Tabla de contenido

Contenido Tabla de contenido ........................................................................................................................... 1

TUTORIAL TREND MICRO HIJACKTHIS (USO BASICO).......................................................................... 3

Manual Avanzado de Cómo usar HijackThis para remover hijackers, spywares y adwares.

(HijackThis Tutorial in Spanish).................................................................................................... 13

MANUAL DEL REGISTRO DE WINDOWS BASICO. .............................................................. 66

Manual avanzado de Como modificar las claves y valores del Registro de Windows ........ 75

¿Qué es el Registro de Windows y Regedit? ........................................................................ 75

¿Cómo abrir REGEDIT el Editor del Registro? ................................................................. 76

¿Cómo editar las claves y valores del Registro? .................................................................. 76

Reglas a seguir para crear los scripts o archivos REG .................................................... 79

Permisos para editar el registro ........................................................................................... 80

Ubicación de las claves mas editadas del Registro .......................................................... 80

Consejos antes de efectuar algún cambio en el Registro ................................................ 82

Manual del Registro de Windows, estructura y funciones elementales ................................. 84

Ubicación de los archivos del Registro ............................................................................... 85

Cómo podemos modificar el contenido del Registro de Windows.................................. 86

Estructura del Registro de Windows ....................................................................................... 90

Algunas claves importantes del Registro de Windows ..................................................... 92

HKEY_LOCAL_MACHINE (HKLM) ..................................................................................... 93

Métodos prácticos de editar el Registro .............................................................................. 94

Ejemplos prácticos de algunas modificaciones al sistema .............................................. 95

Otras modificaciones en el Registro de Windows ............................................................. 96

Manual del MSCONFIG ................................................................................................................. 97

Scanner .......................................................................................................................................... 103

¿Qué es la desfragmentación de discos? ................................................................................ 104

¿Para qué sirve el desfragmentador? ....................................................................................... 104

Clúster (sistema de archivos) ..................................................................................................... 112

Tamaño de unidad de asignación .......................................................................................... 112

Formatos .................................................................................................................................... 113

Cómo reparar un clúster dañado en un disco duro.............................................................................. 113

Usando CHKDSK para reparar los problemas de tu disco duro ............................................... 113

Como Arrancar en modo seguro o a prueba de fallos ............................................................ 115

Para que sirve reiniciar la pc en Modo a prueba de Fallos .................................................... 123

TUTORIAL TREND MICRO

HIJACKTHIS (USO BASICO)

Introducción:

El Trend Micro™ HijackThis™ es un programa muy utilizado por

profesionales de la informática para detectar y en su caso ayudar a

eliminar algunas infecciones.

Sin embargo, éste programa es muy avanzado para el usuario medio,

por lo que se recomienda su uso sólo bajo la supervisión de un

experto en el uso del programa, ya que su mal uso puede dejar

inservible el sistema, incluso siendo necesario formatear para

solucionarlo.

Éste tutorial estará conformado por 2 secciones.

El primero (éste que estamos leyendo) va dirigido a esos usuarios

novatos que desean aprender el uso de éste programa.

El segundo irá dirigido a esos usuarios avanzados que ya se dan una

idea del funcionamiento de un sistema, y que se sienten capaces de

aprender a interpretar el reporte que entrega.

Pero una advertencia importante: Si no sabemos qué es lo que

estamos moviendo, mejor no hay que mover nada y preguntar en el

foro para que uno de los moderadores autorizados analice el log, así

estaremos seguros de lo que se puede o no eliminar.

Nota: Aunque el nombre oficial del programa esTrend Micro™

HijackThis™, nos referiremos a él simplemente por sus siglas HJT

Descripción del programa:

Dejemos algo bien claro: el HJT NO es un antivirus, ni un antispyware,

ni siquiera un limpiador de registro, ni mucho menos es (como muchos

piensan) una varita mágica que va a eliminar cualquier virus o

spyware. Es más, ni siquiera debe ser la primera herramienta a usar

para eliminar o detectar malware.

Si tuviera que describirlo, diría que es simplemente un manipulador del

registro.

El registro es fundamental para el sistema, ya que en él se tiene

documentado todo lo que ocurre en el sistema (programas que hemos

instalado, si se puede o no cambiar la página de inicio de internet

Explorer, etc.), por lo que la mayoría de los malware utilizan el registro

para meterse en el sistema, ejecutarse cada que reiniciamos, impedir

cambios en la página de inicio, etc.

Aquí es donde entra el HijackThis. Analiza el registro en las zonas más

comunes donde puede encontrarse algún malware, así que nos dirá

que sucede en el sistema.

Sin embargo, el programa sólo analiza esas partes del registro, pero

no elimina absolutamente nada. Somos nosotros como usuarios los

que debemos eliminar lo que no debería estar en el registro.

Es más, el HJT sólo debe usarse como último recurso y para confirmar

resultados. Antes de usar el HJT, deberemos hacer una limpieza

profunda.

Antes de usar el HJT

Los moderadores del foro recomiendan formas distintas para eliminar

bichos del sistema y cualquiera de ellas funciona, pero esta es la que

yo recomiendo:

Paso 1: Descargar e instalar los siguientes programas:

Spybot (Manual de uso aquí)

Superantispyware (Manual de uso aquí)

Ccleaner (Manual de uso aquí)

Unlocker (Para desbloquear archivos que no se pueden eliminar.

Manual de uso aquí)

RegSeeker. (Este último no requiere instalación. Sólo hay que

descomprimirlo y mover la carpeta a archivos de programa. Luego hay

que crear un acceso directo del ejecutable en el escritorio)

Paso 2: Iniciar en modo seguro con funciones de red

Paso 3: Hacer una limpieza de archivos temporales con el Ccleaner

Paso 4: Actualizar el Superantispyware, y el Spybot

Paso 5: Escanear el equipo con el ad Superantispyware, y después

con el Spybot y limpiar lo que te encuentren.

Paso 6: Escanear el equipo con algún antivirus en línea. Yo

recomiendo alguno de estos: *

Panda antivirus on-line

Computer associates on-line

Trend micro on-line (Para usar éste, hay que tener instalado el Java)

Bit defender on-line

Nod32 on-line

Paso 7: Reiniciar nuevamente en modo seguro y escanear

nuevamente con el Spybot y limpiar lo que encuentre

Paso 8: Hacer una limpieza de registro con el Regseeker

Paso 9: Reiniciar en modo normal y usar el HJT, que es lo que

aprenderemos a hacer.

*Nota 1: Con excepción del Trend Micro on-line, el escaneo debe

hacerse desde el Internet Explorer 6 o superior. No funciona en

Firefox, Opera ni ningún otro navegador.

*Nota 2: Hasta donde tengo entendido, una función integrada en

Windows vista (llamada sandbox), el escaneo on-line puede detectar

los virus, pero no puede eliminarlos. Hay que eliminarlos manualmente

cuando detecten algo.

Descarga.

El programa lo podemos encontrar en la página oficial:

http://www.trendsecure.com/portal/en-

US/tools/security_tools/hijackthis/download

O también lo encontraremos en nuestra sección de programas:

http://www.configurarequipos.com/descargar-trend-micro-hijackthis-

204-final.html

Si lo bajamos de la página oficial, veremos que tenemos 3 opciones: el

ejecutable, el archivo comprimido y el instalador.

Recomiendo el instalador, ya que al hacer cambios en el registro, crea

una copia de seguridad de los cambios, y si algo nos falla podemos

recuperar lo que hemos eliminado. Sin embargo, si usamos el

ejecutable, también creará una copia de seguridad, pero en el lugar

donde lo estemos ejecutando (como en el escritorio o en la carpeta de

documentos, por lo que podríamos eliminarlo por accidente.

Instalación

Al ejecutar el instalador nos preguntará dónde deseamos que guarde

los archivos del programa. Dejemos eso como está y le damos en

install.

Después nos saldrá la licencia de uso tras lo cual la aceptamos dando

clic en I Accept.

Después de eso, nos saldrá la pantalla principal del programa.

Pantalla principal

En la pantalla principal del programa, aparecen las siguientes

opciones:

Do a system scan and save a log file (Escanear el sistema y guardar el

reporte)

Do a system scan only (Sólo escanear el sistema)

View the list of backups (Ver la lista de respaldos)

Open the Misc Tools secction (Abrir la sección de herramientas)

Open online HijackThis quick start (Abrir el inicio rápido on-line)

None of the above, just start the program (Nada de lo anterior, solo

iniciar el programa)

La realidad es que este programa requiere pocas configuraciones. De

hecho, la gran mayoría funcionarán bien con la configuración que

viene preinstalada. En la segunda parte del tutorial (la de usuarios

avanzados) sí veremos algunas de estas configuraciones.

Análisis.

Después de hacer una limpieza profunda y si aún tenemos problemas

con algún malware. Abrimos el HJT y le damos donde en el primer

botón, es decir, donde dice Do a system scan and save a log file

Esto generará un archivo de texto con el nombre hijackthis.log

Este es el reporte que entregará. Si somos usuarios novatos, tenemos

que hacer lo siguiente:

1: Abrir un post en el foro.

2: En el título del post, le ponemos alguna descripción de lo que hace

(o no hace, según el caso) nuestro equipo

3: En el cuerpo del post, escribimos lo que ya hemos hecho (esto es

muy importante)

4: Copiar y pegar el reporte que nos entregó el programa.

Eliminación de entradas

Cuando el moderador nos indique que hacer, normalmente nos dirá

que marquemos algunas entradas y le demos en fix checked.

Esto no es complicado pero veremos cómo se hace:

Abrimos nuevamente el programa, pero ésta vez le damos al segundo

botón: Do a system scan only.

En el lado izquierdo aparecerán unos cuadritos para marcarlos. PERO

SÓLO SE DEBEN MARCAR LO QUE LOS MODERADORES NOS

INDIQUEN. De lo contrario, puede dejar inservible el sistema.

Finalmente, en la parte de abajo le damos en donde dice fix checked.

Nos saldrá una advertencia de cuántas entradas eliminará, así que lo

aceptamos.

Finalmente seguiremos las instrucciones que nos haya dado el

moderador, que normalmente incluye (entre otras cosas) pegar un

reporte nuevo.

Recuperación de entradas

En algunos casos (muy raros de hecho) es necesario restaurar

algunas entradas que habíamos eliminado. (Esto también se hará bajo

supervisión de un moderador)

Para recuperar una entrada, abrimos el HJT y le damos en el tercer

botón, es decir, donde dice View the list of backups

Seleccionamos la entrada que nos haya dicho el moderador y luego le

damos en donde dice Restore

Nos preguntará si realmente deseamos recuperar esa entrada y le

ponemos que sí.

Pues bien, esto es todo lo que necesitamos saber del uso del

programa. Pero si nos sentimos capaces de analizar el reporte,

veamos el segundo Tutorial HijackThis (Análisis del log).

Manual Avanzado de Cómo usar

HijackThis para remover hijackers,

spywares y adwares. (HijackThis Tutorial

in Spanish)

Tabla de contenidos

1. Advertencia 2. Introducción 3. Cómo usar HijackThis 4. Cómo restaurar los elementos borrados por error 5. Cómo generar un inicio Listing 6. Cómo utilizar el Administrador de procesos 7. Cómo utilizar el Administrador de archivos Hosts 8. Cómo usar el botón Eliminar en la herramienta de reinicio 9. Cómo utilizar ADS Spy 10. Cómo utilizar el Administrador de desinstalación 11. Cómo interpretar las listas de exploración 12. R0, R1, R2, R3 Secciones 13. F0, F1, F2, F3 Secciones 14. N1, N2, N3, N4 Secciones 15. O1 Sección 16. O2 Sección 17. Sección O3 18. O4 Sección 19. O5 Sección 20. O6 Sección 21. O7 Sección 22. O8 Sección 23. O9 Sección 24. O10 Sección 25. O11 Sección 26. O12 Sección

27. O13 Sección 28. O14 Sección 29. O15 Sección 30. O16 Sección 31. O17 Sección 32. O18 Sección 33. O19 Sección 34. O20 Sección 35. O21 Sección 36. O22 Sección 37. O23 Sección 38. O24 Sección 39. Conclusión

Advertencia

HijackThis sólo debe utilizarse si su navegador o la computadora sigue teniendo problemas después de ejecutar Spybot u otro spyware / secuestrador removedor. HijackThis es una herramienta avanzada, y por lo tanto requiere un conocimiento avanzado sobre sistemas operativos Windows y en general. Si elimina elementos que aparecen, sin saber lo que son, que puede conducir a otros problemas tales como la Internet ya no está trabajando o problemas al ejecutar el propio Windows. Usted también debe tratar de limpiar el spyware / secuestrador / troyano con todos los otros métodos antes de usar HijackThis. Si permite HijackThis para eliminar las entradas antes de que otra herramienta de eliminación analiza el equipo, los archivos del secuestrador / spyware todavía se quedarán en el equipo y herramientas de eliminación de futuro no será capaz de encontrarlos.

Si usted no tiene conocimientos avanzados de informática que NO debe arreglar las entradas con HijackThis sin consultar a un experto en el uso de este programa. Si ya ha ejecutado Spybot - S & D y Ad-Aware y aún tiene problemas, por favor continuar con este tutorial y publicar un registro de HijackThis en nuestro Foro de HijackThis , incluyendo detalles acerca de su problema, y le aconsejará sobre qué se debe corregir.

Introducción

HijackThis es una utilidad que genera una lista de algunos ajustes que se encuentran en su ordenador. HijackThis escaneará su registro y otros archivos para las entradas que son similares a lo que un programa de software espía o secuestrador dejaría atrás. La interpretación de estos resultados puede ser difícil ya que hay muchos programas legítimos que están instalados en el sistema operativo de una manera similar que los secuestradores se instalan. Por lo tanto, usted debe tener mucho cuidado al tener HijackThis solucionar cualquier problema. No puedo enfatizar lo importante que es seguir la advertencia anterior.

