Habilitar Administrador de Tareas o el Editor de Registros (regedit), despues de una infección por Virus.
Creo que a muchos nos ha pasado que, al infectar nuestra PC con algunos virus que deambulan por la red, tal es el caso del AMVO, el BRONTOK o el ONLINEGAME, se nos desactivan estas ds herramientas administrativas y no tenemos como “matar” algunos procesos malignos o maliciosos. Aqui una solucion sencilla para restaurar la funcionalidad de ambas herramientas.
1. HABILITAR EL EDITOR DE REGISTRO (REGEDIT)
Habilitar Regedit
Inicio > Ejecutar y escribe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f (presiona enter)
Todo en una sola línea. (Selecciona, copia y pega
Si tenias funcionando el REGEDIT, no tienes que hacerlo.
2. HABILITAR EL ADMINISTRADOR DE TAREAS (TASK MANAGER)
Habilitar Administrador de Tareas
Abres Inicio > Ejecutar y escribe regedit (presiona enter) y buscas esta clave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
hay cambias los valores asi:
“DisableTaskMgr” = “0″
“DisableRegistryTools” = “0″, ( si no quiere cambiar, cambialo de haxdecimal a la otra opción y listo!), no es necesario guardar ni nada mas.
Ya tienes funcionando el Administrador de Tareas.
Espero les sirva de mucho esta informacion. Agradecemos la ayuda de un amigo taringuero de nombre BONEMAN, un genio.
ElGreeK
_________________________________________________________________________GUIA GUIA PARA ELIMINAR EL MOLESTO VIRUS WINMEDIA.EXE DE TU PC.
Recientemente me topé con este nuevo Gusano con capacidades bastantes molestas pues abre ciertas vulnerabilidades en nuestra PC conectada a Internet, se trata de un malvado que muchos antivirus y el mismo sistema lo identifican como “winmedia”. Anda colado por las USB y al parecer se propaga por el servicio de mensajeria MSN (tenia que ser de Microsoft). Aqui les dejo algunas guias de como deshacerse de este cipote molesto…
Kelvir.EI (Peligrosidad: 3 – Media)
Abre una puerta trasera en el sistema comprometido, conectándose al canal #banamex del siguiente servidor IRC:
- irc.marlmx.info
Se propaga utilizando el programa de mensajería instantánea MSN Instant Messenger.
Solución
1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.
2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Elimine los siguientes ficheros del sistema comprometido:
* %Windows%\WinMedia.exe
* %Windows%\lala.txt
* %Windows%\lala2.txt
#
Nota: %Windows% es una variable que hace referencia al directorio de intalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP/Server 2003) o C:\Winnt (Windows NT\2000).
# En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña ‘Procesos’ haga clic derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación del fichero.
# A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: “SystemMigration” = “%Windows%\WinMedia.exe”
# Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Informacion General de este desgraciado
Nombre completo: Worm-Backdoor.W32/Kelvir.EI@IM
Tipo: [Worm-Backdoor] – ‘Malware’ con capacidades de gusano y de puerta trasera
Plataforma: [W32] – Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IM] – Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Tamaño (bytes): 49546
Alias:WORM_KELVIR.EI (Trend Micro), W32/Kelvir.EI (PerAntivirus)
Detalles
Método de Infección/Efectos
Cuando se ejecuta Worm-Backdoor.W32/Kelvir.EI@IM en el sistema comprometido copia los siguientes ficheros:
* %Windows%\WinMedia.exe
* %Windows%\lala.txt
* %Windows%\lala2.txt
Nota: %Windows% es una variable que hace referencia al directorio de intalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP/Server 2003) o C:\Winnt (Windows NT\2000).
Además crea la siguiente entrada en el registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: “SystemMigration” = “%Windows%\WinMedia.exe”
Su funcionalidad de puerta trasera abre un puerto aleatorio en el sistema comprometido para permitir el acceso de un atacante remoto.
Entonces se conecta con el siguiente servidor IRC:
* irc.marlmx.info
Y se enlaza con el siguiente canal IRC:
* #banamex
Una vez establecida esta conexión, el atacante remoto ejecuta comandos en el sistema comprometido.
Método de Propagación
Worm-Backdoor.W32/Kelvir.EI@IM se propaga utilizando el programa de mensajería instantánea MSN Instant Messenger. Envía uno de los siguientes mensajes:
* ey, mira esto
* mira esta foto
* como va? viste el video de madona? jojo
* joto! mira lo que me mandaron
* we mira esto
* nunca habia visto algo asi
* fijate en la delanteraaa
* mira este video
* hermoso hermoso hermoso, chequea
* es increible que pasen estas cosas, mira:
* hay veces que internet me sigue sorprendiendo, mira esto xd
* no me lo puedo creer, chequea esto
* muyy bueno, imperdible!
* mail/\
* te recomiendo que no dejes de ver esto
* alucinante, mira
* jajaja como me muero de risa con esto
* tremenda delantera, fijate
* mira lo que es esto!!
* que pasada…
* mi nueva adquicicion:
Adjuntando el siguiente enlace desde el que se descarga una copia de bak:
* http://www.{BLOCKED}24h.com/foro/gusanito.exe
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* http://www.{BLOCKED}24h.com/foro/gusanito.exe
meparese bastante interesante ya que muchas veces no sabemos que hacer ante cual situaciópn
Por: jorge luis lopez zepeda el Julio 25, 2009
a las 4:07 pm