el registro de windows y aplicaciones

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected]

Te recomiendo que uses mquinas virtuales para hacer estas pruebas. Puedes encontrar ms informacin en google sobre VMware y VirtualPC. De todos modos si sigues los pasos exactamente no hay problema si desarrollas lo descrito en tu mquina.


RENUNCIA: El presente documento ha sido creado a partir de valiosa informacin obtenida de diversas fuentes confiables bibliogrficas y de Internet. No se puede decir que est hecha slo por m, pues yo no he creado el Registro de Windows, pero s, que gran parte de lo presentado corresponde a mi experiencia a partir de mi investigacin sobre este tema. Este material est hecho con fines puramente educativos, y el autor no se responsabiliza por el contenido de la informacin vertida o por lo que el lector pueda hacer con sta, ni por los daos o beneficios sobre hardware o software que pueda ocasionar la manipulacin, ejecucin, o puesta en prctica directa o indirecta de lo aqu descrito, ni por la influencia que esto pueda tener en la vida del lector y de terceros.

F. R. G. L. [email protected] Tarapoto-Per

2005


El principio de la sabidura es el temor de Jehov. Proverbios de Salomn


No basta saber, se debe tambin aplicar. No es suficiente querer, se debe tambin hacer. Johann Wolfgang von Goethe

Lo que sabemos es una gota de agua; lo que ignoramos es el ocano. Isaac Newton

En primer lugar acabemos con Scrates, porque ya estoy harto de este invento de que no saber nada es un signo de sabidura. Isaac Asimov

La sabidura es hija de la experiencia. Leonardo Da Vinci


Dedicatoria: Agradezco en primer lugar a Dios, por la vida y por todas las bendiciones que me ha dado. Todo lo que somos y lo que sabemos es por El, porque El lo permite. Gracias a Jess por haber venido a este mundo a dar su vida por nosotros. Preparmonos pues para su Segunda Venida. Agradezco tambin a mi madre por su apoyo total, Geni Linares Bensimn, quien desde que fui pequeo me ha inculcado los principios y valores de la Palabra de Dios con infinita paciencia, ternura y amor. A mis hermanos Raquel, Jairo y Omar, por su apoyo incondicional en todo momento. Agradezco tambin a todos mis amigos de la red, que aunque tal vez nunca los haya conocido a todos y que tal vez nunca los llegue a conocer en persona, me han ayudado-muchas veces sin saberlocompartiendo su conocimiento conmigo y con los dems.

Dedicado a quienes buscan la Sabidura por encima del conocimiento.


EL REGISTRO DE WINDOWS

El S.O. debe tener uno o varios archivos de configuracin para adaptarlo a las particularidades del hardware, del software y del usuario de un equipo. Estos archivos los lee el S.O. en el arranque del sistema. Para configurar y personalizar un terminal mediante MSDOS, utilizbamos los archivos CONFIG.SYS y AUTOEXEC.BAT, las rdenes introducidas en estos dos archivos se ejecutan al arrancar el sistema operativo permitiendo una configuracin segn nuestras preferencias. Podemos configurar el tipo de teclado, el ratn, el tipo de fecha, el prompt, el gestor de memoria, path, driver, tarjeta de sonido, etc.... Con Windows 3.1 se utilizaban para configurar nuestro sistema, adems de los archivos anteriores, otros de extensin INI (SYSTEM.INI, WIN.INI, etc...). Incluso algunos programas cuando se instalaban creaban su propio archivo de configuracin INI. En Windows 95, Windows 98 y Windows Me la configuracin del sistema se almacena en dos archivos SYSTEM.DAT(contiene toda la seleccin de hardware de nuestra PC) y USER.DAT(contiene las configuraciones de los usuarios). Estos archivos se almacenan como archivos binarios as que no podrs visualizar su contenido slo con un editor de texto. Estos 2 archivos se llaman el Registro de Windows. Cuando instalamos un programa (de 32 bits) ste suele modificar el Registro. Se puede prescindir del AUTOEXEC.BAT y CONFIG.SYS, as como de los archivos .INI sin embargo se mantienen por compatibilidad del sistema, sobre todo para que puedan funcionar los viejos programas de MSDOS y Windows 3.x

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Con Windows XP el Registro se guarda en varios archivos, concretamente en la carpeta: %SYSTEMROOT%\System32\Config se encuentran:

DEFAULT, SAM, SECURITY, SOFTWARE Y SYSTEM. Adems cada usuario tendr un archivo llamado:

%USERPROFILE%\NTUSER.DAT en donde tendr su configuracin. Qu significa %Systemroot% y %Userprofile%?, Pues son variables del sistema, las puedes ver escribiendo SET en el Intrprete de comandos. Osea %Systemroot% equivale C:\Windows y %Userprofile% equivale a C.\Documents and Settings\felipe, pero que valga para todos, pues podramos haber instalado Windows en otra particin y tener otro nombre de usuario. Muchos de los cambios que haces a la configuracin de tu Window$, tales como de repente poner contrasea a tu protector de pantalla, o cambiar el fondo de tu pantalla, son cambios que modifican los archivos del registro. Modificar el contenido de los archivos de registro no solo requiere las

herramientas adecuadas sino tambin la comprensin del funcionamiento interno de estos archivos.

Cmo podemos modificar el contenido del Registro de Windows? Pues podemos ir a cada uno de los archivos anteriores con un Editor unicode y modificarlo, pero esto es complicado. Lo mejor es ir a una herramienta llamada Editor del Registro: Inicio\Ejecutar\regedit. Veremos todos los archivos anteriores dispuestos de una manera elegante, en forma de carpetas (NO son carpetas, se llaman claves) y son fcilmente accesibles. En realidad no se ven cada archivo por separado sino que el propio Editor del Registro se encarga de presentarlos de esta particular manera. OJO: No debes confundir el Registro con el Editor del Registro, como ya lo dije

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] anteriormente, el Registro es en s un conjunto de archivos del sistema que no se pueden visualizar con cualquier programa, y el Editor del Registro(regedit.exe) es un programa especial que Microsoft ha hecho para Windows para poder manipular el Registro de una manera ms fcil. Hay varios Editores del Registro por all sueltos, como lo son el de Symantec, y otros ms. TIP: Probablemente el significado de la palabra HKEY derive de Handle to KEY, que significa manipular llave. Observamos que hay cinco claves llamadas:

HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG

Cada una de las Claves tiene subclaves. En el Panel derecho observamos los Valores, stos contienen Datos. Estos valores pueden ser de los siguientes tipos:

Los valores del tipo cadena, contienen por lo general: Nombres de objetos(tales como Papelera de reciclaje, etc), afirmaciones como yes y no, rutas(tal como C:\windows\system\command.com)etc.

Los valores del tipo binario, contienen datos binarios de archivos, etc. Los valores del tipo dword, contienen datos hexadecimales o

decimales(segn se escoja) para variables de configuracin.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Veamos rpidamente el men del Editor de Registro. (Puedes acceder a todos los elementos del men mediante el Botn derecho del ratn.) Archivo\Exportar = Coge una parte del Registro y la guarda en un archivo .reg Archivo\Importar = Coge un archivo.reg y lo introduce en el Registro.

Ejercicio : Modificar la Pgina de Inicio del Internet Explorer al clickear sobre un archivo.

Marca la clave : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Ahora ve a Archivo\Exportar y gurdalo en Mis documentos con el nombre de prueba.reg Ve al Bloc de notas y edita el archivo anterior: prueba.reg

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Cambia "Start Page"="http://www.elmundo.es" , pon la direccin de la pgina web que desees. Guarda el archivo y ahora doble clic sobre l. El archivo se grabar en el Registro y modificar la Pgina de Inicio del Internet Explorer. Abre ahora el Internet Explorer y vers la pagina web que escribiste.

Edicin\Nuevo para crear una nueva clave o valor. Los valores ms usuales son de tipo DWORD y CADENA(Alfanumrico). Tambin mediante Edicin podemos Eliminar o Cambiar el nombre de una clave. Edicin\Buscar para buscar una clave, valor o dato. (Podemos marcar o desmarcar las casillas) F3: Continuar buscando. Para cambiar el Dato de un Valor, pulsar con el botn derecho del ratn sobre ese valor y eligiendo la opcin Modificar. Edicin\Permisos. En el caso de Windows XP, El Registro slo lo pueden modificar los Administradores del sistema pero no los usuarios "limitados". Podemos darle permiso a algn otro usuario para que tambin lo pueda modificar. Entramos en la opcin Permisos Agregar\Avanzadas\Buscar ahora y elegimos al usuario que podr modificar todo o algn elemento del Registro. Los tipos de permisos en opciones avanzadas son los siguentes : Control total : Permite que posea todos los permisos posibles. Consultar valor : Permite que tenga permiso de lectura. Establecer valor : Permite que tenga permiso de escritura. Crear subclave : Permite que pueda crear subclaves. Enumerar subclaves : Permite que pueda listar las subclaves de una clave. Notificar : Notificar cuando la clave sea modificada. Eliminar : Permite que pueda eliminar claves.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Para Windows 98,Win ME, cualquier usuario que tenga una cuenta puede modificar el registro, que fea nota, o tal vez? Qu bacn!! Fundamentalmente el Registro se compone de dos claves: HKEY_LOCAL_MACHINE y HKEY_USERS, en estas dos claves estn todos los parmetros del registro. Lo que ocurre es que para mayor comodidad la primera de ellas deriva en otras dos llamadas: HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT. Y de la segunda clave deriva HKEY_CURRENT_USER

Veamos algunas subclaves de las claves principales:

HKEY_CLASSES_ROOT (HKCR)En esta clave se encuentran los archivos registrados, sus extensiones y los programas asociados. Tambin se encuentran los identificadores de clases que son nmeros que identifican determinados objetos. Esta clave es parte de la HKEY_LOCAL_MACHINE concretamente la HKEY_LOCAL_MACHINE\Software\Classes

Ejemplos de Extensiones de archivos: .txt, .bat, .bmp, .exe, .pif, * significatodos los archivos.