Hay dos clases particulares prevalecientes sobre HijackThis en Internet en la actualidad, pero ninguno de ellos se explica lo que cada una de las secciones en realidad quiere decir de una manera que un laico puede entender. En este tutorial, además, que muestra cómo utilizar HijackThis, también entrar en detalles sobre cada una de las secciones y lo que realmente significan. No hay ninguna razón por qué no debe entender qué es lo que está reparando, cuando las personas a examinar sus registros y le dicen qué hacer.

Si usted desea leer primero un tutorial sobre cómo utilizar Spybot, puede hacer clic aquí: Cómo utilizar Spybot - Search and Destroy Tutorial

Dicho esto, pasemos al tutorial sobre cómo usarlo. Si quieres ver tamaños normales de las capturas de pantalla puede hacer clic en ellos. Tenga en cuenta, que una nueva ventana se abrirá cuando lo hace, así que si tienes bloqueadores de pop-up que puede detener la ventana de la imagen de la apertura.

Cómo usar HijackThis

HijackThis puede ser descargado como un archivo ejecutable independiente o como un instalador. La aplicación independiente le permite guardar y ejecutar HijackThis.exe desde cualquier carpeta que

desee, mientras que el instalador instalará HijackThis en un lugar específico y crear accesos directos del escritorio para que ejecutable. Al utilizar la versión independiente no se debe ejecutar desde la carpeta de archivos temporales de Internet, no se guardará en la carpeta de copia de seguridad después de cerrar el programa. Con el fin de evitar la supresión de las copias de seguridad, por favor, guarde el archivo ejecutable en una carpeta específica antes de ejecutarlo. Le sugerimos que utilice el instalador HijackThis como que se ha convertido en la forma estándar de utilizar el programa y proporciona un lugar seguro para los respaldos HijackThis.

El primer paso es descargar HijackThis a su computadora en un lugar que usted sabe dónde encontrarlo de nuevo. HijackThis se puede descargar desde el siguiente enlace:

HijackThis Download Link

Si ha descargado la aplicación independiente, y luego haga doble clic en el archivo HijackThis.exe y luego haz clic aquí para pasar a la parte en la que se ha iniciado el programa.

De lo contrario, si ha descargado el instalador, vaya a la ubicación donde se guardó y haga doble clic en el HiJackThis.msi archivo para iniciar la instalación de HijackThis. Cuando se inicia la instalación, haga clic en la instalación de botón para que HijackThis instalado en el C: \ Archivos de programa \ Trend Micro \ HijackThis carpeta, cree un acceso directo del escritorio que se puede utilizar para ejecutar el programa cuando se necesita, y para poner en marcha automáticamente HijackThis por primera vez.

Ahora debería ver una pantalla similar a la siguiente figura:

Figura 1. HijackThis pantalla de inicio cuando se ejecuta por primera vez

Le sugerimos que ponga una marca en la casilla de verificación No mostrar esta ventana cuando empiezo HijackThis, indicada por la flecha azul arriba, como la mayoría de las instrucciones dadas no se darán cuenta de esta pantalla. Después de haber puesto una marca en que casilla de verificación, haga clic en la Nada de lo anterior, acaba de empezar el programa de botón, designado por la flecha roja en la figura anterior. A continuación, se presentará la pantalla principal HijackThis como se ve en la figura 2.

Figura 2. A partir de la pantalla de este secuestro

Primero debe hacer clic en el Config botón, que es designado por la flecha azul en la Figura 2, y confirmar que sus valores coincidan con los que se encuentran en la Figura 3. Las opciones que deben revisarse son designados por la flecha roja.

Figura 3. Opciones de configuración HijackThis

Cuando haya terminado de establecer las opciones, pulse el regreso de claves y continuar con el resto del tutorial.

Tener HijackThis escanear su ordenador de posibles secuestradores, haga clic en el Scan botón designado por la flecha roja en la Figura 2. A continuación se le presentará una pantalla una lista de todos los elementos encontrados por el programa, como se ve en la figura 4.

La Figura 4. Resultados de escaneo

En este punto, usted tendrá una lista de todos los elementos encontrados por HijackThis.

Si lo que ves parece confuso y desalentador para usted, a continuación, haga clic en Iniciar sesión Guardar botón, designado por la flecha roja, y guardar el registro en el equipo en algún lugar que pueda recordar más tarde.

Para abrir el registro y pegarlo en un foro, como la nuestra , debe seguir estos pasos:

1. Haga clic en Inicio y luego en Ejecutar y escriba Bloc de notas y pulse Aceptar. Bloc de notas ahora estarán abiertos en el equipo.

2. Haga clic en Archivo y Abrir y vaya al directorio donde guardó el archivo de registro.

3. Cuando vea el archivo, haga doble clic en él. El archivo de registro ahora debe abrirse en el Bloc de notas.

4. Haga clic en Editar y luego en Seleccionar todo . Todo el texto debe ser seleccionado.

5. Haga clic en Editar y luego Copiar, que copiará todo el texto seleccionado en el portapapeles.

6. Ir al foro de mensajes y crear un nuevo mensaje. 7. Título del mensaje: HijackThis Log: Por favor, ayudar a

diagnosticar 8. Haga clic derecho en el área de mensajes donde normalmente

se escribe el mensaje y haga clic en la pasta opción. El texto previamente seleccionado debería estar ahora en el mensaje.

9. Pulse Enviar

Si desea ver la información acerca de cualquiera de los objetos de la lista, puede hacer clic una vez en una lista, y luego presione el botón " Info sobre el tema seleccionado ... " botón. Con ello se abre una ventana similar a la Figura 5 a continuación:

Figura 5. Información sobre el objeto

Cuando haya terminado de mirar la información de las distintas listas, y usted siente que usted está bien informado lo suficiente para continuar, mira a través de las listas y seleccionar los elementos que desea eliminar mediante la colocación de marcas de verificación en las casillas de verificación junto a cada lista, como se muestra en la Figura 6. Al final del documento se han incluido algunas formas básicas para interpretar la información de estos archivos de registro. De ninguna manera esta información lo suficientemente amplia para cubrir todas las decisiones, sino que debe ayudarle a determinar lo que es legítimo o no.

La Figura 6. Seleccione un elemento para quitar

Una vez que haya seleccionado los artículos que le gustaría eliminar, pulse el Fix Checked botón, designado por la flecha azul, en la Figura 6. HijackThis entonces pedirá que confirme si desea eliminar los elementos. Pulse Sí o No en función de su elección.

Cómo restaurar los elementos borrados por error

HijackThis viene con una copia de seguridad y restaurar el procedimiento en el caso de que por error eliminar una entrada que es realmente legítimo. Si ha configurado HijackThis como se muestra en este tutorial, entonces usted debería ser capaz de restaurar las

entradas que ha eliminado previamente.Si usted ha tenido el programa HijackThis corriendo de un directorio, entonces el procedimiento de restauración no funcionará.

Si la opción de configuración Haga copias de seguridad antes de fijar los elementos se comprueba, HijackThis hará una copia de seguridad de las entradas que se fije en un directorio llamado backups que se encuentra en la misma ubicación que hijackthis.exe.

Si usted comienza HijackThis y haga clic en Config , y luego el Backup botón se le presentará una pantalla como la Figura 7. Usted tendrá una lista de todos los elementos que se habían fijado con anterioridad y tener la opción de restaurarlos. Una vez que se restaura un elemento que se muestra en esta pantalla, al escanear de nuevo con HijackThis, las entradas aparecerán de nuevo.

Figura 7. Restauración de una entrada eliminado por error

Una vez que haya terminado la restauración de los elementos que se han solucionado por error, puede cerrar el programa.

Cómo generar un inicio Listing

A veces, cuando usted fija su registro en un foro de mensajes pidiendo ayuda, las personas que ayudan pueden pedirle que genere una lista de todos los programas que se inician automáticamente en su

ordenador. HijackThis ha construido en herramientas que le permitirá hacer esto.

Para ello, accede a la configuración opción al iniciar HijackThis, que es designado por la flecha azul en la figura 2, y luego haga clic en el Misc Herramientas botón en la parte superior. Usted debe ver una pantalla similar a la Figura 8.

Figura 8. Generación de un StartupList Log.

A continuación, haga clic en el botón etiquetado Generar StartupList Log que se designa con la flecha roja en la Figura 8. Al hacer clic en ese botón, el programa se abrirá automáticamente una libreta llena de los elementos de inicio de su ordenador. Copia y pega estas entradas en un mensaje y enviarlo.

Esperemos que sea con su conocimiento o ayuda de otras personas que le han limpiado su computadora. Si desea obtener información más detallada acerca de lo que cada sección en un medio de registro de exploración, continúa leyendo.

Cómo utilizar el Administrador de procesos

HijackThis ha construido en un gestor de procesos que se pueden utilizar para poner fin a los procesos, así como ver qué archivos DLL se cargan en ese proceso. Para acceder al gestor de procesos, debe hacer clic en la Config botón y luego haga clic en el Misc Herramientas botón. Ahora debería ver una nueva pantalla con uno de los botones que son Process Manager abierta . Si hace clic en ese botón, verá una pantalla similar a la Figura 9.

La Figura 9. Process Manager HijackThis

Esta ventana aparecerá una lista de todos los procesos abiertos que se ejecutan en su máquina. A continuación, puede hacer clic una vez sobre un proceso para seleccionarlo y, a continuación, haga clic en el Proceso de muertes del botón designado por la flecha roja en la Figura 9. Este tratará de terminar el proceso de ejecución en el equipo.

Si usted desea cancelar varios procesos al mismo tiempo, presione y mantenga presionado el control de tecla de su teclado. Mientras se presiona esta tecla, haga clic una vez en cada proceso que desea ser terminado. Mientras mantiene pulsado el control de botón mientras

selecciona los procesos adicionales, usted será capaz de seleccionar varios procesos a la vez. Cuando haya seleccionado todos los procesos que le gustaría terminar usted pulse el Kill Process botón.

Si a usted le gustaría ver qué archivos DLL se cargan en un proceso seleccionado, usted puede poner una marca en la casilla de verificación Mostrar archivos DLL, designado por la flecha azul en la figura anterior. Esto dividirá la pantalla de proceso en dos secciones. La primera sección se enumerarán los procesos como antes, pero ahora cuando se hace clic en un proceso en particular, la sección inferior aparecerá una lista de los archivos DLL cargados en ese proceso.

Para salir del administrador de procesos es necesario hacer clic en el nuevo botón doble de la que se colocará en la pantalla principal.

Cómo utilizar el Administrador de archivos Hosts

HijackThis también tiene un administrador de archivos Hosts rudimentaria. Con este gestor se puede ver el archivo hosts y elimine las líneas en el archivo o líneas de activar o desactivar. Para acceder al administrador de archivos hosts, debe hacer clic en el botón Configuración y luego haga clic en el botón Misc Tools. Ahora debería ver una nueva pantalla con uno de los botones que son Hosts File Manager. Si hace clic en ese botón, verá una pantalla similar a la Figura 10 a continuación.

Figura 10: Hosts File Manager

Esta ventana mostrará el contenido del archivo HOSTS. Para eliminar una línea en el archivo hosts tendría que hacer clic en una línea como la designada por la flecha azul en la figura 10 anterior. Esto seleccionará esa línea de texto. A continuación, puede eliminar la línea, haciendo clic en el botón Borrar línea (s), o cambiar la línea de encendido o apagado, haciendo clic en el botón de línea Toggle (s). Es posible seleccionar varias líneas a la vez usando las teclas de control de cambio y el o arrastrando el puntero del ratón sobre las líneas que desea interactuar.

Si elimina las líneas, las líneas se eliminarán de su archivo HOSTS. Si activa las líneas, HijackThis agregará un signo # delante de la línea. Esto le comente la línea por lo que no va a ser utilizado por Windows. Si no está seguro de qué hacer, siempre es seguro para alternar la línea para que aparezca un # antes.

Para salir del administrador de archivos Hosts es necesario hacer clic en el nuevo botón doble de la que se colocará en la pantalla principal.

Cómo usar el botón Eliminar en la herramienta de reinicio

A veces usted puede encontrar un archivo que se niega obstinadamente a eliminar por medios convencionales. HijackThis introdujo en la versión 1.98.2, un método para que Windows elimine el archivo como se arranca, antes de que el archivo tiene la oportunidad de cargar. Para ello, siga estos pasos:

1. Inicio Hijackthis 2. Haga clic en la Config botón 3. Haga clic en la Miscelánea Herramientas botón 4. Haga clic en el botón denominado Eliminar un archivo en el

reinicio ... 5. Una nueva ventana se abrirá pidiéndole que seleccione el

archivo que desea borrar al reiniciar. Navegue hasta el archivo y haga clic en él una vez y, a continuación, haga clic en el Abierto de botón.

6. Ahora se le preguntará si desea reiniciar el equipo para borrar el archivo. Haga clic en el Sí botón si desea reiniciar ahora, de lo contrario haga clic en el botón para reiniciar más tarde.

Cómo utilizar ADS Spy

Hay una infección en particular llamado Home Search Assistant o CWS_NS3 que a veces utilizan un archivo llamado un archivo de secuencia de datos alternativo para infectar su computadora. Estos archivos no se pueden ver o eliminar el uso de los métodos

normales. ADS Spy fue diseñado para ayudar en la eliminación de este tipo de archivos. Para aquellos que estén interesados, se puede obtener más información sobre Alternate Data Streams y Home Search Assistant mediante la lectura de los siguientes artículos:

Alternate Data Streams de Windows [Tutorial] Enlace

Inicio Buscar Análisis Asistente [Tutorial Link]

Para usar la utilidad Spy ADS usted comenzaría HijackThis y luego haga clic en la configuración del botón. A continuación, haga clic en el Misc Herramientas botón y, finalmente, haga clic en el Spy ADS botón. Cuando se abra la utilidad Spy ADS verá una pantalla similar a la figura 11 a continuación.

Figura 11: ADS Spy

Pulse el Scan botón y el programa comenzará a escanear la carpeta de Windows para los archivos que son Alternate Data Streams. Si encuentra alguno, se los mostrará similar a la figura 12 a continuación.

