Erradicacion de troyanos

Solo disponible en BuenasTareas
  • Páginas : 5 (1096 palabras )
  • Descarga(s) : 0
  • Publicado : 26 de octubre de 2010
Leer documento completo
Vista previa del texto
ERRADICACION DE TROYANOS
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.

Para hacerlo correctamente hay que seguir los siguientes pasos:

a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape -GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :

Por ejemplo, podríamos tener el siguiente listado:

||Proto || Dirección local || Dirección remota || Estado ||
|| TCP || Donatien:6711 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:6776 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30100 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30101 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30102 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1243 || 0.0.0.0:0 || LISTENING ||
|| TCP ||Donatien:1035 || 0.0.0.0:0 || LISTENING ||
|| UDP || Donatien:1035 || *:* ||   ||

Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.

f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para lapróxima vez que ese proceso no es un troyano, y que no hay que matarlo

Ejemplo: decido matar al proceso llamado:

C:WINDOWSSYSTEMNSSX.EXE

que es muy sospechoso...

Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:

|| Proto || Dirección local || Dirección remota || Estado ||
|| TCP || Donatien:6711 || 0.0.0.0:0 ||LISTENING ||
|| TCP || Donatien:6776 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1243 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1035 || 0.0.0.0:0 || LISTENING ||
|| UDP || Donatien:1035 || *:* ||   ||

Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamosinstalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_".

Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar elarchivo fácilmente.

Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE

Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y .

Ahora, aunque no es del todo indispensable, y noes recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx.exe"

Para borrarla basta con marcarla con el mouse,pulsar DEL, y confirmar.

Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual...
tracking img