Tipos de archivos registrados: textfile, batfile, Paint.Picture(archivos demapas de bit), exefile, piffile.

Programas asociados: notepad.exe, archivo de procesamiento por lotes(MSDOS), mspaint.exe, programas ejecutables, accesos directos. CLSID nombre de objetos. Ejemplo, la Papelera es 645FF040-5081-101B-9F0800AA002F954E.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Los programas asociados son los que abrirn los archivos con determinada extensin, por ejemplo: los archivos .txt, son archivos de texto, y se abren con el block de notas(notepad.exe); los archivos .doc, son archivos del procesador de texto de Word, y se abren con winword.exe; los archivos .bmp, son archivos de mapas de bits, y se abren con el mspaint.exe, etc... Osea que aqu en el Registro estn todas las asociaciones a los programas que usan determinadas extensiones.

Prctica: Veamos como se ubican las extensiones de archivos y sus asociaciones con programas en el registro. Abrir el Editor de registro: En men Inicio, Ejecutar, regedit.exe, Enter. Abrir la clave HKEY_CLASSES ROOT, buscar el la subclave .txt, hacer clic y se muestra lo siguiente:

El Valor de Cadena(REG_SZ) Predeterminado es txtfile, que indica que la asociacin es de un txtfile (archivo de texto). El Valor de Cadena(REG_SZ) Content Type es text\plain, que indica que su contenido es texto plano. El Valor de Cadena(REG_SZ) Perceived Type es text, que indica que indica que el sistema detecta contenido de tipo texto.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] La subclave PersistHandler contiene el CLaSs IDentifier(CLSID)(Identificador de Clase) que es un numero por el cual el sistema identifica al objeto que representa las extensiones txt. Lo que esta enmarcado en rojo dentro de la elipse es importante pues nos llevar a la asociacin extendida. Pues vayamos. Volvamos a la clave HKEY_CLASSES_ROOT, y busquemos la subclave txtfile, y nos muestra lo siguiente:

En la subclave DefaultIcon, en el valor de cadena Predeterminado, se encuentra la direccin del archivo que contiene el icono que usan los archivos de texto, en

este caso el archivo Shell32.dll. El nmero al costado indica el nmero de icono, puedes probar a modificar ese nmero para modificar el icono tambin!. La Sub clave Shell tiene una subclave(subclave Open) para mostrar el men que sale cuando se hace clic al botn derecho del ratn (Men contextual) sobre un archivo, en su valor predeterminado se pone el texto que se desea que aparezca en el men para abrir la asociacin deseada. Otra subclave en la que se determina que programa abrir a la extensin dada (la subclave command) . Sub clave: Shell\Open\command, se usa para determinar el programa que abrir a los archivos de este tipo(.txt[archivos de texto]). Ahora si, vayamos a la subclave HKCR\txtfile\shell\open\command, nos encontraremos con esto:


Vemos que la subclave command, en su valor de cadena predeterminado, contiene la direccin del programa que abrir los archivos que detecte o que se hayan marcado como archivos de tipo texto. El %1 indica que abrir el archivo de texto sobre el cual se ha hecho doble clic o enter. Ok, ahora veamos que programa tiene asociado la extensin .gif(de las imgenes animadas). Vamos al Editor del Registro y abre la clave HKEY_CLASSES_ROOT\, expndela y busca la subclave .gif:

Ah vemos que la extensin .gif maneja la asociacin extendida llamada giffile(archivo gif). Ahora en la misma clave HKEY_CLASSES_ROOT, Busquemos la subclave giffile, expndela y abre las subclaves Shell, Open, command:

Vemos, que en mi mquina, el programa encargado de visualizar los archivos con extensiones .gif es el iexplore.exe(el explorador de internet).

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] !Tarea!!: Ubicar las extensines .doc y .exe y ubicar las asociaciones de los archivos, y la ruta que lleva a los programas que ejecutan los archivos del tipo .doc y .exe.

TRUCOS USANDO ASOCIACIONES Y EXTENSIONES :TRUCO 1. Hacer que TODOS los archivos se puedan visualizar con el bloc de notas( Muy til para analizar archivos sospechosos!).NOTA: Este truco funciona a la perfeccin en Windows 98, en XP no se nota mucho, a no ser que el archivo que se desee abrir no tenga una asociacin an determinada. 1. Ejecutar el regedit 2. Abrir la clave HKEY_CLASSES_ROOT 3. Abrir la subclave * (ya dijimos que * representa TODOS los archivos). 4. Dar clic derecho sobre la subclave * y seleccionar Nuevo, Clave; y escribir el nombre de shell, sin las comillas y presionamos Enter (La Sub clave

Shell se usa para que aparezca el men que sale cuando se hace clic albotn derecho del ratn (Men contextual) sobre un archivo.) 5. Una vez creada esta subclave, damos clic derecho sobre esta misma subclave y seleccionamos Nuevo, Clave; y escribimos Open, y presionamos Enter. 6. Una vez creada esta subclave vamos al panel derecho y en el valor llamado Predeterminado damos clic derecho y seleccionamos modificar. 7. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de Informacin del Valor: AvRiR k0n el BloK de NotAZ, y presionamos Enter. 8. Ahora hacemos clic derecho nuevamente sobre la subclave Open y seleccionamos Nuevo, Clave, y escribir command.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] 9. Una vez creada esta subclave vamos al panel derecho y en el valor llamado Predeterminado damos clic derecho y seleccionamos modificar. 10. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de Informacin del Valor notepad.exe %1, y presionamos Enter. 11. Cerrar el Editor de registro. 12. Abrir el explorador de Windows y ubicar una carpeta que tenga archivos con diferentes extensiones(.txt, .doc, .bat, .xls, .bin, etc) y dar a cualquier archivo clic derecho con el mouse y se ver que aparece un men dentro del cual est el texto AvRiR k0n el BloK de NotAZ, al seleccionar eso, cualquier archivo que escojamos se abrir con el bloc de notas.

TRUCO 2: Abrir el Intrprete de Comandos desde la carpeta deseada.1. Abrir el Editor de Registro de windows. 2. Ir al rbol HKEY_CLASSES_ROOT y expandirlo 3. Buscar la subclave Flder y expandirla. 4. Dar clic derecho en la subclave Shell y seleccionar nueva Clave, y luego escribir TRUCO, y presionar Enter. 5. Una vez creada la subclave TRUCO, ir al panel derecho y dar clic derecho en el valor de cadena Predeterminado y seleccionar Modificar y en el campo Informacin del Valor, escribir: Ir al MS-DOS desde aqu, y dar clic en Aceptar. 6. Luego dar clic derecho en la subclave TRUCO y seleccionar Nueva Clave, y luego escribir command, y presionar Enter. 7. Una vez creada la subclave command, ir al panel derecho y dar clic derecho en el valor de cadena Predeterminado y seleccionar Modificar y en el campo Informacin del Valor, escribir: command.com \k cd %1, y dar clic en Aceptar. 8. Cerrar el Editor del registro, Abrir el explorador de windows y dar clic derecho sobre cualquier carpeta y se ver que aparece la opcin: Ir al MS-

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] DOS desde aqu, que al seleccionarlo nos llevar al Intrprete de Comandos con la ruta de la carpeta elegida. Jeje!!

TRUCO 3: Interceptacin de Ejecutables!Advertencia!!: Este truco es peligroso, hacerlo con sumo cuidado. Seguir los pasos exactamente. Esta aplicacin se puede orientar a la creacin de virus, pues usando asociaciones de archivos podemos usar esta tcnica llamada Interceptacin de Ejecutables para hacer que nuestros programas se ejecuten ANTES que los programas elegidos, esta tcnica es usada por el virus Bardiel, programado por el programador de virus peruano MachineDramon. Bsicamente lo que se hace es cambiar la ruta de la extensin del archivo y su programa asociado, asocindolo con otro, en este caso cualquier programa ejecutable que hayamos seleccionado. De paso veremos como restaurar el sistema, ya que este virus despus que se lo elimina deja el sistema casi inutilizable por no permitir la ejecucin de archivos .exe, .com, .bat, .scr, .cmd, .pif . Buaaaaaajajajajajajaja!!! 1. Abrir el Editor de Registro. 2. Ir a la clave HKEY_CLASSES_ROOT y expandirla. 3. Buscar la subclave exefile y expandirla. 4. Buscar la subclave shell y expandirla. 5. Buscar la subclave open y expandirla. 6. Buscar la subclave command y expandirla. 7. Ir al panel derecho y hacer clic derecho en el valor de cadena Predeterminado y seleccionar modificar y all escribir la ruta del programa que queramos ejecutar, por ejemplo: c:\windows\command.com y dar clic en Aceptar.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Ahora probemos. Busquemos cualquier archivo .exe y ejecutmoslo, veremos que se ejecuta el command.com. Ahora supongamos que alguien no tan bueno que digamos en vez del command.com, nos hara ejecutar programas maliciosos tales como virus, troyanos, keyloggers, bombas lgicas, etc. Para conseguir ejecutar el programa despus de ejecutar el nuestro, se necesita programar alguna funcin que reciba como parmetro la llamada al proceso anterior a la ejecucin ltima. Se puede hacer eso usando el Visual Basic. Ahora, tenemos que volver la asociacin de los programas .exe a su estado original, para eso, en el valor en vez de c:\windows\command.com que escribimos, escribir: %1 %* (cuidado con los espacios!!, tiene que haber un espacio).

Te habrs fijado y preguntado qu demonios tienen que ver estos archivos, con el registro, pues prueba a hacerles doble clic y vers que son importados directamente al registro.

