Erradicacion de troyanos
Páginas: 5 (1096 palabras)
Publicado: 26 de octubre de 2010
ERRADICACION DE TROYANOS
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape -GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
||Proto || Dirección local || Dirección remota || Estado ||
|| TCP || Donatien:6711 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:6776 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30100 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30101 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30102 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1243 || 0.0.0.0:0 || LISTENING ||
|| TCP ||Donatien:1035 || 0.0.0.0:0 || LISTENING ||
|| UDP || Donatien:1035 || *:* || ||
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para lapróxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:WINDOWSSYSTEMNSSX.EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
|| Proto || Dirección local || Dirección remota || Estado ||
|| TCP || Donatien:6711 || 0.0.0.0:0 ||LISTENING ||
|| TCP || Donatien:6776 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1243 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1035 || 0.0.0.0:0 || LISTENING ||
|| UDP || Donatien:1035 || *:* || ||
Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamosinstalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar elarchivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y .
Ahora, aunque no es del todo indispensable, y noes recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx.exe"
Para borrarla basta con marcarla con el mouse,pulsar DEL, y confirmar.
Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual...
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape -GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
||Proto || Dirección local || Dirección remota || Estado ||
|| TCP || Donatien:6711 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:6776 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30100 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30101 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:30102 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1243 || 0.0.0.0:0 || LISTENING ||
|| TCP ||Donatien:1035 || 0.0.0.0:0 || LISTENING ||
|| UDP || Donatien:1035 || *:* || ||
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para lapróxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:WINDOWSSYSTEMNSSX.EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
|| Proto || Dirección local || Dirección remota || Estado ||
|| TCP || Donatien:6711 || 0.0.0.0:0 ||LISTENING ||
|| TCP || Donatien:6776 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1243 || 0.0.0.0:0 || LISTENING ||
|| TCP || Donatien:1035 || 0.0.0.0:0 || LISTENING ||
|| UDP || Donatien:1035 || *:* || ||
Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamosinstalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar elarchivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y .
Ahora, aunque no es del todo indispensable, y noes recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx.exe"
Para borrarla basta con marcarla con el mouse,pulsar DEL, y confirmar.
Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual...
Leer documento completo
Regístrate para leer el documento completo.