOWS\system32\RUNDDLL32.exe
(User 'SERVICIO LOCAL')
'SERVICIO LOCAL')
(User 'Servicio de red')
'Servicio de red')
(User 'SYSTEM')
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User
'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de
programa\MP3 Player Utilities 4.07\AMVConverter\grab.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver -
res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file -
C:\Archivos de programa\MP3 Player Utilities 4.07\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-
5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-
5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-
f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A13DD41D-3244-43F8-9D3A-
01DC20616573}: NameServer = 200.28.4.129 200.28.4.130
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} -
C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos
comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group -
C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de
programa\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de
programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET
Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de
programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de
programa\iPod\bin\iPodService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software
GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 7445 bytes
He señalado algunas cosas en

negrita, y otras en negrita y
rojo.
Las que están en negrita
significa que me han ayudado
para identificar el problema y
las de rojo, significa que son el
posible problema.
Estas son:
Citar
C:\WINDOWS\system32\RUNDDLL32.exe
C:\WINDOWS\system32\IEXPLORER.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\EXPLORERR.exe
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-
O4 - HKCU\..\Run: [Rundll32] C:\WINDOWS\system32\RUNDDLL32.exe
Explorer.exe es un proceso
legítimo de Windows, alojado
en la carpeta Windows como
podemos ver. Si nos fiamos,
vemos un proceso llamado
EXPLORERR.exe, alojado en la
carpeta system32. Ese no
pertenece a Windows, es uno
de los virus.
Lo mismo pasa con el proceso
runddll32.exe, el legítimo de
Windows sería Rundll32.exe
También podemos ver que usa
Firefox (firefox.exe), entonces
el proceso iexplorer.exe es
parte del virus también.
La entrada del URLSearch es

algo extraña, y tiene una
estructura bastante rara.
Por último vemos que el

proceso runddll32.ese se inicia
con Windows por medio de esa
entrada del registro, así que ahí
tenemos la raíz del problema.
Ese archivo hay que eliminarlo.
Si el antivirus y los scans no lo
detectaron, hay que buscarlo
manualmente y borrarlo con
programas como FileAsassin,
Killbox o Unlocker.
File Assassin
Kill Box
.
Unlocker
• 6 - No puedo quitar mi antivirus
En la mayoría de los casos, no

podemos quitar el antivirus
porque no leemos las
prohibiciones de los mismos. Es
decir, si dice que no podemos
tener otro antivirus como
residente, pues no podemos
tener otro antivirus como
residente.
Cuando instalamos un antivirus,

y ya tenemos otro instalado,
pueden pasar dos cosas:
○ Que te avise de lo que

pasa, y te deje seguir
adelante
○ Que te avisa de lo que
pasa, y no te deje seguir
hasta que lo desinstales
El problema viene de la primera

opción, y sea crea una
incompatibilidad que, en
muchos casos, termina por
dejarnos inestable el equipo, y
casi imposible de manejar.
Cuando esto pasa, debemos

intentar restaurar el equipo a
unos días antes de que
instalásemos el antivirus:
○ 1 - Para ello debemos ir a

Inicio > Todos los
programas > Accesorios
> Herramientas del
sistema > Restaurar
Sistema.
○ 2 - Hacemos clic en
Restaurar mi equipo a un
estado anterior y en
Siguiente.
○ 3 - En la página
Seleccione un punto de
restauración, haga clic en
el punto de control del
sistema más reciente de la
lista. Después haga clic en
un punto de restauración
de esta lista y, a
continuación, haga clic en
Siguiente. Puede aparecer
un mensaje de Restaurar
sistema que enumera los
cambios de configuración
que se harán. Haga clic en
Aceptar.
○ 4 - Haga clic en siguiente
y su equipo se
restaurará, reiniciándose
después.
Si Windows no se inicia se
puede restaurar el sistema
desde el símbolo de sistema.
○ 1 - Para ello dedes entrar

en modo seguro (véase
punto c) y logearte como
administrador.
○ 2 - Una vez dentro, abre
una Shell (Inicio >
Ejecutar… ó teclas
Windows+R) y ponga el
siguiente comando:
%systemroot
%\system32\restore\rs
trui.exe
.
○ 3 - Después solo tiene que