OJO: No se debe importar al registro de windows cualquier archivo, concualquier texto, tiene que ser texto similar a la estructura en comn que encuentras en ellos, como REGEDIT4, [HKEY_.....]. Tampoco cualquier nombre de claves o valores, por ejemplo, hay quienes quieren agregar en el registro pensando que podrn ocultar su unidad C de los usuarios y crean una clave asi: HKEY_CURRENT_USER\ProgramasdeFelipe\Microsoft\OcultarUnidadC, NOOOOOOOOOOO!!!!!!!!!!!, los valores y nombres que nosotros creamos y modificamos en el registro de Window$, son variables ya establecidas que nosotros solo activamos o desactivamos. Ya veremos ms adelante mtodos diversos para poder acceder al registro de windows y modificarlo!!!. Muchas son de poder.!! Para defenderte del enemigo tienes que pensar como el enemigo, no lo olvides nunca.


HKEY_CURRENT_USER (HKCU)En esta clave se encuentra la configuracin del usuario y de los programas que est actualmente usando en el ordenador. AppEvents Contiene los las etiquetas o sonidos de los eventos que suceden con determinados programas, tales como el sonido que se debe escuchar cuando recibes un correo nuevo en el Messenger, o el sonido que debe escucharse cuando se vaca la Papelera de reciclaje Console Configuracin de la consola del Intrprete de comandos. Control Panel Configuracin del Panel de control. Accessibility( 1,0), Appearance, Colors, Desktop, WindowsMetrics, Keyboard, PowerCfg, Mouse, Desktop. Enviroment Algunas variables de entorno. Los cambios que hagamos en esta clave afectar solo al usuario actual. Aqu estn los sonidos asociados, escritorio, papel tapiz, teclado, las aplicaciones que se pueden usar, la red, etc. Se almacena la configuracin del usuario que actualmente est usando el ordenador. La informacin aqu contenida es copiada de la clave HKEY_USERS, una clave del tipo: S-1-5-21-76556 OJO: Muchos programas al instalarse, ponen su clave en HKEY_CURRENT_USER\Software\, para poner dentro parmetros de configuracin propios, por ejemplo, puede que hayas instalado el winzip y la clave es: HKEY_CURRENT_USER\Software\Winzip. Tambin una clave importante en HKEY_CURRENT_USER es: HKCU\Software\Microsoft\Windows\CurrentVersion en donde se puede controlar

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] distintos aspectos del sistema. Aspectos varios como restringir acceso a las unidades de Discos y ocultar drives, de repente no quieres que algunos vean tus unidades especiales, o que utilicen tu disquetera o lectora, tambin puedes evitar que otros modifiquen tu fondo de pantalla y tu configuracin personalizada, evitar que instalen \ desinstalen programas, evitar que ingresen al panel de control, etc, etc, etc. Muchos de los cambios hechos, necesitan que se reinicie el equipo. TRUCO, para reiniciar el registro sin reiniciar la mquina: Al momento de aparecer el cuadro de apagar equipo, antes de dar clic en Aceptar para Apagar el equipo, presionar la tecla Shift y sin soltar dar clic en Aceptar para apagar el equipo.

Ejemplos:1.- Para que en Inicio no salga "Cerrar sesin" HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer Crear en el panel derecho un valor DWORD llamado StartMenuLogOff y ponerlo en value 1 2.- Podemos evitar que se utilice el Intrprete de comandos (XP): HKCU\Software\Policies\Microsoft\Windows\System. Panel derecho crear un DWORD llamado DisableCMD y ponerlo en 1 (No permitir), 2 o 0 (S permitir). [Debes crear las claves Windows y System] 3.- Podemos evitar que se utilice el Intrprete de comandos (Win9x-WinME): [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \WinOldApp]. Panel derecho crear un DWORD llamado Disabled y ponerlo en 1 (No permitir), 0 (S permitir). [Debes crear la clave WinOldApp] 4. Evitar Reiniciar en modo MS-DOS (Win 9x) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \WinOldApp]. Panel derecho crear un DWORD llamado NoRealMode y ponerlo en 1 (No permitir), 0 (S permitir). [Debes crear la clave WinOldApp] 5.- Evitar que otros modifiquen tu configuracin de las Propiedades de pantalla Sale mediante: Botn derecho sobre el escritorio\Propiedades. Para deshabilitar las fichas de Propiedades de pantalla : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ir a Panel derecho y crear o cambiar los valores DWORD de :

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] NoDispBackgroundPage poner a 1 para que no salga "Escritorio" NoDispAppearancePage """"""""""""""""""""" "Apariencia" NoDispSettingsPage """"""""""""""""""""""" "Configuracin" NoDispScrSavPage """""""""""""""""""""""" "Protector de pantalla" Vers que en muchos casos solo se modifican los valores 0 para deshabilitar y 1 para habilitar. 5.- Ocultar el reloj. HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer en el Panel derecho crear el valor DWORD llamado HideClock y ponerle valor 1 O bien: Panel de control\Apariencia y temas\Barra de tareas y men de inicio. 6.- Mediante Herramientas\Opciones de carpeta podemos configurar diversos aspectos de las carpetas y de los archivos. Para que no aparezca la opcin "Opciones de carpeta..." en Herramientas de la barra de mens (arriba) : HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer en el Panel derecho crear el valor DWORD llamado NoFolderOptions y ponerle valor 1 7.- Ocultar Apagar equipo : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Crear o modificar un DWORD llamado NoClose y poner el Value en 1. (Reiniciar) Para volver a poner el Botn de apagado poner un Value 0 8.- Para que un programa se ejecute en el inicio. Ir a HKCU\Software\Microsoft\Windows\CurrentVersion\Run en el Panel derecho crea un nuevo valor Alfanumrico llamado Calculadora y ponle de valor calc.exe. Al momento de reiniciar el equipo, vers que se ejecuta la calculadora. Alucina que ac puedes poner tus troyanos y tus keyloggers, solamente chale imaginacin! 9.- Para que no se pueda inhabilitar Agregar o quitar programas, vamos a HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall y en el Panel derecho crear un valor DWORD llamado NoAddRemovePrograms, poner su valor a 1 10. Borrar el registro de los programas que has ejecutado desde el Inicio\Ejecutar. Jejeje Antes de hacer esto, ve al menu Inicio, Ejecutar, y escribe:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] rundll32 desk.cpl,InstallScreenSaver %1

Luego de dar en Aceptar, abre el regedit.exe y busca esta subclave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU, al costado derechos se encuentra algo as:

Lo que est enmarcado, son los programas que he ejecutado yendo al men Inicio/ Ejecutar. Quieres borrar rastros de que has ingresado al registro a curiosear? Pues borra los valores a, b, c, d, ..., etc, los que no desees que se muestren ms.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Debes reiniciar el equipo.

11. Borrar el registro de los archivos que has buscado con la opcin Buscar archivos. Jejeje Digamos que vas a la casa de tu amiga y en su mquina sospechas que tiene algn archivo, programa, foto, video, etc, que te puede interesar y haces una bsqueda con el buscador de windows, algo as como esto:

Cuando tu cierres esta ventanita e incluso cuando reinicies, si abres el buscador de windows, con solo presionar la tecla de direccin hacia abajo, vers que aparece la bsqueda que habas hecho, OOOPPPPPSSS!!!. Mi amiga se molestara si supiera que he estado urgando en sus archivos, y quin sabe tal vez he encontrado cosas que ella no quisiera que yo vea o sepa, pues como ya se dio cuenta, adis confianza, o el peor de los casos, amistad bye bye. JAJAJAJA.


Pero, espera, nuestro caso no ser se. Cierra todas la ventanitas de bsqueda primero. Ahora vamos a borrar nuestras pistas. Abre el registro de Windows y ve a la clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU:

en el panel derecho, est el registro de tus bsquedas, borra las que consideres convenientes y listo. En este caso, no hay necesidad de reiniciar. Haz la prueba, y abre nuevamente una ventana de bsqueda y presiona la tecla de direccin hacia abajo, ya no aparecern las bsquedas que borraste. 12. Mostrar la extensin completa de los archivos(Muy til para evitar ejecutar virus) Cuntas veces no ha sucedido que muchas veces hemos encontrado archivos tales como pamela.jpg, diapositiva.pps en nuestros diskettes o en nuestros correos, sin saber quin nos ha pasado esos archivos, y bueno creyendo que eran archivo de imagen(la extensin jpeg es para archivos de imgenes) o alguna diapositiva le hemos dado doble clic, bueno despus vinieron los estragos pues en realidad eran virus. Bueno, te preguntars entonces cmo nos podemos dar cuenta si un archivo jpeg, doc, jpg, etc es realmente un archivo del tipo que dicen ser, y no un virus?. Pues, la respuesta es: La gran mayoria de virus, tienen extensiones .exe, .com, .vbs, .bat, etc, pero cuando te lo envan o se copian(de una mquina infectada a un disquete tuyo) no aparecen con las extensiones completas, sino que se ponen

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] nombres como: pamela.jpeg.exe, diapositiva.pps.vbs. Entonces el problema est en que Windows generalmente siempre oculta la primera extensin para los archivos, haciendo pues que: pamela.jpeg.exe se muestre como pamela.jpeg, y que diapositiva.pps.vbs se muestre como diapositiva.pps, e incluso que documento.exe se muestre como documento. Ya te habrs cuenta del terrible dao que esto puede ocasionar, especialmente sino tenemos ni idea de todo esto. Entonces, pues he ah la razn por las cuales muchas veces hemos ejecutado virus creyendo que eran documentos, imgenes, etc. Bueno, la propiedad de Windows para hacer que se muestren las extensin de los archivos est en el registro, ms especficamente en la clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explore r\Advanced, en el valor de tipo cadena llamado HideFileExt.