Figura 12: Lista de encontrados Alternate Data Streams

Para eliminar uno de los archivos de anuncios que se muestran, sólo tiene que colocar una marca junto a la entrada y hacer clic en Eliminar seleccionado botón. Esto eliminará el archivo de ADS de su equipo. Cuando haya terminado, pulse el Back botón junto al quitar seleccionado hasta que esté en la pantalla principal de HijackThis.

Cómo utilizar el Administrador de desinstalación

El Uninstall Manager le permite gestionar las entradas que se encuentran en su panel de control de Agregar / quitar programas. Al

limpiar el malware de un archivo de entradas de la máquina en la opción Agregar / quitar programas siempre se quedan atrás. Muchos usuarios comprensiblemente gustaría tener una lista limpia Agregar / quitar programas y tienen dificultad para eliminar estas entradas erróneas. Uso del Administrador de desinstalación puede eliminar estas entradas de la lista de desinstalación.

Para acceder al Administrador de desinstalación debe hacer lo siguiente:

1. Inicio HijackThis 2. Haga clic en la Config botón 3. Haga clic en la Miscelánea Herramientas botón 4. Haga clic en el Abierto de Uninstall Manager botón.

Ahora se le presentará una pantalla similar a la siguiente:

Figura 13: HijackThis Uninstall Manager

Para borrar una entrada, simplemente haga clic en la entrada que desea eliminar y luego haga clic en la entrada Elimine este botón. Si desea cambiar el programa de esta entrada se asocia con usted puede hacer clic en el comando Editar desinstalación botón e introduzca la ruta al programa que debe ejecutarse si se hace doble clic en la entrada correspondiente en el Agregar / Quitar programas lista. Esta última función se debe utilizar solamente si sabe lo que está haciendo.

Si se le pide para guardar esta lista y publicarla para que alguien pueda examinarlo y le aconsejará sobre lo que se debe eliminar, puede hacer clic en el... Guardar lista botón y especificar dónde desea guardar el archivo. Al pulsar en Guardar botón un bloc de notas se abrirá con el contenido de ese archivo. Simplemente copie y pegue el contenido de ese bloc de notas en una respuesta en el tema que está recibiendo ayuda pulg

Cómo interpretar las listas de exploración

La siguiente sección es ayudar a diagnosticar la salida de una exploración HijackThis. Si usted todavía no está seguro de qué hacer, o si desea solicitar que interpretar el registro, pegar su registro en un mensaje en nuestro foro de Privacidad .

Cada línea de la lista de exploración de HijackThis comienza con un nombre de sección. A continuación se muestra una lista de los nombres de las secciones y sus explicaciones. Puede hacer clic en un nombre de sección para lograr que la sección correspondiente.

Nombre de la Sección

Descripción

R0, R1, R2, R3

URL's de páginas de inicio y búsqueda del Internet Explorer

F0, F1, F2, F3

Programas autoejecutables

N1, N2, N3, N4

URL's de páginas de inicio y búsqueda de Netscape y Mozilla

O1 Archivo redireccionador de hosts

O2

BHO's (Browser Helper Objects u Objetos que "Ayudan" al Navegador)

O3 Barras de Herramientas del Internet Explorer

O4 Programa autoejecutables desde el registro

O5 Iconos no visibles de IE en el Panel de Control

O6 Opciones del IE con acceso restringido por el

administrador

O7 Acceso restringido al Regedit por el administrador

O8 Objetos extras del IE

O9

Botones extras en el botón principal de la barra de herramientas del IE u objetos extra en el menú "Herramientas"

O10 Hacker del Winsock

O11 Grupo extra en la ventana de Opciones Avanzadas del IE

O12 Plug-ins para el IE

O13 Hijacker del prefijo por defecto de IE

O14

Hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web)

O15 Sitio no deseado en la Zona de Sitios de Confianza

O16 Objetos ActiveX (Archivos de Programa Descargados)

O17 Hijacker Lop.com

O18 Protocolos extras y protocolo de Hijackers

O19 Hijacker de Hojas de Estilo

O20 Valores de Registro autoejecutables AppInit_DLLs

O21

Llaves de Registro autoejecutables ShellServiceObjectDelayLoad

O22 Llaves de Registro autoejecutables SharedTaskScheduler

Es importante aclarar que ciertas secciones usan una lista blanca interna así que el HijackThis no mostrará archivos legítimos. Para desactivar esta lista blanca, puedes ejecutar HijackThis de esta forma: HijackThis.exe /ihatewhitelists. Secciones R0, R1, R2, R3 Esta sección abarca la página de inicio y búsqueda del Internet Explorer. R0 es para las páginas de inicio y el asistente de búsqueda del IE.

R1 es para las funciones de búsqueda de IE y otras características. R2 no es usado actualmente. R3 es para un Buscador de URL's. Mostrará algo parecido a esto: R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL = http://www.google.com/ R2 - (this type is not used by HijackThis yet) R3 - Default URLSearchHook is missing Si reconoces la URL como tu página de inicio o tu motor de búsqueda, entonces todo está bien. Si no la reconoces, revísala y usa HijackThis para arreglarlo. Para los objetos de R3, siempre arréglalos a menos que se mencione un programa que reconozcas, como Copérnico. Una pregunta común es que qué significa cuando la palabra Obfuscated (Ofuscado) sigue a una de esas entradas. Cuando algo está ofuscado significa que es algo difícil de percibir o entender. En términos de spyware esto sginifica que el spyware o hijacker está escondiendo una entrada hecha por él convirtiendo los valores en otra forma que él entienda fácilmente, pero las personas tengas problemas reconociendolas, como agregando entradas en el registro en hexadecimal. Ésto es solo otro método de esconder su prescencia y de hacer difícil el removerlos. Si no reconoces la página web que señala tanto el punto R0 como el R1, y deseas cambiarla, entonces puedes usar HijackThis para removerlos de forma segura, no serán perjudiciales para el IE. Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro con HijackThis, HijackThis no borrará ese archivo en particular y usted tendrá que borrarlo manualmente. Hay cierto tipo de entradas R3 que terminan con un guión bajo, como por ejemplo:

R3 - URLSearchHook: (no name) - _ - (no file) Note el CLSID, los números entre las llaves, tienen un guión bajo al final y ello a veces dificulta removerlos con el HijackThis. Para arreglar esto necesita borrar manualmente esa entrada en particular, siguiendo esta ruta: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es válido por defecto. Si no reconoce el software que usa en el UrlSearchHook, búsquelo en Google y dependiendo de los resultados de la búsqueda, permita que HijackThis lo arregle. Algunas llaves de registro: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page HKCU\Software\Microsoft\Internet Explorer\Main: Start Page HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKLM\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Secciones F0, F1, F2, F3 Estas secciones abarcan aplicaciones que se cargan desde los archivos .INI, system.ini y win.ini o sus equivalentes en el registro. F0 corresponde al Shell = statement en System.ini. La Shell = statement en system.ini es usado por Windows 9X y anteriores designan qué programa actuará como shell para el sistema operativo. La Shell es el programa que carga el escritorio, controla la administración de ventanas y permite que el usuario interactúe con el sistema. Cualquier programa listado después del shell statement será cargado cuando Windows arranque, y actuará como la shell por defecto. Hay algunos programas que actúan como un reemplazo válido para la shell, pero generalmente no se usa más. Windows 95 y 98 (¿Windows ME?), ambos usan el Explorer.exe como su shell por defecto. Windows 3.X usaba Progman.exe como su shell. Es posible que otros programa sean ejecutados cuando Windows cargue en la misma línea Shell =, como por ejemplo: Shell=explorer.exe programa_maligno.exe. Esta línea hará que ambos programas arranquen cuando Windows cargue. Los objetos de F0 siempre son malos, así que conviene arreglarlos. F0 - system.ini: Shell=Explorer.exe Abreme.exe F1 - win.ini: run=hpfsched F1 corresponde a las entradas Run= o Load= en win.ini. Cualquier programa listado después de run= o load= cargará cuando Windows cargue. Run= fue muy usado en tiempos de Windows 3.1, 95 y 98 y mantiene compatibilidad con antiguos programas. Muchos de los programas modernos no usan esta característica ini, y si no estás usando un programa antiguo entonces sospecha. El load= era usado para cargar los drivers del hardware. Los objetos en listado en F1 usualmente son programas muy viejos, pero que son seguros, así que puedes encontrar más información del

nombre del archivo para saber si es malo o bueno. Las entradas F2 y F3 corresponden al equivalente de F0 y F1, pero que están ubicadas en el registro para las versiones XP, 2000 y NT de Windows. Esas versiones de Windows generalmente no usan los archivos system.ini ni win.ini. Para compensar la compatibilidad usan una función llamada IniFileMapping. IniFileMapping coloca todo el contenido de un archivo .ini en el registro, con llaves para cada línea encontradas en él .ini. Entonces cuando corre un programa que normalmente lee sus configuraciones de un archivo .ini, este primero revisará la llave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curten Version\IniFileMapping, para un mapeo .ini, y si encuentra algo leerá las configuraciones desde ahí. Puedes ver que esta llave está refiriendose al registro como si conteniera REG y entonces el archivo .ini al cual se está refiriendo el IniFileMapping. Otra entrada común encontrada en F2 es la entrada UserInit la cual corresponde a la llave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Bilongo\UserInit la cual se encuentra en Windows NT, 2000, XP y 2003. Esta llave especifica qué programa se debe cargar después que un usuario se logue en Windows. El programa por defecto para esta llave es: C:\Windows\System32\userinit.exe. Userinit.exe es un programa que restaura tu perfil, fuentes, colores, etc. para tu nombre de usuario. Es posible añadir programas furtivos que inicien desde esta llave separando los programas con una coma. Por ejemplo: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Windows\System32\userinit.exe,C:\Windows\programa_maligno.exe. Esto hará que ambos programas se ejecuten cuando te loguees y es un lugar común para ejecutar troyanos, hijackers y spywares. Llaves del Registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,

Archivos Usados: c:\windows\system.ini c:\windows\win.ini Ejemplo mostrando F0 - system.ini: Shell=Explorer.exe Something.exe Ejemplo mostrando F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe Ejemplo mostrando F2 - REG:system.ini: Shell=explorer.exe beta.exe En F0 si ves una línea que sea parecida a Shell=Explorer.exe cualquier_cosa.exe, entonces definitivamente deberías borrarlo. Generalmente puedes borrar estas entradas, pero recuerda consultar Google. Para las entradas F1 es recomendable que las busques en Google y así determinar si pertenecen a programas legales. Para F2, si ves UserInit=userinit.exe, con o sin nddagnt.exe, como en el ejemplo de arriba, entonces puedes dejar esa entrada por la paz. Si ves UserInit=userinit.exe (sin coma), sigue estando bien, también puedes dejarlo por la paz. Si ves otra entrada en userinit.exe, entonces podría ser potencialmente un troyano u otro malware. Lo mismo va para F2 Shell=, si ves explorer.exe, sólo, entonces está bien, si no, como en el ejemplo de arriba, entonces podría ser troyano o malware. Generalmente puedes borrar estas entradas, pero no olvides consultar Google primero. Sitios para consultar: Bleeping Computer Startup Database http://www.answersthatwork.com/Tasklist_pages/tasklist.htm http://greatis.com/regrun3appdatabase.htm http://www.sysinfo.org/startuplist.php http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS

http://www.kephyr.com/filedb/index.php http://www.liutilities.com/products/wintaskspro/processlibrary/

Secciones N1, N2, N3, N4 Estas secciones son para las páginas de inicio y motor de búsqueda por defecto de los navegadores Netscape y Mozilla. Estas entradas están guardadas en el archivo prefs.js, ubicadas en diferentes lugares de la carpeta C:\Documents and Settings\YourUserName\Application Data. Las entradas de Netscape 4 están guardadas en el archivo prefs.js en el directorio de programa el cuál por lo general es C:\Archivos de Programa\Netscape\Users\default\prefs.js. N1 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 4. N2 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 6. N3 corresponde a la página de inicio y motor de búsquedas por defecto de Netscape 7. N4 corresponde a la página de inicio y motor de búsquedas por defecto de Mozilla. Archivos usados: prefs.js Como la mayoría de los spywares y hijackers están hechos para IE, estos navegadores usualmente están a salvo. Si ves sitios web listados ahí que tú no hayas establecido, puedes usar el HijackThis para arreglarlo. Existe un conocido sitio que hace cambios a esas

configuraciones, y ese sitio es Lop.com, el cuál es discutido aquí: http://www.doxdesk.com/parasite/lop.html

Sección O1 Esta sección corresponde al archivo de redirección Hosts. El archivo hosts contiene la relación de IP's con hostnames. Por ejemplo: 127.0.0.1 www.arwinianos.net Si tratas de ir a www.arwinianos.net, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1 a pesar de la dirección correcta. Algunos hijackers usan el archivo de redirección hosts para redirigirte a ciertos sitios en lugar de otros. Así, si alguien inserta una entrada como esta: 127.0.0.1 www.google.com y tratas de ir a www.google.com, serás redirigido a 127.0.0.1 la cuál es tu propia computadora. Ejemplo del escaneo: O1 - Hosts: 192.168.1.1 www.google.com Archivos usados: el archivo hosts es un archivo de texto que puede ser editado por cualquier editor de texto y está guardado por defecto en los siguientes lugares dependiendo del Sistema operativo, a menos que elijas instalarlo en un ruta diferente.

Operating System Location Windows 3.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS La localización del archivo hosts puede ser cambiada modificando la llave del registro (para Windows NT/2000/XP): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad. Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo, entonces usa HijackThis para arreglar esto que lo más probable es que haya sido causado por un infección. También puedes descargar el programa Hoster, el cuál te permite restaurar el archivo hosts por defecto en tu máquina. Para hace eso, descarga el programa Hoster y ejecútalo. Cuando abra, has click en el botón "Restore Original Hosts" y luego cierra el programa Hoster.

