Loading...

martes, 8 de septiembre de 2009

LELIMINANDO UN TROYANO DE NUESTRA PC

http://www.zonagratuita.com
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos
limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer oNetscape - GetRight - Go! Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0. 0.0.0:0 LISTENING
TCP Donatien:6776 0. 0.0.0:0 LISTENING
TCP Donatien:30100 0. 0.0.0:0 LISTENING
TCP Donatien:30101 0. 0.0.0:0 LISTENING
TCP Donatien:30102 0. 0.0.0:0 LISTENING
TCP Donatien:1243 0. 0.0.0:0 LISTENING
TCP Donatien:1035 0. 0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:WINDOWSSYSTEMNSSX. EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0. 0.0.0:0 LISTENING
TCP Donatien:6776 0. 0.0.0:0 LISTENING
TCP Donatien:1243 0. 0.0.0:0 LISTENING
TCP Donatien:1035 0. 0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Por suspuesto! Se han cerrado tres puertos! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX. EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX. EXE C:WINDOWSSYSTEMNSSX. EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX. EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX. EXE y situados sobre él presionar F2, escribir el nuevo nombre y.
Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx. Exe"

1 comentario:

Aldo Culquicondor dijo...

Si realmente eres un hacker, deberías hablar un poco más del software libre. ¿Para qué perder el tiempo eliminando virus de Windows?