Generalmente este valor HideFileExt(que viene del ingls Hide=Ocultar, File=Archivo, Ext=Extensin[Ocultar extensin de archivos]), tiene el valor de 1(Activado), que indica que las extensiones de los archivos estn ocultas; entonces para mostrar la extensin completa de los archivos, slo debemos cambiar este valor a 0(Desactivado). Haz la prueba de cambiar este valor y revisa al mismo tiempo los nombres de tus archivos te dars con gratas sorpresas. Mira esto, y fjate bien, cuando el valor de HideFileExt tiene el valor de 1, los archivos se muestran as(sin las extensiones completas):


Ahora cuando cambiamos el valor de HideFileExt a 0, y para actualizar presiona varias veces F5, luego lo anterior se muestra as:

!!TE DAS CUENTA QUE HAY UN VIRUS QUE PARECIA UNA CARPETA!!!. Bueno, pues lo nico que nos queda es tener siempre el valor de HideFileExt con el valor de 0, para conocer la verdadera extensin de los archivos y evitar ejecutar virus . O bueno pon ese valor a 1 si es que eres t el que quiere ocultar tus verdaderos virus, troyanos, keyloggers, etc. Jeje 13. Hacer que un programa se ejecute al Inicio de Windows Cuando queremos que un programa se inicie al inicio de Windows(jeje, muchos programas maliciosos[virus, troyanos, keyloggers, bombas lgicas, etc] usan esto) debemos crear valores de tipo cadena en cualquiera de las siguientes claves del Registro:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run O HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run O HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc e O HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO nce Y poner valores con nombres que desees y que indiquen la ubicacin del programa que se ejecutar, por ejemplo:

En este caso, al reiniciar Windows vers que se ejecuta tu Keylogger y el MS-DOS automticamente. Uff, qu buena!! As que si quieres ver que programas se inician con Windows, ve a esas claves del registro y borra las que te no te gusten o las que te parecen sospechosas y listo. Ms rpido no puede ser. Otra forma de ver los programas que se inician con windows es con el msconfig.exe(programa que lee archivos de configuracin[config.sys, autoexec.bat, system.ini, win.ini, y tambin lee las claves de registro(las pone en la ficha Inicio

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] para ser ms especfico) mencionadas recin] y los muestra de una manera agradable). Si modificas algo con el msconfig.exe, esa modificacin afectar directamente a los archivos mencionados y las claves de registro.

HKEY_LOCAL_MACHINE (HKLM)Esta clave contiene la configuracin general del ordenador. De sta proceden la HKEY_CURRENT_CONFIG y la HKEY_CLASSES_ROOT. !!Los cambios que hagamos en esta clave, afectarn a todos los usuarios!! Hardware = ACPI gestin avanzada de energa, Description = informacin del microprocesador, DeviceMap = informacin del .. ratn, teclado, puertos, SAM Configuracin de seguridad, est protegida. Security Configuracin de seguridad, est protegida. Se utiliza cuando estamos en un dominio. Software Informacin (a veces codificada) de programas instalados, fecha, versin, licencia, colores Classes es HKCR System Informacin sobre perfiles de Hardware, controladores, unidades de disco.

Notas : Los archivos moricons.dll, pifmgr.dll, shell32.dll contienen colecciones de iconos. Los archivos .cpl son utilidades del Panel de control. (Busca los archivos *.cpl) Rundll32 es un programa que ejecuta algunos archivos .dll y .cpl Ejemplos: 1.- Para que los usuarios tengan que pulsar Ctrl+Alt+Supr para entrar en el Sistema (Win 2000-XP) (Se utiliza cuando hay varios usuarios configurados) HKLM\Software\Microsoft\Windows NT\Current Version\Winnlogon En el Panel derecho crear una nueva DWORD llamada DisableCAD con valor 0


HKEY_CURRENT_CONFIGEn esta clave est la configuracin actual del sistema.

HKEY_USERSEsta clave contiene la configuracin de todos los usuarios del ordenador. Segn van conectndose usuarios al ordenador, aparecen claves del tipo S-1-5-21-76556 .. aqu estn las claves de los usuarios conectados, de todos ellos la clave del usuario actual se repite en HKEY_CURRENT_USER.

FORMAS DE MODIFICAR EL REGISTRO1.- Exportando una clave. Modificndola con el Bloc de notas. Clic sobre el archivo .reg.Modificar la Pgina de Inicio del Internet Explorer al clicquear sobre un archivo.

Marca la clave : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Ahora ve a Archivo\Exportar y gurdalo en Mis documentos con el nombre de prueba.reg Ve al Bloc de notas y edita el archivo anterior: prueba.reg

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Cambia "Start Page"="http://www.gedzac.tk" Guarda el archivo y ahora doble clic sobre l. El archivo se grabar en el Registro y modificar la Pgina de Inicio del Internet Explorer. Aplicacin Malvola: Recuerdo que, hace unos 4 aos, cuando an estaba inicindome en este fascinante mundo, fui a una cabina de internet --que est en el Puerto(aa-Lima-Per-Amrica-Planeta Tierra-Sistema Solar-Va Lctea), no dir el nombre de la cabina para proteger al inocente-- y me di con una terrible sorpresa, el administrador de esas cabinas haba puesto varias restricciones a los equipos, por nombrar a unas pocas, no poda ver la unidad a, no se poda ejecutar el regedit.exe, no se poda usar el MS-DOS. Como es de suponer, a muy pocos les gusta vivir bajo las reglas y/o condiciones de otros. Restriccin 1: Cuando iba a menu Inicio/Ejecutar y escriba regedit, me apareca:

Dije:!!!Cielos!!!, !qu interesante!!, Te encontrars en ms de una ocasin con esta situacin, entonces, lo que debes hacer para poder volver a poder acceder a tu registro es lo siguiente: 1. Escribe lo siguiente en un bloc de notas:Para win 98 REGEDIT4 Para Win XP Windows Registry Editor Version 5.00

Lo siguiente es igual para windows 98 o windows xp [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000

2. Grbalo con el nombre de activaregistro.reg

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] 3. Da doble clic sobre el archivo que acabas de crear y vers que nuevamente tienes acceso al registro. Bueno, no fue tarea difcil, ya que con el acceso al registro, el 90% del trabajo ya estaba hecho, pues ya podra retirar las restricciones que ese admin haba puesto a sus equipos. Si quieres volver a restringir el acceso al registro slo cambia el valor dword de 0 a 1. Debes tener en cuenta que aprenderte de memoria las llaves principales del registro te sacarn de muchos apuros. Te das cuenta de que con solo un archivo . reg podemos modificar el registro a nuestro antojo, sin necesidad del regedit.exe? Restriccin 2: El admin. haba ocultado algunas unidades, como la disquetera, as que no poda usar la disquetera. Bueno, ahora que tena acceso al registro, ya no haba problema, slo queda ir a la ubicacin del valor que pone esta restriccin y borrarlo, en este caso ir a la siguiente clave:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Al costado derecho debe haber un valor del tipo dword llamada NoDrives, cuyo valor ser unidad A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, ALL: 67108863. Por ejemplo para esconder la unidad A y la unidad D, se deber sumar 1(A) + 8(D), y poner el valor a 9. Para ocultar todas las unidades poner el valor a "67108863" (03ffffff hex).. Si no quieres que haya ninguna unidad oculta borrar el valor NoDrives.


2.- Mediante un archivo INF. stos archivos se ejecutan pulsando sobre ellos con el botn derecho y luego Instalar. Con el Bloc de notas creamos ste archivo: quitareje.inf[Version] Signature = "$CHICAGO$"

[DefaultInstall] AddReg=Aadir.al.Registro DelReg=Borrar.del.Registro

[Aadir.al.Registro] HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", NoRun,0x00010001,"0"

; [Borrar.del.Registro] ; HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",NoRun

; ATENCIN: Todo en la misma lnea: ; HKCU,"Software\Microsoft\.........\Explorer",NoRun,0x00010001,"0"

ste archivo pone o quita la opcin Ejecutar en el men de inicio. (Cerrar y Abrir sesin para ver cambios) CLAVE PRINCIPAL, "Subclave\Subclave,\Subclave", Valor, TipodeValor, Dato El Tipo de valor (Flag) lo podemos obtener de: http:\\msdn.microsoft.com\library\default.asp?url=\library\enus\install\hh\install\inf-format_2v02.asp

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Si es W98, podemos poner como TipodeValor: 0 Para valores de cadena. 1 Para valores binarios Ir el Editor de Registro y pulsar F5 para ver los cambios efectuados.

Para instalar directamente los archivos .inf desde un archivo por lotes.bat, podemos poner dentro del lotes.bat: en XP C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 C:\archivo.inf

en W98? Run("C:\WINDOWS\rundll.exe", "setupx.dll,InstallHinfSection DefaultInstall 132 C:\archivo.inf") --------------[Probar tambin:] ShellExecute("c:\archivo.inf","","",@normal,"Install") Y C:\> rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 C:\archivo.inf Personalmemte, no uso mucho archivos inf para agregar o borrar datos en el registro, pero bueno, es cuestin de gustos. 3.- Mediante vbs Esto es lo mximo, pues con esto ya se puede decir que casi tienes todo el dominio del registro de windows desde casi todos los ngulos. La combinacin de estas tcnicas son el poder absoluto, y solamente tu imaginacin pondr los lmites. Crear un archivo llamado comname.vbs con ste contenido:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Explicit Set ws = WScript.CreateObject("WScript.Shell") Dim ws, t, p1, n, cn, vbdefaultbutton Dim itemtype p1 ="HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\" n = ws.RegRead(p1 & "ComputerName") t = "Cambiar el Nombre del Equipo" cn = InputBox("Nuevo Nombre", t, n) If cn "" Then ws.RegWrite p1 & "ComputerName", cn End If

Lo bueno de manipular el Registro de Windows con los programas VBScript, es que stos, 4.- Directamente mediante el Editor del Registro de Windows: Inicio\Ejecutar\regedit

Deshabilitar - Habilitar el Editor del Registro (regedit.exe)Para Deshabilitar regedit.exe Crea un archivo llamado: NOregedit.vbs (Copiar-Pegar)