Sección O2 Esta sección corresponde con los Browser Helper Objects (o BHO, en español algo así como: "Objetos que Ayudan al Navegador"). Los BHO son plug-ins que extienden la funcionalidad de tu navegador. Pueden ser usados por spywares así como programas legítimos como Google Toolbar y Adobe Acrobat Reader. Investige cuando esté decidiendo qué quitar y qué no quitar, pues algunos de ellos podrían ser legítimos. Ejemplo de la lista O2 - BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll Existe una excelente lista de conocidos BHO aquí: http://sysinfo.org/bholist.php. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hace referencias a entradas del registro que contienen información acerca de los BHO. Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá finalizar el proceso del archivo listado. Hay ocasiones en que el archivo sigue en uso aún después de haber cerrado el IE. Si el archivo aún existe después de arreglarlo con HijackThis, es recomendable que reinicies el sistema en modo seguro y borrar el archivo.

Sección O3 Esta sección corresponde a las barras de herramientas del Internet Explorer. Estas son las barras de herramientas (toolbars) debajo de su barra de navegación y menú del IE. Llaves del Registro: HKLM\SOFTWARE\Microsoft\Intenet

Explorer\Toolbar Ejemplo de la lista O3 - Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll Si no reconoces ninguno de los nombres puedes usar la lista CLSID de Sysinfo.org para buscar la entrada o el nombre de esta barra de herramientas. Cuando consultes la lista, usa el CLSID, que es el número entre las llaves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO. Si encuentras que no es algo que quieras en tu computadora, puedes quitarlo. Cuando arregles este tipo de entradas, HijackThis no borrará los objetos presentados en la lista. Para hacerlo es recomendable que reinicies en modo seguro, ejecuta HijackThis de nuevo y borres lo listado.

Sección O4 Esta sección corresponde a las aplicaciones que están presentes en ciertas llaves en el registro y las carpetas de inicio y son cargados automáticamente cuando Windows inicia. Las llaves del registro mostradas aquí son válidas para Windows XP, NT y 2000 (otros sistemas operativos ¿?). Si parece una llave del registro, refleja una de las llaves enumeradas abajo en la tabla de llaves del registro. Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea un usuario en particular. Global Startup: Estos objetos hacen referencia a aplicaciones que cargan cuando se logea cualquier usuario.

Llaves del Registro del Arranque: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Nota: HKLM es abreviatura de HKEY_LOCAL_MACHINE y HKCU es para HKEY_CURRENT_USER. Una completa guía de ubicaciones de arranque y para qué son usadas puede verla aquí: http://www.bleepingcomputer.com/tutorials/windows-program-automatic-startup-locations/ Directorios usados: Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup Ejemplo de la lista O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo a prueba de

fallos. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado. Muchos programas legítimos arrancan de esas formas, una entrada quizá parezca que les pertenece pero sigue siendo de algún programa malicioso. Consulta los siguientes enlaces para las entradas O4: Bleeping Computer Startup Database http://www.answersthatwork.com/Tasklist_pages/tasklist.htm http://greatis.com/regrun3appdatabase.htm http://www.sysinfo.org/startuplist.php http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS http://www.kephyr.com/filedb/index.php http://www.liutilities.com/products/wintaskspro/processlibrary/

Sección O5 Esta sección corresponde a no poder acceder a las opciones de IE en el Panel de Control. Es posible desactivar la vista de controles en el Panel de Control agregando una entrada dentro del archivo llamado control.ini la cual está guardada (al menos para Windows XP) en C:\Windows\control.ini. Desde ese archivo puedes especificar los paneles de control que no deben ser visibles. Archivos de usuario: control.ini Ejemplo de la lista O5 - control.ini: inetcpl.cpl=no Si ves una línea parecida como la de arriba quizá sea señal de que un software está tratando de dificultar el cambio de las configuraciones. A

menos que se conozca una razón específica, como que el administrador configuró la política o SpyBot S&D colocó una restricción, puedes usar HijackThis para arreglarlo.

Sección O6 Esta sección corresponde a una restricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro. Llave del Registro: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Ejemplo de Lista O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Estas opciones sólo aparecen si su administrador las configuró a propósito o si usted usó la opción "SpyBot Home Page and Option Lock" de la sección Inmunizar del SpyBot.

Sección O7 Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro. Llave del Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ejemplo de Lista O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1 Por favor note que muchos admnistradores de oficinas bloquean el Regedit a propósito, por lo que arreglarlo con HijackThis puede romper normas corporativas. Si eres el administrador y esta opción ha sido activada sin tu permiso, entonces usa HijackThis para arreglarlo.

Sección O8 Esta sección corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer. Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Ejemplo de Lista O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar. Cuando arregles este tipo de entradas, HijackThis no borrará los

archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Sección O9 Esta sección corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto. Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones Ejemplo de la Lista O9 - Extra Button: AIM (HKLM) Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad. Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro y borres esos archivos (y en ocasiones carpetas).

Sección O10 Esta sección corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu

computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet. Extrema precauciones cuando borres estos objetos, si es removido sin el arreglo adecuado en la cadena, puedes llegar a perder tu acceso a Internet. Ejemplo de la Lista O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto. SpyBot generalmente puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas. También hay una herramienta diseñada para este tipo de ediciones que sea probablemente mejor usar, llamada LSPFix (http://www.cexx.org/lspfix.htm). Para una lista de LSP y saber si son o no válidas puedes visitar la Lista de LSP de Zupe (http://www.angeltowns.com/members/zupe/lsps.html).

Sección O11 Esta sección corresponde a un grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.

Si buscas en el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro. LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Ejemplo de la Lista O11 - Options group: [CommonName] CommonName De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco.

Sección O12 Esta sección corresponde a los Plug-ins para Internet Explorer. Los Plug-ins son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos disponibles como por ejemplo el visor de archivos PDF. Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Muchos de los plug-ins son legítimos, así que deberías buscar en

Google aquél que no reconoces antes de borrarlo. Un conocido plug-in que deberías borrar es el Onflow plug-in que tiene la extensión de .OFB. Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Si el archivo continúa existiendo después de que lo hayas arreglado con HijackThis, es recomendable que reinicies en Modo a Prueba de Fallos y borrar el archivo listado.

Sección O13 Esta sección corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a http://ehttp.cc/?. Eso significa que cuando te conectes a una URL, como www.google.com.mx, en realidad irás a http://ehttp.cc/?www.google.com.mx, el cuál es en realidad el sitio web para CoolWebSearch. Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/? Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu

máquina. Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.

Sección O14 Esta sección corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que el Internet Explorer usa cuando reseteas las opciones a las que venían por defecto. Ese fichero está guardado en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas. Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del fichero iereset.inf. Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Por favor esté al tanto de este fichero (en dado caso de que aparezca en el log), que es posible que el cambio sea legítimo, que lo haya modificado la manufacturera de computadoras o el administrador de la máquina. Si no reconoces la dirección entonces deberías arreglarlo.

Sección O15

Esta sección corresponde con los sitios indeseados en la Zona de Sitios de Confianza. La seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden correr mientras se está usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten scripts, algunos potencialmente peligrosos, de algún sitio web. Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net Entonces, si alguna vez ves algo aquí generalmente debes removerlo a menos que reconozcas la URL como una que tu compañía use. La entrada más común que encontrarás aquí será free.aol.com, el cuál puedes arreglar cuando quieras.

Sección O16 Esta sección corresponde a los objetos ActiveX, también conocidos como Downloaded Program Files (Archivos de Programa Descargados). Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu computadora. Estos objetos están guardados en C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimas. Si sientes que no lo son, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste. Ten en cuenta que hay muchas aplicaciones de compañías que usan objetos ActiveX así que ten cuidado. Siempre borra las entradas O16 que tengan palabras como sex, porn, dialer, free, casino, adult, etc. Existe un programa llamado SpywareBlaster que posee una gran base de datos de objetos ActiveX maliciosos. Puedes descargarlo y buscar a través de su base de datos para localizar objetos ActiveX peligrosos. Usa SpywareBlaster para proteger tu computadora de spyware, hijackers y malware. Cuando arregles entradas O16, HijackThis intentará borrarlas del disco duro. Normalmente esto no será problema, pero hay ocasiones en que HijackThis no será capaz de borrar el archivo. Si esto sucede entonces reinicia en Modo a Prueba de Fallos y entonces bórralo.

Sección O17 Esta sección corresponde al dominio Lop.com. Cuando tu vas a un sitio web usando un dominio, como www.arwinianos.net, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para que apunten a sus propios servidores, donde pueden dirigirte a cualquier

sitio que ellos quieran. Agregando google.com.mx a sus servidores DNS, ellos pueden hacer que cuando vayas a www.google.com.mx, te redirijan al sitio de su elección. Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto. Puedes ir a Arin para hacer un whois a la IP del servidor DNS para determinar a qué compañía le pertecen.

Sección O18 Esta sección corresponde a los protocolos extra y protocolos de hijackers. Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información. Llaves del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis. Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos. Es importante aclarar que arreglando esas entradas no parece borrar la entrada en el registro ni el archivo asociado a éste. Deberías de reiniciar en Modo a Prueba de Fallos y borrar esos archivos manualmente.

Sección O19 Esta sección corresponde al hijacker de las hojas de estilo del usuario. Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cual fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) y causar una lentitud potencial. Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css

Generalmente puedes arreglar estas entradas a menos que tu hayas modificado la hoja de estilo. Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallos para borrar la hoja de estilos.

Sección O20 Esta sección corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs. El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tú te loguees. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema. Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL. Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cautela cuando borres los archivos que son listados aquí. Usa Google para investigar si los archivos son legítimos. También puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O20 List Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.

Sección O21 Esta sección corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad. Esta llave contiene valores similares a los de la llave Run. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cual contiene la información acerca del DLL en particular que se está usando. Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana. Un hijacker que usa el método puede reconocerse por las siguientes

entradas: Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll HijackThis usa una lista blanca interna para no mostrar las entradas legítimas comunes bajo esta llave. Si ves un listado para esto, entonces no es algo estándar y deberías considerarlo como sospechoso. Como siempre has una búsqueda en Google de cualquier DLL listada en estas llaves. También puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O21 List Cuando arregles este tipo de entradas, HijackThis no borrará los archivos listados. Es recomendable que reinicies en Modo a Prueba de Fallo y borres los archivos.

Sección O22 Esta sección corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler. Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.

Llave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll Ten cuidado cuando remuevas los objetos listados en estas llaves ya que algunas son legítimas. Puedes usar Google para intentar determinar si éstas son válidas. CWS.Smartfinder puede ser removido con CWShredder. También puedes usar las listas para ayudarte a verificar los archivos: Bleeping Computer Startup Database Castlecop's O22 List HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo tanto, debería reiniciar en Modo a Prueba de Fallos y borrar manualmente este archivo. Conclusión HijackThis es una poderosa herramienta para descubrir ciertos aspectos específicos de tu navegador. Desafortunadamente, diagnosticar los resultados del escaneo de HijackThis puede ser complicado. Al menos mis recomendaciones y explicaciones facilitarán el trabajo. Este programa debe ser usado con cautela, ya que hacer algo incorrecto al remover algunos objetos puede causar problemas con programas legítimos. Si tienes alguna duda o pregunta siéntete libre de postearla en nuestros foros. Fuente: http://www.bleepingcomputer.com/tutorials/how-to-use-hijackthis/ Autor: Lawrence Abrams (www.bleepingcomputer.com) Traducido al español: Arwing

MANUAL DEL REGISTRO DE WINDOWS BASICO.

Nos vamos a inicio y nos situamos en Ejecutar. Tecleamos Regedit y

se nos abre un cuadro de dialogo con las siguientes ramas:

HKEY_CLASSES_ROOT: Se registran todas las extensiones, de tipos

de archivo.

HKEY_CURRENT_USER: Listado detallado de las configuraciones del

usuario actual.

HKEY_LOCAL_MACHINE: Configuraciones que existen en nuestro

PC-PC-PC como dónde está nuestro software y dónde están los

drivers instalados.

HKEY_USERS: Todas las configuraciones de los usuarios de ese PC-

PC-PC (www. visitadas, aplicaciones, etc...).

HKEY_CURRENT_CONFIG: Un ejemplo de LOCAL_MACHINE, con

más detalles de la configuración actual.

HKEY_DYNAMIC_DATA: Es la información dinámica, que se deriva al

encender el PC-PC-PC y se esfuma al apagarlo.

Si pinchamos en alguna de estas ramas, nos encontraremos todas las

hojas llenas de una valiosa información.

DESCRIPCIÓN DE RAMAS:

HKEY_CLASSES_ROOT (HKCR)

En el GUI graphic user interface de Windows todo (cada archivo,

directorio, disco, etc.) es considerado como un objeto, cada objeto

tiene asociadas unas propiedades, esta rama (Key) del registro

contiene un listado de los objetos y de sus propiedades, por

ejemplo *.mid, todos sabemos que son archivos de sonido, pues al

abrir HKCR y la Subkey .mid veríamos lo siguiente:

Nombre: Datos: (predeterminado) ''midfile''

Content Type ''audio/mid'' Pues tenemos un objeto ''midfile'' con

propiedades ''audio/mid'', es decir, midfile está asociado a audio/mid.

Las principales funciones de estas claves son:

1º Asociar la extensión de un archivo a un tipo de objeto.

2º Asociar un icono a un tipo de objeto.

3º Asociar una serie de acciones de la línea de comandos a un tipo de

objeto.

4º Asociar las opciones de los menús contextuales (desplegables) a un

tipo de objeto.

5º Definir lo que aparecerá en la ventana propiedades (right-

clickàpropiedades) para cada tipo de objeto.

Dentro de HKCR distinguimos tres tipos de Subkeys:

1- Extensiones de archivos, asocian las extensiones con los tipos de

objeto. Estas Subkeys se ocupan de decir qué hace windows con cada

tipo de archivo (archivos que llevan asociadas determinadas

acciones), qué menús despliega al hacer right-click sobre él y las

propiedades que se muestran al acceder a este menú. Son de este

tipo Subkeys como .arj, .com, .cab, etc.