seguir las instrucciones
que irán apareciendo.
Si no puede entrar en modo

seguro, le queda otra opción,
y es utiliza un disco de
rescate de Windows y seguir
el mismo proceso anterior: a
través de ese comando.
Si no podemos restaurar
sistema de ninguna de estas
dos cosas, tenemos que probar
a desinfectar el equipo, por si
hay algún malware. Para ello
sigue los pasos de la primera
entrada.
Encuentre o no encuentre algo,
el problema de incompatibilidad
seguirá estando. Por tanto
tenemos que tocar el registro
para que no arranque el
antivirus, así que es mejor
realizarlo en modo seguro.
○ 1 - Le damos a Ejecutar…
(Windows+R) y ponemos
msconfig, pulsamos Enter y
vamos a la pestaña
Servicios.
○ 2 - Deshabilitamos todos
los servicios que hagan
referencia al antivirus (el
último en instalarse, el que
ha dado los problemas)
○ 3 - Ahora le damos a la
pestaña Inicio
○ 4 - Desmarcamos todas las
entradas que hagan
referencia al antivirus
○ 5 - Reinicia y prueba a
desinstalar el antivirus, si
no te deja, sigue con el
punto 6, si te ha dejado,
sigue leyendo si quieres
saber más para la próxima
○ 6 - Le damos a Ejecutar… y
ponemos regedit, si lo
tuvieras bloqueado, lee la
entrada 3.
○ 7 - Busca estas entradas:
HKEY_LOCAL_MAC HINE\SOFTWARE\Microsoft\Shared
Tools\MSConfig\startupreg
KEY_LOCAL_USER\SOFTWARE
○ 8 - Borra todas las entradas

que hagan referencia a tu
antivirus
○ 9 - Guarda, reinicia y
desinstala el antivirus. El
problema debe estar
resuelto
.
[/list]
« Última modificación: 25 de ſeptiembre de 2009, En

10:56:56 por wanm28 » línea
Temas importantes
FAQ - Problemas Frecuentes

FAQ - Seguridad [Aportes & Temas Interesantes]
kakarottoj Re: FAQ - Problemas
r Frecuentes
Yo vivo en CPH « Respuesta #1 : 18 de ſeptiembre de 2009,
06:16:25 »
Desconectado
Pensé en poner algunos
Sexo: problemas antes de postear,
Mensajes: 508
asi que hice esos, aunque
podría modificarlos todavía.
Como veis, no incluyo dentro

de "Cómo eliminar un virus"
algunos problemas que
siempre surgen como "no
puedo ver archivos ocultos" o
Mis sueños sn "no deja abrir el registro".
mentiras que un dia
dejaran de serlo
Lo mismo pasará con otros
problemas, los voy a analizar
independientemente, así como
otros que hemos tenido por el
foro y estoy buscando, pues
nos dieron mucha guerra.
Espero que me ayudéis a

encontrar problemas que
pueda introducir. Con que me
digais el post, yo mismo
adaptaré el problema a este
FAQ
En línea
Temas importantes

proton6 Re: FAQ

Colaborador
-
Proble
Desconectado
mas
Sexo:
Mensajes: 2,704
Frecuen
tes
« Respuesta
#2 : 18 de
ſeptiembre de
2009, 09:28:03
»
Muyy
weno
Sera util
pa
muchos.
La cosa
esque (es
un
consejo,
nada mas)
que des
enlaces
alternativo
s por
rapidshare
o alguno,
ya que
muchos
viruses,
gusaneses
y demas,
impiden
entrar a
esas
paginas.
Lo se por
por
experienci
a
En línea
"Las ideas son más

poderosas que las
armas. Nosotros no
dejamos que
nuestros enemigos
tengan armas, ¿por
qué dejaríamos que
tuvieran ideas?"
r Frecuentes
10:38:00 »
Desconectado Cita de: proton6 en 18 de ſeptiembre de 2009,

09:28:03
Sexo:
Mensajes: 508 Muyy weno Sera util pa muchos.
La cosa esque (es un consejo, nada mas) que des

enlaces alternativos por rapidshare o alguno, ya que
muchos viruses, gusaneses y demas, impiden entrar a
esas paginas. Lo se por por experiencia
Ok, no sabía eso muchas

gracias ^^
Mis sueños sn
Buscaré soft portable
mentiras que un dia
dejaran de serlo
entonces, por si acaso el
malware tampoco deja
instalar
En línea
Temas importantes

kakar Re: FAQ - Problemas

ottojr Frecuentes
Yo vivo en « Respuesta #4 : 24 de ſeptiembre de 2009, 09:05:11 »
CPH
Actualizo con una nueva entrada:

Desconecta
do
"5 - Me aparecen muchas ventanas publicitarias"
Sexo:
Mensajes:
Espero vuestras críticas
508 constructivas xD
Es una entrada desarrollada a

partir del siguiente post:
http://foro.portalhacker.net/index.
php/topic,91807.0.html
En línea
Mis sueños sn Temas importantes

mentiras que
un dia FAQ - Problemas Frecuentes
dejaran de FAQ - Seguridad [Aportes & Temas Interesantes]
serlo
nacherfaller Re: FAQ - Problemas

CPH
Frecuentes
« Respuesta #5 : 24 de ſeptiembre de 2009,
09:15:51 »
Desconectado
Bufff Kakar es estupendo, te
Sexo:
Mensajes: 1,683 lo has currado.
Enhorabuena.
Saludos.
En línea
BadBoysBadBoys
Reglas Software
Reglas Pedidos de Programas
Cracks o serials
Reportar al moderador por incumplimiento de
normas
Visita ARGENIVERSO!
kakar Re: FAQ - Problemas

ottojr Frecuentes
Yo vivo en « Respuesta #6 : 24 de ſeptiembre de 2009, 10:16:55 »
CPH
Cita de: nacherfaller en 24 de ſeptiembre de 2009,
09:15:51
Desconecta Bufff Kakar es estupendo, te lo has currado.
do
Enhorabuena.
Sexo:
Mensajes: Saludos.
508
Muchas gracias ^^
Otra entrada más: "6 – No puedo quitar mi

antivirus"
Desarrollado a partir de este post:

http://foro.portalhacker.net/index.
Mis sueños sn php/topic,91947.0.html
mentiras que
un dia Especial mención a fedep78 que
dejaran de
serlo
resolvió el problema
En línea
Temas importantes

fedep78 Re: FAQ - Problemas

Yo vivo en CPH
Frecuentes
« Respuesta #7 : 25 de ſeptiembre de 2009,
Desconectado 12:18:45 »
Sexo: Hola kakarottojr

Mensajes: 314
Muchas gracias por la dicha

mención..!!!
Saludos!
En línea
Si la vida te da la
espalada, pues tocale
el ....
r Frecuentes
12:41:09 »
Desconectado
Denada tio, lo dicho ^^
Sexo:
Mensajes: 508
En línea
Mis sueños sn
mentiras que un dia Temas importantes
dejaran de serlo
Final del formulario

Tema

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema

Uploaded by

Copyright:

Available Formats

Tema: FAQ - Problemas Frecuentes

(Leído 759 veces)

kakar FAQ - Problemas Frecuentes

Espero que sirva de ayuda

• 1 - Creo que tengo un virus, ¿qué puedo hacer?

• 2 - No puedo ver los archivos ocultos

• 3 - No puedo acceder al registro de Windows

• 4 - No puedo entrar en modo seguro

• 5 - Me aparecen muchas ventanas publicitarias

Esta es uno de los problemas

Como bien he aprendido en el

Wanm28 dijo en un post, que

Para poder prevenirnos de un

Pero un antivirus solo nos

Y ahora la cuestión principal.

El procedimiento es tal que así:

Un malware (ya sea virus,

 1 - Para ello debemos ir

 1 - Para ello dedes

Si no puede entrar en modo

Puede que el virus siga

Algunos virus hacen esto

Todo esto habría que

 1 - Baja este escáner:

Este escáner es uno de

Nota: Este escáner no

 2 - Baja este Anti-

 3 - Pasa este limpiador

Todo esto en modo

 1 - Pasa el escáner que

Para entrar en el modo

Aparecerá una pantalla

Saca un log del Hijackthis y

Puedes descargarlo de aquí:

 1 - Cierra todos los

Realizando esos tres pasos,

Algunos aspectos a tener

Las unidades extraíbles son

• 2- No puedo ver los archivos ocultos

Este problema suele darse

Normalmente basta con

Esto pasa porque no hemos

Lo más normal es que, pasando

De todas formas pongo una

Si el problema continúa seguir

○ Ir a Inicio, Ejecutar (Teclas

• 3- No puedo acceder al registro de Windows

Este problema suele darse

----- Omito parte del log -----

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-

----- Omito parte del log -----

A ver, este usuario tiene un

Las 02 tienen una referencia

Con las 03 pasa exactamente lo

Se marcan dichas líneas y se

Existe otra opción que es

• 4- No puedo entrar en modo seguro

Este problema suele darse

Hay unas herramientas que

Esta deshace algunos posibles

Estas intentan reparar el modo

Básicamente estas dos hacen lo

También puedes utilizar la

• 5 - Me aparecen muchas ventanas publicitarias