On Error Resume Next

Dim klez Set klez = CreateObject("WScript.Shell") klez.RegWrite

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" 1, "REG_DWORD" klez.RegWrite

"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" 1, "REG_DWORD"


Para Habilitar regedit.exe Crea un archivo llamado SIregedit.vbs (Copiar-Pegar)On Error Resume Next

Dim klez Set klez = CreateObject("WScript.Shell") klez.RegDelete

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" klez.RegDelete

"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"

Los elementos del Registro de Windows se pueden modificar mediante las ventanas de configuracin de Windows tales como por ejemplo, el tiempo en que aparecer el protector de pantalla:


Se encuentra en la siguiente clave del registro, con el tiempo contado en segundos:

Modifica ese valor en el en la ventana y mira como cambia automticamente en el registro. Tambin puedes modificar ese valor en el registro y ya no tendrs que

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] hacerlo por medio de esa ventana aburrida, en todo caso, como ya lo dije, el registro es la base datos de windows y de sus configuraciones, por eso digo que muchas de las opciones de las ventanas de configuracin de diversos aspectos del sistema, se encuentran en claves o valores en el registro. Un poco ms arriba de ScreenSaveTimeOut, est el valor de ScreenSaveActive, ese valor es 1 cuando tienes el protector pantalla activado. Cuando tienes el protector de pantalla puesto a Ninguno, ese valor en el registro es 0. Debajo de ScreenSaveTimeOut, est el valor de SCRNSAVE.EXE, dentro de este valor se pone la ubicacin del archivo de protector de pantalla(.scr) que queremos. Ms abajo, casi al final de la imagen de arriba, se ve el Valor del tipo cadena llamado Wallpaper, que contiene la ruta hacia el archivo de imagen de fondo de pantalla. Tambin se puede modificar el registro mediante programas como el TWEAKUI Manager de Moco$oft. Sin embargo vamos a modificarlo directamente desde el Editor de Registro pues pues no siempre tendremos ese programa a la mano, adems el propsito de este tutorial es que entendamos como trabaja el registro y que aprendamos a modificarlo nosotros mismos.

Veamos distintas claves del Registro:Muchos "trucos" del Registro de Windows se pueden realizar mediante la "Directiva de grupo" (gpedit.msc), mediante programas como el TweakManager o simplemente mediante las ventanas de Windows. Sin embargo vamos a ver qu claves y valores cambian cuando efectuamos algunos cambios de configuracin.

Si tienes Windows XP Professional, puedes ir a la Directiva de grupo, Inicio\Ejecutar\gpedit.msc Luego ves a:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Configuracin de usuarios\Plantillas administrativas desde aqu podrs perfilar la configuracin de tu ordenador.

Ve a la clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

Mira si contiene stas subclaves: Explorer, Network, ActiveDesktop, System, y WinOldApp. En caso que no la tengan, cralas: Marca Policies\botn derecho\Nuevo\Clave\ nombre de la clave Para crear un valor te sitas en su correspondiente clave, te vas al Panel derecho\botn derecho\Nuevo\Valor DWORD y escribe su nombre, luego le pondrs como Dato 0 o 1. Una vez creadas las subclaves anteriores vamos a crear los siguientes Valores en ellas: Subclave Explorer:

ClearRecentDocsOnExit = Borra Documentos recientes cuando sales. DisableRegistryTools = Anula el Editor del Registro (regedit) Atencin: Si Anulas el Editor del Registro, luego no podrs modificar el Registro. Lo tendrs que hacer con un archivo VBScript o un .REG.

NoActiveDesktop = Deshabilitar Active Desktop NoAddPrinter = No aadir nuevas impresoras. NoClose = Desactivar el elemento "Apagar el sistema" NoChangeStarMenu = Evitar cambios en el men de Inicio NoDeletePrinter = No quitar la impresora actual NoDesktop = Deshabilitar todos los elementos del Escritorio y anular botn derecho en el Escritorio

NoDevMgrUpdate = No permitir\Permitir el gestor de actualizacin NoDrives [hex] = Ocultar\Poner discos en Mi PC y Explorador de Windows. Ejemplos:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Valor de Unidad A=1 Valor de Unidad B=2, C=4, D=8, etc Valor de Unidad A+C=1+4=5, C+D=4+8=12(C en hex).

NoFavoritesMenu = Quitar\Poner Favoritos del men de Inicio NoFolderOptions = Quitar la ficha "Opciones de carpeta" del men configuracin

NoFind = Quitar\Poner "Buscar" del men de Inicio. NoFileMenu = Quitar "Archivos" del intrprete de comandos (command) NoInternetIcon = Ocultar\Poner el icono Internet Explorer del Escritorio NoLoggOff = Deshabilitar cierre de sesin el el men de Inicio NoNetHood = Ocultar el icono Entorno de Red (en Windows 98) NoRecentDocsHistory = No mantener el historial de los documentos abiertos recientemente.

NoRun = Quitar\Poner "Ejecutar" del men de Inicio. NoSaveSettings = No guardar configuracin al salir del sistema NoSetFolders = Deshabilitar los cambios en la configuracin del Panel de control e Impresoras

NoSetTaskbar = Deshabilitar los cambios en la configuracin del men Inicio y barra tareas

NoSMMyDocs = Quitar Mis Documentos de men de Inicio (Win98\ME) NoSMMyPictures = Quitar Mis imagenes del men de Inicio (Win98\ME) NoTrayContextMenu = Deshabilitar el men contextual en la barra de tareas (Bandeja-reloj)

NoWindowsUpdate = No permitir actualizacin de Windows 98 y ME

Subclave System:

NoAdminPage = Ocultar "Administracin remota" NoConfigPage = Ocultar "Perfiles de hardware" NoControlPanel [hex] = Quitar Panel de control NoDevMgrPage = Quitar "Administrador de dispositivos " NoDispAppearancePage = Ocultar "Pgina de aspecto" NoDispBackgroundPage = Ocultar "Fondo"

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] NoDispCPL = Desactivar Panel de control de monitor NoDispScrSavPage = Ocultar ficha de "Protector de pantalla" en ventana de Propiedades de Pantalla.

NoDispSettingsPage = Ocultar ficha de "Configuracin" " en ventana de Propiedades de Pantalla.

NoFileSysPage = Ocultar "Sistema de archivos" de Rendimiento\Propiedades del Sistema

NoPwdPage = Ocultar "Cambiar la contrasea" NoProfilePage = Ocultar "Perfiles de usuarios" NoSecCPL = Desactivar el programa Contraseas del Panel de control NoVirtMemPage = Permitir o no botn de "Memoria virtual " DisableRegistryTools = Desactivar herramientas de edicin del Registro

Subclave Network:

DisablePwdCaching = Evitar cache de claves HideSharePwds [hex] = Evitar claves ocultas NoEntireNetwork = Evitar Ver toda la red NoNetSetup = Deshabilitar el icono Red en el Panel de control NoNetSetupIDPage = Ocultar la ficha "Identificacin" NoNetSetupSecurityPage = Ocultar la pestaa"Control de acceso" NoFileSharing = Quitar la opcin "Compartir..." archivos MinPwdLen = Colocar la mnima cantidad de caracteres para la Clave (0 - 99) NoPrintSharing = Quitar la opcin "Compartir Impresora" NoWorkgroupContents = Sin contenidos de grupo de trabajo en Entorno de red

Subclave ActiveDesktop (Win98\ME + IE4\IE5\IE6):

NoAddingComponents = Permitir o no Active Desktop NoChangingWallpaper = Permitir o no cambiar fondo de pantalla. NoCloseDragDropBands = Permitir o no cerrar la Barra de herramientas NoClosingComponents = Permitir o no cerrar los componentes de Active Desktop

NoComponents = Permitir o no todos los elementos del Escritorio NoDeletingComponents = Permitir o no borrar componentes de Active Desktop

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] NoEditingComponents = Permitir o no editar componentes de Active Desktop NoHTMLWallPaper = Permitir o no presentar fondo en HTML de Desktop HTML

NoMovingBands = Permitir o no mover barra de herramientas

Subclave WinOldApp:

Disabled = Desactivar el smbolo MSDOS NoRealMode = No permitir reiniciar el equipo en MSDOS (Win95\98)

Tambin podemos encontrar las subclaves: Explorer, Network, System y ActiveDesktop en: HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies y: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies Lo que est en ".Default" se le aplican a todos los usuarios. Si hay ms de un usuario, aqu aparecer una clave por cada uno de ellos. Explorer

CDRAutoRun [hex] = Permite o no Autoarranque de CD-R(W)\DVD-R(W) ChannelNotify = Permitir o no notificacin de cambio de disco (Win98\ME + IE4\IE5\IE6)

ClassicShell [hex] = Habilita el intrprete de comandos clsico(Win98\ME + IE4\IE5\IE6)

ClearRecentDocsOnExit = Borrar "Documentos recientes" al salir. EditLevel = Poner nivle de seguridad 0, 1, 2, 3 o 4 Atencin: Puedes bloquear el ordenador si pones nivel 4

EnforceShellExtensionSecurity = Seguridad en las claves shellextension ForceCopyACLWithFile = Permitir o no copiar archivo en NTFS (WinNT4\2000\XP + IE4\IE5\IE6 )

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] IgnoreLinkInfo = Permitir o no presentar los enlaces. LinkResolve = Permitir o no presentar los enlacese MyDocsOnNet = Permitir o no Mis Documentos en Internet NoActiveDesktop = Permitir o no Active Desktop NoActiveDesktopChanges = Elimina la ficha Web del cuadro de dilogos Propiedades de Pantalla

NoAddPrinter = Permitir o no aadir nuevas impresoras. NoChangeStartMenu = Permitir o no hacer cambios en el Menu de inicio NoCommonGroups = Permitir o no Agrupar programas en el Men de inicio. (WinNT4\2000\XP)