2- Tipo de objeto, define un objeto en función de sus menús

desplegables, sus propiedades, su icono y sus enlaces CLSID (tratado

a continuación).

3- CLSID, nos da información OLE (object linking and enbedding, una

aplicación es llamada por otra automáticamente para editar datos) y

DDE (dynamic data exchange, intercambio de datos entre dos

aplicaciones) sobre tipos de objeto, también puede contener

información sobre los menús contextuales, propiedades e icono.

Abriendo el registro por la rama HKRC, nos encontramos que dentro

de las muchas Subkeys hay otrasSubkeys tales como:

Shell: Activa acciones como abrir, imprimir, copiar, etc, por ejemplo

una Subkey de este tipo determina que reproductor multimedia abre

nuestros archivos *.mid. La rama para abrir y ejecutar estos archivos

sería:

[HKEY_CLASSES_ROOTmidfileshell]

@=''Play''

[HKEY_CLASSES_ROOTmidfileshellopen]

@=''Abrir''

[HKEY_CLASSES_ROOTmidfileshellopencommand]

@=''C:WINDOWS

undll32.exe C:WINDOWSSYSTEMamovie.ocx,RunDll /open %1''

[HKEY_CLASSES_ROOTmidfileshellplay]

@=''Reproducir''

[HKEY_CLASSES_ROOTmidfileshellplaycommand]

@=''C:WINDOWS

undll32.exe C:WINDOWSSYSTEMamovie.ocx,RunDll /play /close %1''

Shellex: Contienen Subkeys que determinan las funciones OLE y DDE

para cada tipo de objeto, son cadenas numéricas que apuntan por

ejemplo a la dll que ejecuta una determinada operación y definen las

propiedades de sus menús contextuales.

Shellnew: Contienen el valor de la cadena numérica del comando u

orden que determina la apertura de un nuevo objeto. Un ejemplo muy

sencillito es la clave *.BMP cuya shellnew nos indica el programa con

que editaremos una nueva imagen de este tipo.

Default Icon: Contienen el valor de la cadena numérica que nos indica

el icono por defecto de cada tipo de objeto, normalmente apuntarán al

shell32.dll, pifmgrd.dll (en windowssystem) o moricons.dll ( en

windows) tal que al primer icono de la lista le asigna el 0 al siguiente el

uno y así sucesivamente de la siguiente manera:

Windowsmoricons.dll,0

HKEY_CURRENT_USER (HKCU)

Las Subkeys de esta Key contienen las configuraciones del actual

usuario, en caso de ser una máquina con un único usuario esta clave

es casi idéntica al .DEFAULT de HKEY_USERS. Lo que en ella

tenemos es todas las preferencias que en algún momento hayamos

puesto añadidas a todas las configuraciones por defecto. Contiene

toda la información sobre el sistema que no tiene

HKEY_LOCAL_MACHINE, esto es, configuraciones del software y

preferencias del usuario. Es una parte del registro que podemos

cambiar casi sin riesgo de causar un desastre, casi todas las opciones

contenidas en esta clave son modificables desde algún peso

pesado del Windows, como el panel de control, la barra de tareas,

cualquier menú de propiedades...

Dentro de esta Key y con la vista puesta en el cracking la clave

Software es la más apetitosa, en ella encontramos desde números de

serie hasta que nos imposibilitan registrar la aplicación.

En esta Key nos encontramos con:

1- AppEvents: Nos define los sonidos ( masterCaR-d-19 feo ;P ) con

las que windows nos aturde siempre que ejecutamos un programa.

EventLabels nos da el nombre de la operacion SchemesApps la

localización de las operaciones y Schemes

ames pues el nombre del tema.

2- Control Panel: Contiene las Subkeys que nos definen la apariencia

de nuestro windown (el color de las ventanas, su tamaño, etc.), las

opciones de accesibilidad como las soundsentry o las stickykeys, los

cursores, el escritorio (fondo, tamaño de iconos,etc.). Estas opciones

son totalmente configurables desde el panel de control.

3- InstallLocationsMRU: Estas Subkeys contienen la localización del

software instalado, contiene por ejemplo todas las localizaciones de

programas instalados con ''Wizards'' como InstallShield, etc. M.R.U. à

Most-recently-used, self explanatory.

4- Keyboard Layout: Como supongo habrás deducido pues contiene la

definición de tu teclado, en función de país, etc.

5- Network: Contiene tus conexiones de red anteriores divididas en

dos clases:

Persistent: Define los dispositivos y unidades que defines al dejar

marcada la opción de ''reconectar al desconectar'' (valga la

redundancia...) las claves contienen información como tu navegador,

tu nombre de usuario, etc. Estas claves aparecen como iconos en Mi

PC.

Recent: Las últimas conexiones de red que has realizado sin la opción

de reconectar chequeada, aparecen en menús desplegables cuando

vas a realizar una conexión de red (Path).

6- RemoteAccess: Contiene las configuraciones de los marcadores de

conexión en red, se divide en dos ramas:

Addresses: Contiene una definición en binario de cada conexión que

tengas montada en Acceso telefónico a redes.

Profile: Que se divide a su vez en una rama para cada conexión, en

estas ramas encontramos los valores de IP, dominio, nombre de

usuario, etc. De cada conexión.

7- Software: todas las Subkeys que componen esta Subkey (me estoy

empezando a cansar de key subkey... ) representan software instalado

en tu PC o software que has tenido instalado, las ramas tienen o bien

el nombre del programa o bien el nombre del fabricante como

distintivo, a veces podemos encontrar claves con el mismo nombre

dentro de Local_Machine pero normalmente el contenido será distinto

en cada caso.

El contenido de las ramas que podemos encontrar suele ser muy

parecido, preferencias del usuario, direcciones de archivos guardados

y lo más interesante fechas de instalación, nombres de

usuario/números de serie y claves que determinan si el programa está

o no registrado.

HKEY_LOCAL_MACHINE (HKLM)

Las diferentes entradas de esta Key definen el estado físico de nuestro

PC, incluyendo datos sobre el BUS, la memoria del sistema y las

configuraciones de nuestro hardware y software (registrado / no

registrado p.ej.).

Contiene 7 Subkeys que son:

1- Config: En esta rama se guardan las configuraciones de tu

hardware que defines a través del Panel de Control pulsando en el

icono de Sistema. La última configuración antes de apagar el PC se

copia a HKCC al iniciar el equipo.

2- Enum: aquí es donde están guardadas la mayoría de las

configuraciones de tu hardware, tales como los dispositivos PNP, la

BIOS, PCI, ESDI, FLOP, ISAPNP, Monitor, SCSI y los dispositivos de

conexión en red.

3- Hardware: está dividida en dos ramas: Description: que contiene la

rama SystemFloating Point Processor, que será 0 o 1 dependiendo de

su existencia. Devicemap, que contiene la rama serialcommdonde se

listan tus puertos.

4- Network: Contiene la rama Logon que a su vez está compuesto de

los valores LMLogon (será 1 si la máquina está en ese momento

conectada en red y 0 en caso contrario), logonvalidated (1 para estar

validado), Policy Handler, Primary Provider, username and

UserProfiles.

5- Services: Cada una de estas ramas están llenas de ramitas, la

mayoría son de explicación trivial, todo el mundo sabrá o se imaginará

qué hace la rama ComputerName o Shutdown o KeyboardLayout, etc.

Os puede dar problemas VMM32, que es una lista de los VxD que

tenéis trabajando y poco más. ATENCIÓN CON OPERAR CON

ESTAS CONFIGURACIONES: PUEDE DAR ALGUN DISGUSTILLO.

HKEY_USERS (HKU)

Se definen las configuraciones de cada usuario y las configuraciones

que por defecto se le otorgan a los nuevos usuarios, .Default y

nombredeusuario respectivamente.

HKEY_CURRENT_CONFIG (HKCC)

Los contenidos de esta Key se toman al iniciar el PC-PC-PC en las

configuraciones alojadas en cada perfil de usuario en

Local_MachineConfig.

Aquí nos encontramos con tres Subkeys:

1- Display:Ddividido en Font, que contiene las cadenas de valores que

determinan las fuentes que pueden aparecer en la ventana principal

y Settings, que contiene las cadenas de valores que determinan:

BitsPerPixel, diferentes DPIs, oemfonts, fixedfon, fonts y Resolution.

2- Software: Donde encontramos detalles de las configuraciones de

internet como los proxys o el autodial.

3- System: Que sólo contiene una

rama CurrentControlSetcontrolPrintPrinters donde tenemos

información sobre las impresoras que tenemos definidas a través

de Inicio - Configuración - Impresoras.

HKEY_DYN_DATA (HKDD)

En esta Key tenemos la información de nuestro sistema detectada al

iniciarlo, esta información como su nombre indica es dinámica y por lo

tanto susceptible de cambiar en cualquier momento, lo que hace que

parezca que esta clave no se guarda.

Dentro de HKDD nos topamos con:

1- ConfigManager: Con una sola rama de nombre Enum que se abre

en un montón de ramitas numeradas que definen el estado, la

localización, los problemas detectados y la clave del hardware de los

dispositivos PNP detectados al iniciar el PC-PC-PC.

2- PerfStats: Las estadísticas del funcionamiento actual del PC-PC-PC

son guardadas en esta Subkey bajo apariencia de Values en binario,

se dice que algunas de las ramas definen el sistema de archivos, o el

''management'' de la memoria.

3- Security: Con una sola rama de nombre Provider donde

encontramos un ''espejo'' de la ramaHKLMSecurityProvider, mientras

la primera va cambiando según cambien las propiedades de la red la

segunda se mantiene estática.

Hasta aquí cierro el Manual del Pánico, ahora vamos a aprender cómo

se restaura el registro.

RESTAURAR EL REGISTRO:

1.- Haga clic en el botón Inicio y, después, en Apagar el sistema.

2.- Haga clic en Reiniciar el equipo en modo MS-DOS y, después,

haga clic en Sí.

3.- Cambie al directorio de Windows. Por ejemplo, si su directorio de

Windows es C:Windows, deberá escribir: cd c:windows

4.- Escriba los siguientes comandos y presione ENTRAR después de

cada uno. (Observe que System.da0 y User.da0 contienen el número

cero).

Attrib -h -r -s system.dat

attrib -h -r -s system.da0

copy system.da0 system.dat

attrib -h -r -s user.dat

attrib -h -r -s user.da0

copy user.da0 user.dat

5.- Reinicie su equipo.

Si logramos teclear bien estos comandos tendremos restaurado

nuestro registro.

Manual avanzado de Como modificar las claves y valores del Registro de Windows

Sencillo tutorial para usar REGEDIT el editor del Registro. Como crear,

editar y exportar claves y valores, usar los script y archivos REG, precauciones a seguir. Crear respaldos del Registro y restaurarlos.

Las claves más editadas por las aplicaciones, usuarios y los virus.

¿Qué es el Registro de Windows y Regedit?

El Registro de Windows es una base de datos centralizada que

almacena las configuraciones y toda la información del sistema operativo.

Contiene datos referentes a todo el hardware, software, configuraciones de los usuarios, y preferencias guardadas en el

equipo. El Editor del Registro, conocido como REGEDIT es una herramienta

que incluye Windows para editar manualmente las claves y valores que contiene el Registro.

Mediante Regedit es posible crear, editar y exportar claves y valores, es posible también crear y restaurar una copia de seguridad de todo el

Registro o guardar solo claves individuales.

¿Cómo abrir REGEDIT el Editor del Registro?

Se puede abrir el Editor del Registro de varias formas:

➔ Escribe en el cuadro de Inicio o en la herramienta Ejecutar:

REGEDIT y presiona la tecla Enter.

➔ En Windows 8 escribe en la pantalla de inicio: Regedit y presiona

Enter.

➔ Busca el acceso directo en: Todos los programas.

➔ Crea un nuevo acceso directo en el escritorio, con la ruta:

"regedit.exe"

No se aconseja la modificación del registro de Windows por quien no esté familiarizado con su manejo, porque los cambios hechos pueden

afectar la estabilidad del sistema operativo. En este sitio hay disponibles páginas con multitud de ajustes,

modificaciones, hacks útiles para efectuar cambios en el Registro, pero se aconseja su ejecución con mucha precaución.

En todos los casos se recomienda previamente hacer una copia de a clave a modificar (Menu -> Exportar).

Tampoco hay que tener miedo, la edición de las claves y valores del registro no es nada difícil, ni es solo para expertos, solo hay que tener

la adecuada precaución y un poco de sentido común.

¿Cómo editar las claves y valores del Registro?

Se puede hacer modificaciones en el Registro de dos formas:

Manualmente mediante Regedit o editando los archivos REG con el Bloc de notas u otro editor de texto y agregándolos posteriormente.

Usar Regedit

Regedit abre una ventana con la estructura de un árbol, algo similar a un explorador con dos paneles.

El panel de la izquierda contiene la estructura y se puede navegar por carpetas (claves) y subcarpetas.

De forma parecida al explorador se puede usar el menú contextual

para crear nuevas claves, eliminarlas, renombrarlas, exportarlas, etc. En la siguiente imagen de ejemplo se exporta la clave: "Services", que

contiene todos los valores de los servicios modificados manualmente por el usuario, mediante la herramienta Servicios.

En el panel de la derecha se abre el contenido de las claves y los valores.

Cualquier valor se edita dando dos clics encima. En la siguiente imagen se muestra como se cambia el valor de:

DisablePagingExecutive en la clave Memory Management para deshabilitar la paginación del núcleo en Windows, así optimizar la

memoria y obtener más rendimiento.

Más información sobre las secciones, los tipos de datos, los tipos de claves, la ubicación física de los archivos del registro en Windows,

puedes leerla con más detalle en la siguiente página: Manual del Registro de Windows

Usar los archivos REG

Los archivos REG son solo archivos de texto que se guardan con la extensión .REG, en vez de la predeterminada .TXT

Pueden ser editados con facilidad con cualquier editor, por ejemplo el Bloc de notas de Windows.

