Archivos mensuales: Agosto 2009

Carpeta windows abre al iniciar.

Hoy luego de haber desinfectado una Pc, termine con un problema tal ves comun para algunos; o alarmante para otros. Pero la impresion me llevo a estar un buen rato frente a la Pc.

Sintomas:

Al iniciar windows este abre automaticamente al windows explorer, poniendo en la ruta de direccion a windows.

folder windows startup

folder windows startup

Acciones realizadas:

En principio recurri al msconfig y observar la pestaña de Inicio, no habia nada extraño.

Luego buscamos en el regedit cadenas que puedan abrir la aplicacion, con comodines: %windir%\explorer.exe Pero estas eran necesarias para windows.

Luego busque algun script o aplicacion en el directorio de windows, y system32. Ninguno tenia propiedades virales.

Por ultimo revise con aplicacions como ccleaner que no dio solucion.

Solucion:

Luego de buen tiempo, use un programa que reportara aplicaciones que hacen uso del registro. Tal vez para algunos este programa sea muy usado para reportes y observados por expertos en malware.

Asi que usamos el programa: HijackThis

Una vez abierto examinamos el reporte y tenemos el objetivo localizado:

target found

target found

Ahi esta la variable del directorio windows, con la accion a ejecutarse.

Asi que marcamos con un check y le damos fix checked en el hijackthis.

Reiniciamos y tenemos solucionado el problema.

Red Privada virtual gratuita en Ubuntu

Bien leyendo unos feeds del sitio neoteo, me intereso el tema de la navegacion privada en la red.

Como es de saber una navegacion de este tipo cifra paquetes al momento de conectarse en la red haciendo seguro nuestras conecciones. En este caso el sitio que ofrece este buen servicio es ItsHidden en su web podran ver detalles tecnicos, como un cifrado en 128 bits para algo gratuito es muy buena oferta.

Bien las configuraciones disponibles que veran en la web de ItsHidden esta relacionada con windows xp, windows vista, Mac, y Linux.

En nuestro caso vamos a crearnos una cuenta para usar el servicio, una vez registrados lo podran activar via e-mail, y posteriormente en nuestro O.S Linux Ubuntu pasaremos a instalar paquetes PPTP. Abrimos para ello la terminal:

$ sudo apt-get install network-manager-pptp

Ahora reseteamos el gestor de redes

primero matamos el proceso:

$ sudo killall NetworkManager

segundo volvemos a iniciar el gestor en segundo plano:

$ sudo NetworkManager &

Ahora creamos nuestra coneccion VPN, click derecho en icono de red y editar concecciones. Seguido vamos a la pestaña de VPN, seguido ponemos agregar donde agregaremos PPTP.

Y rapidamente ponemos nuestros datos, pero antes configuraremos algo adicional para ello vamos a avanzado y hablitamos con un check la encriptacion MPPE. Y aceptar:)

Screenshot-3Podran ver en sitios de deteccion de ip que estan asignados a otras parte del mundo, disfruten :)

This is not a valid zip code. Please try again.

Para algunos usuarios resulta fastidioso cuando de repente nos sale un mensaje de alerta que nos muestra la siguiente imagen.

zipcode

En ocaciones parece ser algun error relacionado con el winzip, o alguna infeccion que haya pasado por alto. Para ello averiguaremos cual es la aplicacion que genera el problema. Para ello abriremos el administrador de tareas [Ctrl + Alt + Supr] y observaremos que el problema esta relacionado al programa de Thoosje sidebar.

taskmanager

Asi que para ello veremos en su pagina principal si hay alguna actualizacion Thossje Home Site. En la seccion New tenemos actualizacion juntamente al enlace del por que el problema Support Forum.

Bien el problema se da en si por un un archivo .xml que usan los gadgets las cuales no pueden ser leidas o se encuentran desactualizadas dando error de codigo zip.

  • 14/09/09: bien luego de que un usuario que no tenga la  gentileza de corregir o adicionar informacion que pueda ser necesario en la comprension para otros, opta por hablar todavia en un supuesto ingles fluido insultos a nuestra persona, luego de lo ocurrido espero que a este … le vaya bien despues de su comentario que lo dejo por respeto de la libertad de expresion.

Ahora para mas detalles del problema acontecido:

La aplicacion Thossje sidebar usa archivos xml, un file xml, puede contener informacion bien definida por el uso de sus etiquetas (hablando en el sentido de los lenguajes de de marcado).

El problema se produjo luego del cambio de hosting, y el mantenimeinto  de una web que guardaba su informacion dentro del xml ha provocado dicho mensaje.

cheers

Elimina virus y aparece nuevamente

Bien en mi caso suele ocurrir en raras veces pero en otras pc’s es constante ver estos problemas, que resulta fastidiando al usuario :)

esetinf

Para empezar debemos de identificar el proceso de nuestro antivirus, tener en cuenta que un antivirus pueda tener distintos procesos en el caso de Nod32 en la version 4 tenemos presente el egui.exe y el ekrn.exe. El primero solo es aplicacion grafica accesible para todo usuario el segundo es el antivirus en si; que no se podra eliminar sencillamente.

Pero como los mensajes son reportados por la aplicacion grafica eliminaremos egui.exe. Accedemos al administrador de Tareas [Ctrl + Alt + Supr ] o usar el comando tasklist en Ms-Dos. Si usan el administrador de tareas basta con identificar el egui.exe y darle un click derecho seguidamente eliminar proceso. en Tasklist de Ms-Dos usamos comando:

taskkill /f /im egui.exe

Bien el mensaje desaparece ahora si nos ponemos a eliminar manualmente ya que nuestro antivirus no puede hacerlo por si solo. Asi que deben de identificar al virus o malware que este dando problemas. En mi caso el antivirus lo identifico y me dio la ruta de donde se encuentra este Virus :)

Pero primero eliminemos su proceso y asi al menos darle menos efectividad a nuestro malware.

taskkill /f /im wswisher.exe

Seguidamente eliminamos sus modificaiones en el registro (regedit):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
C:\Windows\wswisher.exe = wswisher

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
wswisher Module = wswisher.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Terminal Server\Install\Software\Microsoft\Widows\CurrentVersion\Run]
wswisher Module = wswisher.exe

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AutorizhedApplications]
C:\WINDOWS\wswisher.exe

[HKEY_USERS\S-4-5-21-1715567821-796845957-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICACHE]
C:\WINDOWS\wswisher.exe = wswisher.exe

Por ultimo accedemos al directorio en el que se encuentra el malware y lo eliminamos .

C:\WINDOWS>del /f /q /s /a wswisher.exe

Bien eso fue sensillo hay otros malwares que no nos dejaran ni eliminar procesos, o se vuelven a reproducir teniendo nuevamente el proceso activo. En fin desde ya iremos publicando mas sobre el comportamiento de un malware :)