NoClose = Permitir o no cerrar el IE NoCustomizeWebView = Permitir o no personalizar Vista Web NoDeletePrinter = Permitir o no quitar la impresora. NoDeskTop = Permitir o no objetos en el Escritorio y botn derecho sobre el Escritorio

NoDevMgrUpdate = Permitir o no gestor de actualizacin de Windows (Win98\ME\2000\XP)

NoDrives [hex] = Poner o quitar disco en Mi PC\Explorer\IE Atencin: Realizarlo mejor con el TweakUI (My Computer)

NoDriveTypeAutoRun [hex] = Permitir o no Autoarranque de CD\DVD NoEditMenu = Permitir o no Editar el Men de inicio NoFavoritesMenu = Quitar o no "Favoritos" de Men de inicio NoFileMenu = Permitir o no "Archivos" en Explorador de Windows y IE NoFileUrl = Permitir o no acceder a archivos locales mediante URL NoFind = Quitar o Poner "Buscar" en el Men de inicio NoFolderOptions = Mostrar o no "Opciones de carpeta" NoForgetSoftwareUpdate = Permitir o no "Actualizar Programas de Windows" (Win98\ME\2000\XP)

NoHelp = Mostrar o no "Ayuda" en el Men de inicios NoInternetIcon = Mostrar o no el icono Internet en el Escritorio NoLogOff = Mostrar o no "Cerrar sesin" en el Men de inicio. NoMSAppLogo = Mostrar o no el logo de Microsofts (Win98\ME\2000\XP) NoNetConnectDisconnect = Permitir o no Desconectar de rede

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] NoNetHood = Ver o no Entorno de Red NoRecentDocsHistory = Permitir o no aadir nuevos documentos a "Documentos" de Incio(Win98\ME)

NoRecentDocsMenu = Mostar o no Documentos recientes en la configuracin del Men de inicio

NoResolveSearch = Quitar o no "Buscar" en Internet (Win98\ME + IE4\IE5\IE6)

NoResolveTrack = enable\disable Internet Address Tracking (Win98\ME + IE4\IE5\IE6)

NoRun = Quitar o no "Ejecutar" del men de inicio NoSaveSettings [hex] = No salvar los cambios de configuracin al salir NoSetActiveDesktop = Elimina "Active Directory" del submen Configuracin del Men Inicio.

NoSetFolders = Permitir o no configurar Carpetas NoSetTaskbar = Permitir o no configurar la barra de tareas NoSettingsWizards = Permitir o no el Asistente de configuracin(Win98\ME + IE4\IE5\IE6)

NoStartBanner [hex] = Permitir o no el Logo del IE NoStartMenuSubFolders = Mostrar o no subcarpetas en el Men de inicio NoTrayContextMenu = Mostrar o no Men contextual en la Bandeja de Windows (zona reloj)

NoViewContextMenu = Mostrar o no Men contextual NoWebMenu = Mostrar o no Men Web (Win98\IE 4.0) NoWindowsUpdate = Permitir o no Actualizar Windows(Win98\ME\2000\XP) NoWinKeys = Permitir o no la tecla Win RestrictRun = Permitir o no Ejecutar programas Atencin: Si activas este valor tal vez no puedas ejecutar ningn programa.

Algunos de estos valores tambin se encuentran en: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl orer Ejemplo:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] NoControlPanel [hex] = Permitir o no Panel de control La mayora de la configuracin de "CURRENT_USER", sobre todo aquellas que afectan al sistema, cambian automticamente al modificar su valor similar en "LOCAL_MACHINE". Las restricciones de Internet Explorer 4.0x\5.xx\6.xx se encuentran bajo estas claves: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions y: HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Restrictions Si hay ms de un usuario configurado, cada uno tendr su clave particular.

NoAdressBar = desactiva la Barra de direcciones. NoBrowserContextMenu = Permitir o no men contextual en HTML NoBrowserClose = Permitir o no Cerrar\Salir y Alt+F4 en "Archivo" NoBrowserSaveAs = Permitir o no Guardar\Guardar como... en "Archivo" NoBrowserOptions = Permitir o no Herramientas\Opciones de Internet NoFavorites = Permitir o no "Favoritos" y Alt+A NoFileOpen = Permitir o no "Abrir" de "Archivo", Ctrl+A y Ctrl+L NoFileNew = Permitir o no "Nuevo" en "Archivo" y Ctsl+U NoFileUrl = Permitir o no acceso a archivos locales mediente su Direccin (URL)

NoFindFiles = Permitir o no "Buscar" y F3 NoLinksBar = desactiva la barra de enlaces. NoSelectDownloadDir = Permitir o no "Guardar como.." al bajar un archivo NoTheaterMode = Pemitir o no Pantalla completa (modo kiosko) y F11 NoToolBar = desactiva la barra de herramientas NoToolbarOptions = desactiva aadir, eliminar y mover la barra de herramientas

Las restricciones de las Propiedades de Internet para MS Internet Explorer 4.0x\5.xx\6.xx (adems del Panel de control) se encuentran en esta clave del Registro:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Control Panel En caso de que haya ms usuarios, cada uno tendr su clave con su configuracin particular.

Accessibility = Permitir o no configurar "Accesibilidad" Advanced = Permitir o no configurar "Avanzado" AdvancedTab = Poner o quitar la ficha "Avanzado" Autoconfig = Permitir o no configurar "Autoconfiguracin" Cache = Permitir o no confugurar la cach CalendarContact = Permitir o no configurar Contactos Check_If_Default = Permitir o no chequear si el IE es el navegador por defecto Connection Settings = Permitir o no Configurar la conexin Certificates = Permitir o no configurar "Certificados" CertifPers = Permitir o no configurar Certificados Personales CertifSite = Permitir o no configurar Certificados Pblicos Colors = Permitir o no configurar Colores Connection Wizard = Permitir o no el Asistente de conexin ConnectionsTab = Permitir o no ficha de Conexiones Connwiz Admin Lock = Permitir o no Asistente de conexin administrativa ContentTab = Permitir o no la ficha de Contenidos Fonts = Permitir o no la ficha de Fuentes FormSuggest = Permitir o no configurar sugerencia de los Formularios FormSuggest Passwords = Permitir o no configurar clave GeneralTab = Permitir o no la ficha General History = Permitir o no la ficha Historial HomePage = Permtir o no configurar la pgina de inicio Languages = Permitir o no configurar Idiomas Links = Permitir o no configurar Enlaces Messaging = Permitir o no configurar MS Mesenger Profiles = Permitir o no configurar Perfiles ProgramsTab = Permitir o no la ficha Programas Proxy = Permitir o no configurar Proxy Ratings = permitir o no configurar la clave

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] ResetWebSettings = Permitir o no configurar Borrar Web SecAddSites = Permitir o no configurar Aadir sitios seguros SecChangeSettings = Permitir o no hacer cambios de seguridad SecurityTab = Permitir o no la ficha de seguridad Settings = Permitir o no cajas de Configuracin Wallet = Permitir o no la configuracin de MS Wallet (MS IE 5.xx)

Las polticas de restrccionde de MS Net Meeting se encuentran en esta clave: HKEY_USERS\.Default\Software\Policies\Microsoft\Conferencing En caso de que haya ms usuarios, cada uno tendr su clave con su configuracin particular

CallSecurity = Permitir o no Seguridad IntranetWebDirURL = Permitir o no directorio Web en Intranet MaximumBandwidth = Permitir o no mximo ancho de banda NoAddingDirectoryServers = Permitir o no aadir servidores NoAdvancedCalling = Permitir o no "Avanzado" NoAllowControl = Permitir o no Control NoAppSharing = Permitir o no Compartir NoAudio = Permitir o no Audio NoAudioPage = Permitir o no configurar Audio NoChangeDirectSound = Permitir o no cambiar DirectSound NoChat = Permitir o no Chatear NoDirectoryServices = Permitir o no Servicios de directorios NoFullDuplex = Permitir o no Duplex NoGeneralPage = Permitir o no Generall NoNewWhiteBoard = Permitir o no Nueva Pizarra NoOldWhiteBoard = Permitir o no Vieja Pizarra NoReceivingVideo = Permitir o no recibir vdeo NoSecurityPage = Permitir o no Seguridad NoSendingFiles = Permitir o no Enviar archivos NoSendingVideo = Permitir o no Enviar Vdeo NoSharing = Permitir o no Compartir

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] NoSharingDesktop = Permitir o no Compartir Escritorio NoSharingDosWindows = Permitir o no compartir DOS + Windows NoSharingExplorer = Permitir o no Complartir Explorador NoTrueColorSharing = Permitir o no Compartir control de Color NoVideoPage = Permitir o no compartir control de vdeo NoWebDirectory = Permitir o no Directorio Web Use AutoConfig = Permitir o no autoconfiguracin

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Webcheck En caso de que haya ms usuarios, cada uno tendr su clave con su configuracin particular

NoChannelLogging = Permitir o no conectar a los canales NoScheduledUpdates = Permitir o no actualizar

SUPER APLICACIONESLo siguiente son aplicaciones diversas, y soluciones que se pueden dar a diversas situaciones, usando el registro de Windows, as tambin como mtodos poderosos de manipulacin del registro:

A:

Eliminacin manual del virus Bardiel(conocido tambin como Darby.c), en

Windows 98.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Advertencia!!. Esta aplicacin la corres a tu propio riesgo, te estoy pasando el virus, en el zip comprimido(la clave es bardielcito), y vamos a desinfectar manualmente este virus!!. En todo caso tambin te lo puedes bajar de la siguiente web: www.gedzac.tk, en la seccin de virus de MachineDramon.