A dar dos clics encima se agrega la información que contienen al

Registro.

También se puede crear un archivo REG exportando una clave en Regedit.

Su estructura es la siguiente como se muestra en el siguiente diagrama:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\shell\command]

Constan de: • El encabezado que siempre es: Windows Registry Editor Version

5.00 • Una línea en blanco (es imprescindible)

• La clave con su valor correspondiente

Reglas a seguir para crear los scripts o archivos REG

Al crear un archivo para agregar al registro es necesario tener presente las siguientes reglas

La primera línea en los sistemas operativos XP, Vista y Windows 7

debe ser:

Windows Registry Editor Version 5.00

a continuación debe dejarse una línea en blanco.

En los sistemas operativos Win98, ME, o NT 4.0 será:

REGEDIT4

de la misma forma después dejar una línea en blanco.

Para crear una clave un ejemplo seria:

[HKEY_CURRENT_USER\Software\MiPrograma]

Un valor contenido en la clave anterior:

[HKEY_CURRENT_USER\Software\MiPrograma]

"mi_valor"="como"

Para eliminar una clave antepone un signo menos:

[-HKEY_CURRENT_USER\Software\MiPrograma]

Para eliminar un valor:

[HKEY_CURRENT_USER\Software\MiPrograma]

"valor a quitar"=-

Al crear cualquier valor, se supone que es una cadena, para crear un

valor DWORD es necesario especificarlo, por ejemplo:

[HKEY_CURRENT_USER\Software\MiPrograma]

"mi_valor"= dword:000001

Si el carácter punto y coma (;) está delante de cualquier línea esta

será ignorada y considerada como un comentario, por ejemplo:

[HKEY_CURRENT_USER\Software\MiPrograma]

; esta línea es un comentario

Permisos para editar el registro

Para poder realizar modificaciones en el registro de Windows debes

acceder como administrador, si no tienes el permiso necesario prueba la siguiente opción:

• Sitúate en la clave a modificar, haz clic con el botón derecho del mouse y selecciona en el menu que aparecePermisos.

• Clic en Opciones avanzadas >Propietario, selecciona tu nombre y activa la casilla Reemplazar propietario en subcontenedores y

objetos y presiona Aceptar. • Ahora en la ventana anterior selecciona tu nombre y marca la

casilla Permitir Control total.

• Aceptar. Es todo.

Ubicación de las claves más editadas del Registro

Claves que con más frecuencia son modificadas en el Registro ya sea

por las aplicaciones o programas que instalamos, por el usuario para

personalizar Windows o por los virus informáticos.

Claves del registro modificadas y agregadas por los virus

frecuentemente

Ya sea en las ramas: "HKCU\Software\Microsoft\Windows\Currentversion\" o en:

"HKLM\Software\Microsoft\Windows\Currentversion\" Las siguientes claves son agregadas:

Policies\Explorer\NoFolderOptions (para que no se muestren las

opciones de carpeta)

Policies\System\DisableRegistryTools (con el objetivo de deshabilitar el Registro)

Explorer\Advanced\ShowSuperHidden (para no mostrar los archivos de sistema)

En todas ellas "0" es nulo el valor y "1" establecido. Si las encuentras en tu Registro las puedes establecer en "0" o

eliminarlas sin temor.

Otra clave es "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" en la cual el valor tiene que ser

únicamente "explorer.exe"

Crea tu primer script o archivo REG

Crea tu primer script o archivo REG con el siguiente código.

Habilitará un botón en el menú contextual del ratón, para acceder al

Editor del Registro. Solo copia el código y pégalo en el Bloc de notas.

Guarda el archivo con cualquier nombre, pero que posea la extensión .REG

Da dos clics en el archivo creado para agregarlo. Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\Background\shell\Abrir REGEDIT]

@="Abrir REGEDIT" "Icon"="C:\\Windows\\regedit.exe"

[HKEY_CLASSES_ROOT\Directory\Background\shell\Abrir

REGEDIT\command] @="C:\\Windows\\regedit.exe"

Consejos antes de efectuar algún cambio en el Registro

¿Cómo hacer un backup o respaldo del registro de Windows?

La forma más sencilla de hacer un respaldo del registro es exportando la clave seleccionada, la rama o todo el registro en un archivo REG.

Este es un archivo de texto plano con la extensión .reg que contiene todos los datos de la sección exportada. Su tamaño depende de los

datos que contenga, un respaldo de todo el registro no suele medir más de 60MB.

Al dar dos clics en un archivo REG creado, Windows mostrará un

mensaje de confirmación y si es positivo agregará las claves que

contenga al registro sustituyendo los valores que se hayan modificado. Para exportar una clave, rama o todo el registro en el Editor del

Registro o REGEDIT selecciona: Archivo > Exportar, en la parte inferior de la ventana en Intervalo de exportación selecciona: Todo o

Rama seleccionada, guarda el archivo en el lugar correspondiente.

¿Cómo restaurar el registro en caso de errores?

Windows por medidas de seguridad siempre mantiene una copia a

salvo del registro, en los casos de que una modificación inadecuada

afecte archivos de configuración y esto haga que Windows no pueda

iniciar, es posible utilizar dicha copia guardada. Si te ves en ese caso sigue los siguientes pasos:

Al encender el equipo después de pasar la etapa del POST, oprime la

tecla F8, se mostrará un menú con varias opciones, mediante las

teclas de dirección (las flechas) selecciona: "La última configuración

válida conocida" y oprime la tecla Enter.

¿Cómo crear un respaldo del registro y restaurarlo mediante la línea

de comandos

Para crear un respaldo completo de tu registro copia y pega lo siguiente en Inicio o en Ejecutar y oprime Enter:

REGEDIT /E %userprofile%\Documents\regbackup.reg Se creará el archivo regbackup.reg en la carpeta Mis Documentos que

será un respaldo completo del registro. Sustituye %userprofile%\Documents\ por otra ubicación si lo necesitas.

Si te fuera necesario restaurar el respaldo solo utiliza: REGEDIT %userprofile%\Documents\regbackup.reg

Manual del Registro de Windows, estructura y funciones elementales

Sencillo tutorial para para conocer y comprender el funcionamiento del

Registro. Como usar REGEDIT para crear y editar claves y valores, ejemplos prácticos de los cambios y modificaciones que podemos

realizar en el sistema.

Si te gusta (como yo) cambiar los

valores predeterminados de tu sistema operativo y te atreves por tu cuenta a experimentar modificando valores del Registro, aquí están los

conocimientos elementales que debes poseer. El Registro es algo muy complejo, es una especie de almacén digital,

donde se guardan celosamente todos los ajustes del sistema operativo, por lo que es muy delicado y cualquier cambio erróneo,

puede ser catastrófico para la estabilidad de Windows. Se recomienda leer primero otra página de este sitio con información

sobre las precauciones que se deben tener en cuenta antes de usar REGEDIT el editor del Registro, para realizar cualquier modificación.

Precauciones antes de modificar y editar el Registro de Windows

Estructura del Registro de Windows

Ubicación de los archivos del Registro

Los archivos del registro se almacenan físicamente en ubicaciones diferentes.

1. Los archivos más importantes se encuentran en el siguiente

directorio: "C:\Windows\System32\config\"

Contiene los siguientes archivos que corresponden a ramas diferentes:

Security - HKEY_LOCAL_MACHINE\SECURITY

Software - HKEY_LOCAL_MACHINE\SOFTWARE

Sam - HKEY_LOCAL_MACHINE\SAM

System - HKEY_LOCAL_MACHINE\SYSTEM

Default - HKEY_USERS\.DEFAULT

2. En cada carpeta de usuario (en caso de existir varios), se encuentra

un archivo de nombre "Ntuser.dat", contiene los datos referentes a la

rama de dicho usuario.

La ruta es: C:\Users\NombreDeUsuario\Ntuser.dat

3. Un tercer archivo se encuentra en:

C:\Users\NombreDeUsuario\AppData\Local\Microsoft\Windows\UsrCla

ss.dat

4. Otros archivos se encuentran en:

C:\Windows\ServiceProfiles\LocalService

La localización de todos está registrada en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Como se comprenderá no es factible hacer un respaldo manualmente de los archivos del Registro, para eso lo ideal es emplear el comando

REGEDIT /E

Cómo podemos modificar el contenido del Registro de Windows

El contenido del Registro de Windows se visualiza y se edita mediante

la herramienta Regedit que es el editor del Registro. Para abrirla solo escribe en el cuadro de inicio (Windows 7) o en la

herramienta Ejecutar regedit y presiona a tecla Enter. Veremos todos los archivos ordenados en forma de carpetas, similar al

explorador de Windows, se llaman claves y están agrupadas en ramas.

Cada clave contiene valores, en ellos se graba y almacena la

información.

Observamos que al abrir por primera vez regedit aparecen cinco grandes grupos de carpetas, se les conoce como Ramas.

Son las siguientes: HKEY_CLASSES_ROOT

HKEY_CURRENT_USER HKEY_LOCAL_MACHINE

HKEY_USERS HKEY_CURRENT_CONFIG

Regedit está formado por dos paneles, al dar un clic en una clave o subclave en el panel de la izquierda, en el de la derecha se muestra lo

que contiene. Cada clave puede contener en su interior archivos llamados valores,

de tipos diferentes. Estos valores son los que contienen la información.

Para cambiar el dato de un valor, solo da dos clics en él o da un clic

con el botón derecho y selecciona la opción: "Modificar". Para crear una nueva carpeta o clave da un clic en el panel izquierdo y

en el menú selecciona: "Nuevo/Clave". Para crear un valor dentro de dicha clave en el panel derecho da un

clic derecho y el menú selecciona: "Nuevo/Valor" Escoge un tipo de valor de los disponibles.

Dos clics para abrirlo e introduce el valor necesario.

Tipos de valores que usa el Registro

En el Registro se usan valores diferentes para almacenar la información, son los siguientes:

Valor de cadena REG_SZ Cadena de texto de longitud fija.

Valor binario REG_BINARY Datos binarios sin formato. La mayoría de

la información sobre componentes de hardware se almacena en forma

de datos binarios y se muestra en formato hexadecimal en el Editor del

Registro.

Valor de DWORD REG_DWORD Datos representados por un número

de 4 bytes de longitud (un valor entero de 32 bits). Muchos parámetros

de controladores de dispositivo y servicios son de este tipo y se

muestran en el Editor del Registro en formato binario, hexadecimal o

decimal.

Valor de cadena múltiple REG_ MULTI_SZ Valores que contienen

listas o valores múltiples; este es el formato cuya lectura resulta más

sencilla. Las entradas aparecen separadas por espacios, comas u

otros signos de puntuación.

Valor de cadena expandible REG_ EXPAND_SZ Este tipo de datos

incluye variables que se resuelven cuando un programa o servicio

utiliza los datos.

Opciones disponibles en el menú de Regedit

Hay dos formas de acceder a las opciones al usar Regedit, una de ellas usando el menú contextual del ratón y la otra la barra de menú de

la aplicación en la parte superior.

Archivo/Exportar Guarda la clave del Registro seleccionada en un archivo de texto plano de extensión .reg. Para restaurar esa clave posteriormente solo es necesario dar dos clic en el archivo creado.

Archivo/Importar Accede a un archivo.reg y lo introduce en el Registro.

Edición/Nuevo Crear una nueva clave o valor.

Edición/Buscar Imprescindible herramienta para buscar en el registro introduciendo cualquier termino o cadena. F3: Permite continuar la búsqueda iniciada.

Edición/Permisos

El Registro sólo lo pueden modificar los Administradores, mediante permisos podemos editar y cambiar los valores predeterminados. Los tipos de permisos en opciones avanzadas son los siguientes: Control total: Permite que posea todos los permisos posibles. Consultar valor: Permite que tenga permiso de lectura. Establecer valor: Permite que tenga permiso de escritura. Crear subclave: Permite que pueda crear subclaves. Enumerar subclaves: Permite que pueda listar las subclaves de una clave. Notificar: Notificará cuando la clave sea modificada. Eliminar: Permite que pueda eliminar claves.

Estructura del Registro de Windows

Como decíamos la interface de Regedit es una especie de árbol o

explorador que no está en correspondencia con la verdadera estructura del Registro, el orden de las ramas no ayuda mucho a

comprender como verdaderamente está formado. Verdaderamente el Registro se compone de dos grandes ramas:

HKEY_LOCAL_MACHINE y HKEY_USERS

Estas dos ramas contienen todos los parámetros del Registro de Windows.

Lo que ocurre es que para mayor comodidad la primera de ellas deriva en otras llamadas:

HKEY_CURRENT_CONFIG, HKEY_CLASSES_ROOT y HKEY_CURRENT_USER.

Hagamos un breve comentario de cada rama, observa la imagen para

una mayor comprensión, le daremos un color diferente a cada una.

Rama HKEY_LOCAL_MACHINE (HKLM) Esta rama contiene la configuración general del equipo, así como

información de los programas y dispositivos conectados a la computadora.

De ella proceden la HKEY_CURRENT_CONFIG y la HKEY_CLASSES_ROOT.

Los cambios que hagamos en esta rama, afectarán a todos los usuarios.

Rama HKEY_USERS

Esta rama contiene la configuración de todos los usuarios del ordenador. Según van agregándose usuarios al sistema operativo,

aparecen claves del formato: S-1-5-21-76556, aquí están las claves de los usuarios conectados, de todos ellos la clave del usuario actual se

repite en HKEY_CURRENT_USER.

Rama HKEY_CURRENT_CONFIG

En esta rama está la configuración actual del sistema. También tiene

la configuración de los dispositivos instalados.