Modificacin Diciembre 2007: La pgina www.gedzak.tk ya no existe, sin embargo puedes descargar el virus de www.gedzac.com/binarios/mdm/darbyc.zip

1. Ejecutar el virus darby.c.exe, y te aparecer el siguiente mensaje:

2 . Pues bueno, aunque no lo creas, el mensaje, es falso, el virus ya est ejecutndose en tu mquina. Para comprobarlo, intenta ejecutar el

regedit(Inicio/Ejecutar/regedit). Te mostrar el siguiente mensaje:

3.Oopps!. Una de las caractersticas del virus, es que deshabilita la edicin del Registro, pues como ya sabemos, ha puesto la restriccin DisableRegistryTools, con el valor 1. En este caso, dirs, bueno hago un programa en VBScript y pongo ese valor a 0, para poder tener acceso al registro de nuevo. cdigo(copiar en un bloc de notas y grabar con nombre.vbs) sera el siguiente: El


Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] virus virus.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD" virus.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"

Pero te recomiendo que no lo hagas, porque el virus cuando detecte que el Editor de Registro(regedit.exe) est abierto, lo cerrar y lo borrar!, as que mejor no

habilitemos el Editor del Registro. Presiona Ctrl + Alt + Sup, y vers el Administrador de procesos:

Lo malo es que no te muestra los procesos ocultos y de sistema. Este virus al ser un proceso oculto se ha autoatribuido caractersticas de proceso de sistema, as que no vas a poder visualizar el proceso del virus con el Administrador de Tareas de Windows.

Hay un programa llamado Process Explorer, es muy bueno para mostrar procesos y DLLs en uso en tiempo real. Bscalo en google y prubalo. Al ejecutarlo te muestra algo as:


Date cuenta que muchos de estos procesos no se mostraban con el Administrador de Tareas de Windows. Bueno, los procesos que estn enmarcados con Azul, son los procesos generales de Windows, siempre sern los mismos, en cualquier mquina que use Windows 98. Los que no estn enmarcados, son programas adicionales que se estn usando por ejemplo el proceso del Word(winword.exe) o el proceso del Winzip(winzip32.exe). Windows cualquiera sea(W98, WinME, Win2000, WinXP, etc), casi nunca por no decir nunca usa programa con las extensiones .bat, .scr, .pif, .com que tengan procesos ocultos. Entonces se deduce que stos son virus. Hay casos en que el virus tambin usa extensiones .exe y se pone nombres parecidos a archivos de sistema de windows tales como sysdll.exe, sytems.exe, por eso para no confundirlos es necesario conocer bien los procesos que Windows 98 siempre usa (enmarcados en azul). Ahora veamos los procesos enmarcados en Rojo, eso confirma lo dicho, los programas FREEGROUPSUNST.SCR, GRPSVCHOSTIMG.EXE,

MICROSETUP386.BAT, SDVHTFD.PIF, NGUVST].EXE, ITKLIKR.SCR (este

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] virus cambia los nombres de las copias del virus, as que estos nombres pueden variar, pero las extensiones seguirn siendo las mismas), estn ejecutndose como procesos ocultos, cosa que no es normal, entonces, esos son los procesos del virus!!!!. Lo que debemos hacer es matar los procesos del virus, para que no se ejecute ms, para esto, selecciona cada proceso con el mouse y dale un clic y presionar la tecla Sup(Del) y te mostrar lo siguiente:

Nos est preguntando si queremos matar el proceso de SDVHTFD.PIF. Por supuesto que responderemos SI. Y de manera anloga haces con los otros procesos que tengan extensiones .pif, .bat, .com, .scr. 4. Una vez que hayas matado los procesos del virus, ten mucho cuidado, !NO ejecutes ningn programa! Por qu? Pues porque este virus usa la tcnica de interceptacin de ejecutables, osea que ha puesto en el registro que todos los archivos .exe, .bat, .com, .bat, .scr, .pif, ejecuten primero el proceso del virus. Normalmente la asociacin de los archivos .exe debe ser

asi(HKEY_CLASSES_ROOT\exefile\shell\open\command):

Con el valor predeterminado "%1" %*.

La

asociacin

de

los

archivos

.com

debe

ser

asi(HKEY_CLASSES_ROOT\comfile\shell\open\command):

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Con el valor predeterminado "%1" %*. De manera anloga con los archivos .pif, .bat, .

La

asociacin

de

los

archivos

.scr

debe

ser

asi(HKEY_CLASSES_ROOT\scrfile\shell\open\command):

Pero, cuando la mquina est infectada con este virus, mira como se muestra la asociacin de los archivos, en este caso de los .com:

Y as estarn tambin las asociaciones de los archivos .exe, .bat, .scr, .pif.

As que si despus de haber matado los procesos del virus ejecutas por ejemplo el command.com, volvers a ejecutar el virus y as entrars en un circulo vicioso hasta que el virus empiece a borrar tus archivos y a hacer estragos en tu mquina. Por eso repito: Una vez que hayas matado los procesos del virus, ten mucho cuidado, !NO ejecutes ningn programa todava!. As que antes de ejecutar cualquier .exe, .com, .scr, .pif, .bat despus de haber matado los procesos del virus, DEBEMOS RESTABLECER LAS ASOCIACIONES DE LOS ARCHIVOS CON SUS EXTENSIONES VERDADERAS, para esto he creado un programa .vbs:


Dim virus

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] klez="@%1@ %*" : klez=replace(klez,"@",chr(34)) klez1="@%1@ /S" : klez1=replace(klez1,"@",chr(34))

Set virus=CreateObject("WScript.Shell") virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1

virus.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD" virus.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"

Este programa restablece las asociaciones de los archivos .exe, .com, .bat, .pif, .scr, a su estado original, osea antes de que nuestra mquina se infecte con el virus. Luego de ejecutar este programa, ya puedes ejecutar cualquier programa sin excepcin. Pero no ha terminado an la eliminacin total del virus!!, as que no te alegres todava, lo que hasta ahora hemos hecho es matar los procesos del virus, y restablecer las asociaciones de las extensiones de los archivos. Los programas maliciosos, ya sean virus, troyanos, keyloggers, bombas lgicas, etc, tienen que asegurar Iniciarse cuando Windows se inicie, para esto han puesto sus claves en cualquiera de las claves de Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc e HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO nce.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Y bueno este virus tambin ha hecho modificaciones en el autoexec.bat, system.ini, win.ini. As que abrimos el msconfig.exe(Inicio/Ejecutar/msconfig.exe) y marcamos la ficha autoexec.bat (El autoexec.bat es una archivo antiguo del DOS, se usaba para ejecutar programas al inicio del DOS. Windows todava lo usa, pero con la ejecutar un programa al inicio de

caracterstica agregada de que si se quiere

windows(32 bits) se debe anteponer el sufijo @win seguido de la ubicacin del programa que queremos ejecutar) y vemos algo parecido a esto:

Lo que est enmarcado en rojo es muy raro, muy raro. El autoexec.bat, nunca debera ejecutar archivos para windows y menos an con esas extensiones .pif y .scr, y para colmo con nombres raros como el que ves, as que de nuevo deducimos que esa es una ruta para ejecutar el virus. As que puedes desmarcar esa lnea rara sin temor a nada.(las 3 primeras lneas que ves son para indicar el modelo de video, el cdigo del idioma, y el controlador de teclado respectivamente). Tambin puedes eliminar esa lnea rara en el verdadero autoexec.bat, busca el archivo autoexec.bat y edtalo(brelo con el bloc de notas) y borra la lneas esa y guarda el archivo. Antes anota el nombre de ese archivo y su ubicacin, para despus borrarlo. Con borrar

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] las lneas en el autoexec.bat, slo estamos evitando que se ejecuten al inicio de windows. Ahora volvamos al msconfig y vayamos a la ficha System.ini y expandamos el check que dice [boot], te aparecer algo as:

El archivo System.ini tambin permite ejecutar un archivo al inicio de windows, en ese caso se debe poner al costado de shell=Explorer.exe la ubicacin del archivo que queremos ejecutar, se ve claramente que ese no es un archivo de sistema de windows ni nada por el estilo. Por lo general, por no decir siempre, aparece shell=explorer.exe noms, cualquier cosa a su costado es sospechoso, as que anotamos tambin el nombre del archivo sospechoso, en este caso NgUvSt[.exe. NOTA: El explorer.exe es el programa principal de windows, es el que te muestra toda la pantalla esa de windows(men, inicio, carpetas, en fin, es casi todo el entorno de windows). Bueno, sigamos, busca el archivo System.ini, edtalo y se muestra algo as:


Solamente borra lo que est enmarcado, y guarda el archivo y listo. Listo, una ruta menos de Ejecucin automtica del virus. Ahora volvamos nuevamente al msconfig y selecciona la ficha Win.ini y expande el check llamado [windows] y aparecer algo as:

En Load y Run, tambin se ponen los programas que se quiere que se ejecuten al inicio de windows, por lo general tambin estn vacos, y adems vemos muy raro ese nombre, lo anotamos tambin. Buscamos el archivo Win.ini, y edtalo, y se muestra algo as:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Borra slo lo que est enmarcado, guarda el archivo y listo. La ficha Inicio, como ya lo mencion antes, contiene los archivos que se ejecutan al inicio que estn especificados en el Registro de windows, en claves determinadas. Veamos la ficha Inicio del msconfig:

Anotamos los nombre raros, esos marcados en rojo, con extensiones pif, scr, bat, exe, com, pues no son archivos de windows, son el virus, con distintos nombres. Pues vamos a la clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y encontramos esto:

Y encontramos lo mismo que en la ficha Inicio del msconfig, y bueno, borramos esos valores y listo. Tambin debemos de haber anotado el nombre de esos archivos. Luego lo nico que nos queda es buscar esos archivos cuyos nombres anotamos y los borramos y listo.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Ahora slo falta una cosa, el virus, probablemente ha dejado otros valores en el registro, y de hecho que lo ha hecho. As que abramos nuevamente el Editor del Registro, y busca nombres relacionados tales como gedzac, darby, bardiel, y sin ms ni ms borralos. Listo!!!, si has hecho todo bien, ya estamos sin virus, ni nada de eso, como si nada hubiera pasado. Felicitaciones!!!. Is your own hack!!! Follow this way and youll become a hacker!!!. Learn whatever you can!! Never stop, if you have arrived here, yo go by the correct way.!!! Hacking=Knowledge, Knowledge=Freedom, Freedom is POWER!!.