Rama HKEY_CLASSES_ROOT

En esta rama se encuentra los archivos registrados, sus extensiones y los programas asociados. También se encuentra los números de

identificación de clases (CLSID) y los iconos de cada objeto. Esta rama es parte de la HKEY_LOCAL_MACHINE, concretamente es

la misma rama que: HKEY_LOCAL_MACHINE/Software/Classes

Rama HKEY_CURRENT_USER (HKCU)

En esta rama se encuentra la configuración del usuario que está actualmente usando el equipo. Los cambios que hagamos en esta

rama afectarán solo al usuario actual. Aquí están los sonidos asociados, escritorio, papel tapiz, teclado, las

aplicaciones que se pueden usar, la red. Se almacena la configuración del usuario que actualmente está usando el ordenador. La información

aquí contenida es copiada de la clave HKEY_USERS, una clave del tipo: S-1-5-21-76556.

Dentro de esta rama hay una clave muy importante y muy utilizada: HKCU/Software/Microsoft/Windows/CurrentVersion en ella se puede

controlar multiples aspectos del sistema.

Algunas claves importantes del Registro de Windows

HKEY_CLASSES_ROOT

Esta rama contiene toda la información de los tipos de archivo

registrados y consecuentemente la acción y programas necesarios para ejecutarlos.

De forma predeterminada viene con los archivos propios del sistema y en la medida que se instalan o ejecutan aplicaciones, van agregando

su información y aumentando su tamaño. Ejemplos de algunos tipos de claves que la componen:

.html Acciones a tomar con archivos de extension .html

.htmlfile Acciones a tomar con los tipos de archivos htmlfile (Un tipo de archivo puede estar asociado a varias extensiones)

Directory Acciones a tomar con directorios (contienen otros directorios o carpetas en su interior)

Folder Acciones a tomar con carpetas

Drive Acciones a tomar con unidades

CLSID Registro de todas las carpetas CLSID o identificadores de clase del sistema.

Conoce varios ejemplos prácticos sobre las modificaciones en la rama HKEY_CLASSES_ROOT:

Crear nuevas entradas en el submenú Nuevo del menú contextual

HKEY_CURRENT_USER (HKCU)

AppEvents Sonidos

Console Configuración de la consola de cmd.

Control Panel Configuración del Panel de control

Enviroment Variables de entorno agregadas por el usuario.

Software\Microsoft\Windows\CurrentVersion Clave importantísima porque aquí está la configuración de muchos aspectos de Windows.

HKEY_LOCAL_MACHINE (HKLM)

Hardware CPI gestión avanzada de energía

Description Información del microprocesador

DeviceMap Información del ratón, teclado, puertos.

SAM Configuración de seguridad, está protegida.

Security Configuración de seguridad, está protegida. Se utiliza cuando estamos en un dominio.

Software Información de programas instalados, fecha, versión, licencia, colores Classes es HKCR.

System Información sobre perfiles de Hardware, controladores, unidades de disco.

Métodos prácticos de editar el Registro

Podemos modificar manualmente los valores del Registro

directamente, pero si no se posee la suficiente experiencia o se siente temor, es mejor realizarlo de forma indirecta a través de los archivos

REG o INF... Son dos los métodos más empleados.

1.- Exportar una clave y modificarla con el Bloc de notas u otro editor, posteriormente restaurar el archivo ya editado.

Un ejemplo: Modificar la página de Inicio del navegador Internet

Explorer.

• Accede a la clave:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

• Usa en el menú: "Archivo -> Exportar" y guárda el archivo en el

escritorio, dale el nombre: prueba.reg

• Da un clic derecho en el archivo prueba.reg y selecciona Editar.

• Cambia el valor "Start Page"="http://norfipc.com"

• Cierra el archivo, guarda los cambios y ahora doble clic sobre él. El

archivo se agregará al Registro y establecerá como la página de inicio

del navegador Internet Explorer, el sitio web indicado.

2.- Mediante un archivo INF. Éstos archivos se ejecutan pulsando

sobre ellos con el botón derecho y luego Instalar.

Ejemplos prácticos de algunas modificaciones al sistema

1.- Podemos evitar que se utilice el Intérprete de comandos en nuestro equipo, ve a la clave:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System.

En el panel derecho crear un DWORD llamado DisableCMD y ponerlo en 1 (No permitir), 2 o 0 (Sí permitir).

2.- Ocultar el reloj.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer en el Panel derecho crear el valor DWORD llamado

HideClock y ponerle valor 1

3.- Mediante la herramienta Opciones de carpeta podemos configurar diversos aspectos de las carpetas y de los archivos en Windows.

Para que no aparezca la opción "Opciones de carpeta." en el menú Herramientas, haz lo siguiente:

Accede a: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Policies\Explorer en el Panel derecho crear el valor DWORD llamado NoFolderOptions y ponle valor 1.

4.- Para que un programa se ejecute en el inicio de Windows.

Ejemplo con la calculadora. Ve a:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run en el Panel derecho crea un nuevo valor de cadena llamado

Calculadora y ponle de valor calc.exe En esa misma clave y la similar en la rama HKEY_LOCAL_MACHINE

podemos verificar los programas o aplicaciones que se inician con Windows.

5.- Queremos que cuando entremos en el Intérprete de comandos, nos

salga la frase de saludo: "Bienvenido al Intérprete de comandos" HKEY_CURRENT_USER\Software\Microsoft\Command Processor en

el Panel derecho crear un nuevo valor de cadena llamado AutoRun

con este comando:

ECHO "Bienvenidos al Interprete de comandos"

Otras modificaciones en el Registro de Windows

En la sección El Registro de este sitio encontrarás varios artículos que tratan todos acerca de la modificación del sistema operativo usando

Regedit. Muchos de ellos te serán útiles, siempre toma las medidas de

precaución necesarias. Especialmente útil puede ser la página de trucos de Regedit en la que

puedes descargar un script para acceder a cualquier clave del Registro, solo copiando su ruta en el texto de un documento o de una

página web.

Manual del MSCONFIG

La herramienta de Configuración de sistema sirve para configurar los archivos de sistema System.ini, Boot.ini, Win.ini y modificar los servicios y programas de inicio de Windows. Para ejecutarlo, debemos ir a Inicio, Ejecutar..., y escribir "msconfig" (sin comillas) (O simplemente presionamos la tecla WINDOWS + R)

En el caso de que no ejecute la herramienta, podemos ejecutarlo manualmente desde la carpeta"C:WINDOWSPCHealthHelpCtrBinaries" (siendo C:WINDOWS la carpeta de sistema, en algunos caso podria ser D:WINDOWS, etc) o desde Ejecutar... escribiendo "%systemroot%PCHealthHelpCtrBinariesmsconfig" (sin comillas) General

En la primera solapa habrán 3 tipos de inicio: Inicio Normal: se cargaran todos los elementos de Inicio al arrancar el Windows. Inicio con diagnóstico: solo servicios y controladores de dispositivos básicos. Inicio selectivo: nos da la opción de seleccionar los elementos de Inicio deseados. Podemos seleccionar las casillas SYSTEM.INI, WIN.INI, Servicios y elementos de Inicio. SYSTEM.INI y WIN.INI Estas pestañas provienen de versiones anteriores de Windows que servían para iniciar controladores y programas. En XP no brindan utilidad alguna y por eso las paso de largo. BOOT.INI

Esta sección permite la edición del archivo boot.ini de una forma más grafica podria decirse. 1. - En la parte de arriba, en el recuadro blanco, se encuentran las líneas del archivo boot.ini tal como están en el archivo 2. - El botón Comprobar todas las rutas de inicio, sirve para comprobar que los modos y rutas de Inicio son correctos 3. - Los botones Subir y Bajar sirven para establecer el orden de ejecución de las rutas de inicio 4. - El botón Predeterminado, sirve para establecer por default determinada ruta de inicio 5. - El apartado Opciones de Inicio sirve para configurar como inician las rutas de Inicio: /SAFEBOOT es como iniciar en Modo Seguro (Modo a Prueba de Fallos) /NOGUIBOOT sirve para deshabilitar el logo de Windows XP en el inicio de Windows

/BOOTLOG esta opción crea un archivo log con todos los sucesos del inicio de Windows. El archivo log se crea con el nombre "ntbtlog.txt", en el directorio raíz. /BASEVIDEO esta opción hace que el sistema se inició con los controladores base de video, es decir, con una resolución de 640x480 píxeles y 16 colores /SOS esta opción permite visualizar la carga de drivers en el inicio. Esto es muy útil si nuestro ordenador se traba en el logo de inicio, ya que nos permite visualizar cuales archivo no se pueden cargar, de esta manera podemos ubicar la fuente del error. *NOTA* los modificadores /NOGUIBOOT y /SOS son complementarios, así que en caso de necesitar alguna, se recomienda activar las dos. 6. - En Tiempo de espera (por defecto 30 seg.) se configura la cantidad de segundos que tenemos para seleccionar el sistema operativo con el cual vamos a arrancar. Servicios

En esta solapa podremos observar los servicios que se cargan al iniciar Windows. En la columna Esencial muestra los supuestos servicios esenciales, aunque realmente este aviso no es confiable. En la columna Fabricante podremos observar de que empresa proviene cada servicio, lo que nos permite identificarlos más fácil. Si presionamos la casilla Ocultar servicios de Microsoft, solo se mostraran los servicios de fabricantes externos. En la columna Estado, podremos observar si el servicio está activo o no. Con el botón Habilitar Todoss activaran todas las entradas y con Deshabilitar Todo desactivaran todas. Muchos de estos servicios son innecesarios, consumen recursos y en máquinas no tan rápidas es conveniente deshabilitarlos Para más información sobre los servicios, la página de Microsoft nos proporciona la información Servicios

Inicio

Permite habilitar y deshabilitar los procesos que se inician en el sistema. Seguramente la opción más llamativa y usada por los usuarios. Muchos de estos programas se muestran en la Bandeja de Sistema (System tray) al lado del reloj, abajo a la derecha. Estos programas relentizan y vuelven inestable el sistema, por lo cual se recomienda deshabilitar los que no se usen diariamente. *NOTA* Si no se tiene conocimiento es preferible buscar información o pregúntame a mi sobre esto y te intento ayudar. Aplicar configuraciones

Para aplicar la configuración se debe presionar el botón Aplicar seguido de Cerrar. Luego, en el cuadro de diálogo, se debe presionar sobre el botón Salir sin reiniciar de no ser necesario su efecto inmediato o Reiniciar para que la configuración tenga efecto: Scanner:

Qué espacio ocupan las carpetas en tu disco duro?

Scanner, con un nombre bastante trillado, es una herramienta gratuita

para Windows con un enfoque bastante sectorizado: saber qué

espacio ocupa cada carpeta en Windows, para de esa manera analizar

y diagnosticar la capacidad de nuestros discos duros.

Al momento de ejecutar Scanner, que por cierto no requiere de

instalación alguna pues es totalmente portátil, el programa hará

automáticamente un escaneo exhausto a nuestro disco duro, para así

luego permitirte visualizar gráficamente el resultado del análisis.

Sirve más bien como una herramienta de diagnóstico, para analizar el

espacio que ocupa cada carpeta nuestra en el disco duro, y así poder

tomar las medidas necesarias para que no perdamos tanto espacio.

Sin duda alguna que carece de funcionalidades como la de limpiar

carpetas específicas, borrando archivos innecesarios, y un largo

etcétera.

Pero de todas maneras, Scanner es una excelente utilidad de

diagnóstico.

¿Qué es la desfragmentación de discos?

La desfragmentación de discos describe el proceso de consolidar archivos fragmentados del disco duro del equipo.

La fragmentación se produce en un disco duro con el tiempo conforme guarda, cambia o elimina archivos. Los cambios que guarda en un archivo se almacenan a menudo en una ubicación del disco duro diferente del archivo original. Los cambios adicionales se guardan incluso en más ubicaciones. Con el tiempo, el archivo y el propio disco duro se fragmentan y el equipo se ralentiza puesto que tiene que mirar en diferentes lugares para abrir un archivo.

El Desfragmentador de disco es una herramienta que vuelve a organizar los datos del disco duro y vuelve a unir los archivos fragmentados de manera que el equipo se ejecute de manera más eficaz. En esta versión de Windows, el Desfragmentador de disco se ejecuta en una programación, por lo que no tiene que acordarse de ejecutarlo, aunque sigue teniendo la opción de ejecutarlo manualmente o de cambiar la programación que usa.

¿Para qué sirve el desfragmentador?

El desfragmentador de disco se usa generalmente para agilizar el

acceso a los datos.

Esta utilidad, la incluye el Sistema Operativo Windows, y sirve para

reunir los archivos y las carpetas que se encuentran fragmentados en

el disco duro del equipo, de este modo cada uno de ellos ocupa un

sólo espacio en el disco. Con los archivos cuidadosamente

almacenados, sin fragmentación, las operaciones de lectura y escritura

en el disco resultan mucho más ágiles.

Es recomendable desfragmentar tu disco, al menos, 1 vez al mes,

siempre y cuando hayas hecho muchas operaciones con tu Equipo,

tales como borrado, desinstalación, reubicación de aplicaciones,

creación y eliminación de carpetas y archivos varios, etc.

Para que lo entendáis mejor: la información del disco duro se va

almacenando en los espacios libres del mismo. Digamos que vosotros,

por ejemplo, tenéis un juego, que ocupa, aproximadamente, unos 2gb

en el disco duro. Los archivos de este juego no tienen,

necesariamente, que colocarse continuos uno tras otro, sino que se

almacenan en espacios de disco disponibles. Esto quiere decir que si

tu disco está muy fragmentado, los archivos estarán en fragmentos de

memoria diferentes y cuando el Sistema Operativo intente acceder a

estos ficheros para su lectura o escritura, le llevará mucho más tiempo

hacerlo, ya que tiene que acceder a todos los espacios de memoria en

los que están alojados los archivos. Si desfragmentáis el disco duro, el

Sistema Operativo tratará de minimizar la desfragmentación al

máximo, con lo cual ayudáis a mejorar el rendimiento de vuestro

Equipo.

IMPORTANTE: Si agregas un gran número de archivos o el espacio

libre en el disco se sitúa en torno al 15%, debes de realizar una

desfragmentación del disco. Es conveniente para poder optimizar el

rendimiento de tu equipo.

Antes de realizar una Desfragmentación de disco, se debe de Analizar

disco, para que la utilidad determine si es o no es necesaria esta

desfragmentación, además de que te indica el tiempo que durará este

proceso.