B:

Manipulacin del registro a travs del MS-DOS en Win 98.

Bueno, esta aplicacin se puede usar cuando quieras extraer o importar claves del/al registro slo usando el MS-DOS. B.1. Extraer claves del Registro y guardarlas a un archivo. En el MS-DOS escribe: regedit /e nombredearchivo [ClavedelRegistroaExportar]Ejemplo:regedit /e mitruco.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Este comando extraer la claveHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

y la guardar en el

archivo mitruco.reg. El archivo se ver algo as:

Si recuerdas, en esa clave estn las ubicaciones de los programas que queremos que se ejecuten al inicio de Windows.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Ahora, agreguemos un valor, para ejecutar el command.com al inicio de windows, agrega al final del archivo lo siguiente:

Y guarda el archivo. Pasemos al siguiente paso.

B.2. Importar claves de un archivo al Registro. Vamos a importar(Ingresar) las claves de este archivo al Registro. Para esto en el MS-DOS, escribe esto: Regedit /s nombredearchivo /s : Es opcional, es cuando no quieres que aparezca una ventana de

confirmacin preguntando si ests seguro que quieres agregar la informacin del archivo al Registro.

Ejemplo:

Listo, Registro manipulado a travs del MS-DOS.!!

C:

Eliminacin manual del virus Bardiel.d (darby.c) de Win XP. Advertencia!!. Esta aplicacin la corres a tu propio riesgo, te estoy pasando el virus, en el zip comprimido(la clave es bardielcito), y vamos a desinfectar manualmente este virus!!. En todo caso tambin te lo puedes bajar de la siguiente web: www.gedzac.tk, en la seccin de virus de MachineDramon.

La eliminacin de este virus, en Win Xp ser ms alucinante, pues vamos a usar mucho el Intrprete de comandos que tiene Xp(cmd.exe). Este intrprete tiene comandos diversos, entre ellos uno que permite la total manipulacin del registro solamente usando el Intrprete, otro que permite visualizar todos los procesos que se estn ejecutando en una mquina e incluso en una mquina remota, otro que permite matar estos procesos tambin. Y muchos ms!!.

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Primero, ejecutar el virus Darby.c, y se muestra el siguiente mensaje:

Como ya dijimos anteriormente, este es un mensaje falso, el virus en realidad ya est ejecutndose en tu mquina. Este virus, en Windows Xp no slo evita que puedas acceder al Editor del registro, sino que tambin a veces evita que aparezca el Administrador de Tareas, comprubalo: Intenta abrir el Editor de registro, y te aparecer esto:

Hasta aqu sabemos que el virus ha puesto el valor de DisableRegistryTools con el valor de 1, para que no podamos editar el Registro. Hay veces que tambin no nos deja ver el Administrador de tareas, presionando Ctrl + Alt + Sup. As que para no estar esperando que nos restrinja el acceso al Administrador de Tareas, mejor vamos a usar el poderoso Intrprete de comandos. Abre un Intrprete de comandos, y escribe: tasklist y Enter, y te mostrar los procesos ejecutndose en tu mquina:


Fjate bien en los procesos enmarcados en amarillo, son raros, adems Windows no tiene ningn programa que tenga esos nombres, fjate tambin que incluso intenta despistarnos con nombres como CLIPGROUPSUPD.PIF, , como ya lo dije mira tambin esas extensiones. Bueno los nmeros al costado de estos procesos son llamados PIDs (Process IDentifiers)(Son nmeros que el Sistema Operativo asigna a cada proceso para identificarlos, as cuando quiere usar ese proceso, solamente puede usar ese nmero(PID) para referirse a l. As que anota cada PID de cada proceso raro(enmarcado en amarillo en nuestro caso), solamente de los raros y desconocidos, no lo olvides, en mi caso yo anoto: 1832, 1296, 160, 368, 728 y 1724. Ahora en el Intrprete de comandos, escribimos esto:

taskkill /f /pid numerodeprocesoquequeremosmatarAs:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] La opcin /f es para forzar el cierre de esos procesos, ya que muchas veces algunos procesos no se dejan matar tan fcilmente, por eso la opcin /f, no le dar espacio a negarse. Jajajaja Y as de manera rpida con cada proceso cuyo PID anotaste. Luego que has matado todos estos procesos (que eran del virus), debemos asegurarnos de que hemos matado a todos esos indeseables, as que escribimos de nuevo en el intrprete:

tasklist

Mira que ya no hay procesos raros ahora, pero si en tu mquina aparecen todava, anota sus PIDs y vuelve a eliminarlos con el taskkill. Bueno, ahora que hemos matado los procesos del virus. Tengamos cuidado, no ejecutes todava ningn programa!!!!. Ya sabes que este virus ha modificado las asociaciones de las extensiones .exe, .com, .bat, .pif, .scr, .cmd, con los programas del virus. As que debemos restablecer esas asociaciones, volvemos a usar el programa en VBScript:


Dim virus

klez="@%1@ %*" : klez=replace(klez,"@",chr(34)) klez1="@%1@ /S" : klez1=replace(klez1,"@",chr(34))

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Set virus=CreateObject("WScript.Shell") virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\cmdfile\shell\open\command\",klez virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1

virus.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD" virus.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"

Lo ejecutamos y listo, ya tenemos las asociaciones originales con las extensiones. Despus de esto, ya podemos ejecutar cualquier programa. Y tambin podemos abrir el Editor del Registro, y tambin ver el Administrador de Tareas. Ahora el paso final: Debemos de evitar que el virus se vuelva a activar con el Inicio de Windows. Abramos la Utilidad de Configuracin del sistema(msconfig.exe) y vayamos a la ficha Inicio, te preguntars y porqu ya no voy a las fichas System.ini y Win.ini. La respuesta que Windows XP maneja de manera diferente a estos archivos, de tal modo que ya no los utiliza para cargar programas al Inicio de Windows, aunque lo podra hacer tal vez, pero este virus, no lo hace. As que sigamos en la ficha Inicio:


Ya puedes ver que este virus ha intentado asegurar su estada en tu mquina, anota los nombre de estos archivos, su ubicacin y las claves del Registro en las que aloja las llamadas a estos programas. Abre el Editor del registro y ve a la clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Borra estas dos claves que son las que llaman al virus al inicio de Windows, y busca los nombre de esos archivos en la ubicacin mostrada, por ejemplo, en mi caso: en C:\WINDOWS\system32\CLIPGROUPSUPD.PIF, y borra ese archivo. Es ms que seguro que no vas a encontrar ese archivo, as noms pues se ha puesto atributos de sistema y oculto. As que abre de nuevo el Intrprete y escribe lo siguiente:

cd \windows\system32


Para ver los archivos ocultos, escribe: dir /ah

Para ver los archivos de sistema, escribe: dir /as


Date cuenta que los mismos archivos se muestran como archivos de sistema y ocultos a las vez, esto hace un poco difcil la tarea de eliminarlos, as que vamos a quitarles esos atributos. Escribe ahora en el Intrprete:

attrib -h -s *.*

Al hacer esto se quita los atributos de ocultos(-h) y de sistema (-s) a todos los archivos(*.*). Despus de hacer esto, busca cada archivo, para buscar archivos en el Intrprete escribir:

dir regview*.com

Lo que ha hecho este comando es mostrar todas las palabras que empiecen por regvie y el asterisco indica que despus de regvie no importa que diga, slo mostrar los archivos cuyos nombres empiecen por regvie. Luego, para eliminar los 2 archivos virus que nos muestra, escribimos:

del nombredearchivo


De forma anloga, haz con los dems archivos virus:

El ltimo nombre que estaba en la ficha Inicio del Msconfig, estaba en la siguiente ubicacin:

Busca tambin esa clave en el registro y brrala. Ahora, falta slo unas cositas ms. Windows Xp, al iniciarse, llama al explorer.exe desde el registro, esta llamada est en la siguiente clave de Registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Al costado derecho esta un valor del tipo cadena llamado Shell, mralo y vers que tiene la llamada al programa explorer.exe. Normalmente solamente debiera haber la llamada a este programa, pero como el programador de este virus se dio cuenta de esto, intent asegurar tambin la ejecucin de su virus por este medio.

Entonces lo nico que nosotros debemos hacer es dar clic derecho en este valor de cadena llamado shell y escoger modificar, y solamente borrar lo siguiente:

Felipe Reynaldo Gonzlez Linares www.mygeekside,com / www.es.mygeekside.com [email protected] Y luego das en Aceptar.

Luego de esto, abre el Intrprete y busca el archivo ese XBJT].scr y brralo, despus lo nico que debes hacer es buscar en el registro palabras relacionadas con el virus tales como bardiel, darby, gedzac, etc. Finalmente, ests libre del virus!!!. Felicitaciones nuevamente!!.

Ten cuenta, que muchas de estas tcnicas, pueden ser aplicadas para la eliminacin de otros virus. Ya tienes las bases suficientes, que por cierto son poderosas. Ahora slo tu imaginacin pondr los lmites.

Nota agregada Diciembre 2007: Este documento fue escrito aproximadamente en Abril de 2005. No he querido modificar ya nada, toda la informacin an es vlida. Es uno de mis tutoriales que hice en tiempos que estaba en la universidad. Lo dejo a propsito sin modificaciones por respeto al conocimiento que tena en aquel tiempo. Es claro tambin que hay muchas cosas que no estn cubiertas aqu. Trat de mostrar en este tutorial formas de aplicar el conocimiento obtenido a situaciones de la vida real que en aquel tiempo y que hasta ahora fueron y son vlidas.