PRUEBA:

Hay usuarios, que indican que su equipo va algo lento, le cuesta

acceder a las aplicaciones correctamente, han tenido incluso

problemas de registro de aplicaciones que fueron borradas, pero

quedan datos esparcidos por el disco, que entorpecen la instalación

de nuevas aplicaciones asociadas a las anteriores. Además han visto

un gran deterioro de las prestaciones que ofrecía su equipo.

MANUAL DE USO DEL DESFRAGMENTADOR DE DISCO:

Hacemos una prueba para que veáis cómo se tiene que realizar el

proceso correctamente.

1. Haga clic en Inicio, seleccione Todos los programas, Accesorios,

Herramientas del sistema y, a continuación, haga clic

en Desfragmentador de disco.

2. En el cuadro

de diálogo Desfragmentador de disco, haga clic en las unidades que

desee desfragmentar y después clic en el botón Analizar disco.

Después de que se analice el disco aparece un cuadro de diálogo en

el que se indica si deben desfragmentarse las unidades analizadas.

3. Para desfragmentar las unidades seleccionadas, haga clic en el

botón Desfragmentar Disco. Una vez concluido el proceso aparece un

cuadro con los resultados del mismo.

4. Para que se muestre información detallada acerca del disco o de la

partición que se ha desfragmentado, haga clic en Presentar informe.

5. Para cerrar el cuadro de diálogo Presentar informe, haga clic

en Cerrar.

6. Para cerrar la utilidad Desfragmentador de Disco, haga clic en el

botón Cerrar situado en la parte de abajo de la ventana.

CONCLUSIÓN:

El desfragmentador de disco es un organizador de la información

contenida en tu dispositivo de almacenamiento, ordena tus archivos

según prioridades de uso (los más importantes y más usados los

organiza al principio y los menos al final) a fin de agilizar su acceso

cuando los requieras, además evita huecos vacíos entre un archivo y

otro, ya que pone uno tras otro. Aunque la mayoría de usuarios no

utilizan el Desfragmentador de disco, sobre todo por su

desconocimiento acerca del uso del mismo. Creemos que es positivo

su uso y está recomendado hacerlo 1 vez al mes.

Esperamos que les sirva de utilidad esta explicación y manual.

Clúster (sistema de archivos)

Estructura:

(A) pista

(B) sector geométrico

(C) sector de disco

(D) clúster.

Un clúster (o unidad de asignación según la terminología de Microsoft)

es un conjunto contiguo de sectores que componen la unidad más

pequeña de almacenamiento de un disco. Los archivos se almacenan

en uno o varios clústeres, dependiendo de su tamaño de unidad de

asignación. Sin embargo, si el archivo es más pequeño que el tamaño

de un clúster, éste lo ocupa completo.

Tamaño de unidad de asignación

El tamaño de la unidad de asignación es la cantidad de fragmentos en

que se divide un disco duro cuando se le da formato. Imaginemos un

disco duro como un libro, y las unidades de asignación son las

páginas. Por muy grande que sea un libro, la cantidad de páginas que

puede tener es finita, aunque las páginas pueden ser más finas o más

gruesas para abarcar párrafos de información (los puede utilizar varias

unidades de asignación, pero si el archivo o el fragmento restante es

menor que la unidad de asignación se desperdicia el espacio sobrante.

Por ejemplo, si la unidad es de 4096 y el archivo es de 512, la pérdida

es de 3584.

El tamaño de unidad de asignación de los clústeres así como el

espacio de almacenamiento perdido debido a los archivos que ocupan

menos que el tamaño del clúster depende del sistema de archivos que

emplee la particion.

Formatos

Estos son los formatos que se pueden utilizar dependiendo

del sistema operativo:

Windows: FAT, FAT16, FAT32, NTFS, EFS, exFAT.

Linux: ext2, ext3, ext4, JFS, ReiserFS, XFS, ExFAT.

Mac OS: HFS, HFS+.

Cómo reparar un clúster dañado en un disco duro

En la mayoría de los casos, los clústeres dañados no son más que una molestia. Repararlos es un proceso relativamente sencillo, aunque puede dar miedo. El punto más importante a considerar es que un escaneo completo puede tardar mucho tiempo en un disco duro grande.

Usando CHKDSK para reparar los problemas de tu disco duro

1. 1 Comprende tu problema. En un sistema de archivos basado en Windows, un clúster es un bloque del espacio de almacenamiento que no aparece listado como libre, pero tampoco está asignado a ningún archivo. En otras palabras, el sistema de archivos ha marcado el clúster para que no se sobrescriba, pero no sabe por qué. Esto no indica necesariamente que haya algún problema con el disco duro. Usualmente, tener muchos clústeres perdidos o dañados es el

resultado de programas que finalizaron inadecuadamente, como aquellos casos que son debidos a la pérdida de energía o al hecho de apagar una computadora sin cerrar primero la aplicación.

2. 2 Abre la línea de comandos o el símbolo de sistema de DOS. Existen varias formas de ejecutar la utilidad CHKDSK dependiendo de la versión de Windows que uses. El método que funciona en la mayoría de las versiones es ejecutarlo mediante la línea de comandos.

3. 3 Teclea "chkdsk /r" en la ventana de línea de comandos. Esto le indica a la computadora que ejecute la utilidad CHKDSK y que repare todos los errores que encuentre. Quizá sea necesario que reinicies tu computadora para ejecutar esta utilidad.

4. 4 Espera a que la utilidad finalice. A menos que comiences a ver errores en la pantalla de inmediato, es probable que por tu propio bien sea mejor que vayas a hacer otra cosa mientras tu computadora revisa el disco. Este proceso puede tardar hojas, así que no es necesario que te sientes y observes la pantalla.

5. 5 Reinicia. Después de que la utilidad finalice, reinicia tu sistema para arrancar con el sistema operativo de forma normal. Tus clústeres perdidos se guardarán como archivos nombrados en base a la convención: archivo####.chk. La información en dichos archivos usualmente es inútil. Sin embargo, quizá puedas analizarlos y recuperar información si es crítica.

Como Arrancar en modo seguro o a prueba de fallos

Windows xp

En algunas ocasiones, usted deberá iniciar su ordenador en modo

seguro a prueba de fallos, para resolver algún problema puntual, o

para ejecutar un antivirus o borrar manualmente algún virus, etc. De

acuerdo a su sistema operativo, estas son las acciones a llevar a

cabo:

METODO 1

1.- Salga de todos los programas

2.- Seleccione Inicio, Apagar el sistema.

3.- Apague la computadora, y aguarde 10 segundos (no use el botón

RESET, usted debe apagar su PC para borrar cualquier posible virus

en memoria).

4.- Encienda su PC.

5.- pulse F8 repetidas veces hasta que salga un menú

6.- Seleccione "Modo a prueba de fallos" o similar, y Windows debería

arrancar en este modo, si tiene Windows Xp pulse en Modo Seguro

METODO 2

CUANDO NO SE CONSIGUE CON EL METODO 1 ARRANCAR EN

MODO SEGURO

En los casos rebeldes, puede procederse a provocar el arranque en

modo seguro a través de software, configurando debidamente los

ficheros de inicio, a saber:

Windows XP

· Cierre todos los programas.

· Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá

la "Utilidad de configuración del sistema".

· Pulse en la lengüeta "BOOT.INI".

· En "Opciones de inicio", marque la casilla "/SAFEBOOT"

· Pulse en el botón, y en el mensaje siguiente confirme reiniciar el

ordenador.

· Una vez terminado el proceso que se quería realizar arrancando en

modo seguro, para volver a la normalidad el sistema, repita los pasos

1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT".

· Confirme los cambios, y reinicie su computadora.

El Modo Seguro es una opción para la solución de problemas que limita la operación del Windows a funciones básicas. El Modo seguro inicia Windows con solo los controladores y servicios básicos. Modo seguro con funciones de red inicia Windows, además de soporte de red. Para iniciar su equipo en Modo seguro o Modo seguro con funciones de red, efectúe los siguientes pasos: Iniciar Windows 7/Vista/XP en Modo seguro con funciones de red

1. Presione la tecla F8 en intervalos de 1 segundo inmediatamente después que la computadora se encienda o se reinicie (usualmente luego de oír el “beep” de su computadora)

2. Luego de que su computadora muestre la información del hardware y ejecute la prueba de memoria, aparecerá el Menú de opciones avanzadas de Windows.

3. Válgase de las flechas de su teclado para seleccionar Modo Seguro o Modo seguro con funciones de red y presione ENTER. Para obtener mayor información acerca de las opciones de Modo seguro, haga clic aquí si cuenta con Windows XP o aquí si cuenta con Windows Vista/Windows 7.

Figura 1-1

Iniciar Windows 8 en Modo seguro con funciones de red

1. Presione la tecla de Windows + C, y luego haga clic en Configuración.

Figura 2-1 Haga clic sobre la imagen para ampliarla

2. Haga clic en Iniciar/Apagar, mantenga presionada la tecla Shift en su teclado y haga clic en Reiniciar.

Figura 2-2 Haga clic sobre la imagen para ampliarla

3. Haga clic en Solucionar problemas.

Figura 2-3 Haga clic sobre la imagen para ampliarla

4. Presione Opciones avanzadas.

Figura 2-4 Haga clic sobre la imagen para ampliarla

5. Haga clic en Configuración de inicio.

Figura 2-5 Haga clic sobre la imagen para ampliarla

6. Haga clic en Reiniciar.

Figura 2-6 Haga clic sobre la imagen para ampliarla

7. Presione el número 5 en su teclado para Habilitar modo seguro con funciones de red. Windows se iniciará en Modo seguro con funciones de red.

Figura 2-7 Haga clic sobre la imagen para ampliarla

Para que sirve reiniciar la pc en Modo a prueba de Fallos

Muchos habrán escuchado sobre como iniciar la computadora en

modo seguro (a prueba de fallos) en windows xp. El modo aprueba de

fallos sirve para diagnosticar problemas de la computadora , para

instalar y desinstalar programas, en caso de que un virus o spyware

ataque tu computadora , o para cualquier modificación que quieras

hacerle al registro, etc.

Todos los programas tienen que estar cerrados

- Clic a inicio y en ejecutar escribes MSCONFING y pulsas aceptar

(enter).

- Aparecerá la Unidad de Configuración del Sistema, Clic en donde

dice BOOT. INI

- Aquí das clic en /SAFEBOOT y si tienes internet marca RED y clic en

aceptar

- Aparecerá el mensaje si deseas reiniciar, debes de reiniciarla. Y

después de reiniciada te aparecerá el siguiente mensaje.

- Para continuar con el modo de prueba de errores haga clic en SI, si

prefieres utilizar restaurar para devolver la configuración de su equipo

a un estado anterior haga clic en NO. Aquí tienes que dar si para que

continúe el modo a prueba de fallos

Después te aparece la pantalla de modo aprueba de fallos.

Para volver al modo normal, sigue todos los pasos de nuevo, pero

desmarca la casilla de /SAFEBOOT o marca la casilla de INICIO

NORMAL CARGAR TODOS LOS CONTROLADORES DE

DISPOSITIVOS Y SERVICIOS. Y confirma que se reinicie tu

computadora y de esta manera vuelves a modo normal.

Reference

/www.adrenalinecrash.com. (s.f.). http://www.adrenalinecrash.com.ar/. Obtenido de

http://www.adrenalinecrash.com.ar/: http://www.taringa.net/posts/ebooks-

tutoriales/8944737/Manual-de-MSCONFIG.html

/www.repararpc.info. (s.f.). /www.repararpc.info. Obtenido de /www.repararpc.info:

http://www.repararpc.info/2009/09/para-que-sirve-reiniciar-la-pc-en-modo.html

Abrams, L. (16 de 05 de 2004). www.bleepingcomputer.com. Obtenido de

www.bleepingcomputer.com: http://www.bleepingcomputer.com/tutorials/como-usar-

hijackthis/

http://kb.eset-la.com. (2012). http://kb.eset-la.com. Obtenido de http://kb.eset-la.com:

http://kb.eset-

la.com/esetkb/index?page=content&id=SOLN2268&querysource=external_es&locale=es_

ES

http://norfipc.com. (s.f.). http://norfipc.com. Obtenido de http://norfipc.com:

http://norfipc.com/registro/claves-registro-modificar-editar.html

http://norfipc.com. (s.f.). http://norfipc.com. Obtenido de http://norfipc.com:

http://norfipc.com/inf/manual-registro.html

nelson, b. (s.f.). http://www.ehowenespanol.com. Obtenido de http://www.ehowenespanol.com:

http://www.ehowenespanol.com/reparar-cluster-danado-disco-duro-como_21562/

Vergara, K. (31 de 03 de 2008). www.bloginformatico.com. Obtenido de

www.bloginformatico.com: http://www.bloginformatico.com/scanner-que-espacio-

ocupan-las-carpetas-en-tu-disco-duro.php

wikipedia. (s.f.). wikipedia. Obtenido de wikipedia:

http://es.wikipedia.org/wiki/Cl%C3%BAster_(sistema_de_archivos)

windows. (s.f.). http://windows.microsoft.com. Obtenido de http://windows.microsoft.com:

http://windows.microsoft.com/es-xl/windows-vista/what-is-disk-defragmentation

www.computer-freerepair.com. (22 de 11 de 2012). www.computer-freerepair.com. Obtenido de

www.computer-freerepair.com: http://www.computer-freerepair.com/para-que-sirve-el-

desfragmentador-de-disco/

www.configurarequipos.com. (2003 de 12 de 15). www.configurarequipos.com. Obtenido de

www.configurarequipos.com: http://www.configurarequipos.com/doc106.html

www.configurarequipos.com. (2008 de 12 de 31). www.configurarequipos.com. Obtenido de

www.configurarequipos.com: http://www.configurarequipos.com/doc1029.html

www.zonavirus.com. (2008). www.zonavirus.com. Obtenido de www.zonavirus.com:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-

fallos.asp